Video: When technology can read minds, how will we protect our privacy? | Nita Farahany (Oktober 2024)
I slutningen af januar afslørede lække dokumenter, at NSA og andre nationale spionorganisationer har været hårdt i arbejde med at få oplysninger fra din smartphone. Men i stedet for at installere en fejl, bankede de bare på apps, der allerede er på din telefon for at lære alt, hvad de vil vide.
En vred fugl fortalte mig
Ifølge rapporter søger spionorganisationer de såkaldte "utætte apps" for at indsamle information. Det er et udtryk, vi ofte har brugt i vores historier om Mobile Threat Monday, et, som Lookouts Principal Security Researcher Marc Rogers definerer som "Enhver app, der videregiver enhver form for følsom information uden kryptering."
Du er måske overrasket over, at denne definition omfatter mange af de tilgængelige apps i både Android- og iOS-appbutikkerne. Det skyldes, at mange af disse apps bruger tredjeparts-annonceringsplatforme til at hjælpe med at tjene penge på deres apps. Nogle gange kan du se annoncerne lige i appen, som i Flappy Bird. Udvikleren får et snit, og du får et spil gratis.
Men selv når du ikke ser nogen annoncer, inkluderer appudviklere ofte kode fra annoncører, der roligt indsamler oplysninger om dig og din enhed. Denne information samles og dissekeres af annoncører for bedre at målrette deres annoncer. "Jo mere information der er om nogen, jo mere præcis vil deres markedsføringsprofil være, " forklarede Bitdefenders senior e-trusselsspecialist, Bogdan Botezatu.
"For annoncører, " forklarede Lookouts Rogers, "der er guld i at forudsige, hvad de skal lægge på, der vil engagere sig med brugerne." Dette kan være produkter og tjenester, der er tættere på din interesse eller er tilgængelige i dit område. Hvis du for eksempel boede i Osaka, ville du sandsynligvis ikke være for interesseret i at lære om billige biler i Chicago.
Annoncører og marketingfolk er typisk efter identificerbare oplysninger - det vil sige en måde at forbinde din enhed til dig. En enheds EMEI-nummer, Apple ID eller en anden id gør, men e-mails og telefonnumre er især værdsatte. Med disse oplysninger kan annoncører bestemme, at den samme person har downloadet forskellige apps og indsamle, hvordan de bruges på forskellige enheder. Andre annoncører er mere aggressive og forsøger at få dine geografiske oplysninger og mere.
For at give et eksempel på, hvor vidtgående annoncør-SDK-oplysninger kan være, sammenlignede Botezatu dem med den Android-fjernadgang Trojan, der er profileret af Bitdefender. Når det er installeret på et offers telefon, giver det en total kontrol til en angriber, der lader dem stjæle kontakter, få adgang til browserhistorikken og spore offeret. ”De fleste mennesker reagerer negativt på AndroRAT, når jeg viser dem, at jeg kan tænde for mikrofonen, ” sagde han. "Kort herom, det er hvad der sker med de fleste reklame SDK'er."
Det er ikke helt klart, hvad NSA bruger opfanget appinformation til, men det ligner sandsynligvis annoncører: opbygning af detaljerede profiler på enkeltpersoner ud fra forskellige oplysninger. Naturligvis kunne det bruges på andre måder. Botezatu forestiller sig et scenarie, hvor demonstranter oprør i gaderne mod en undertrykkende regering. Hvis denne imaginære regering havde uhindret adgang til lokaliseringsoplysninger høstet af annoncører, kunne de bestemme, hvem der var i oprør og målrette dem eller deres familier til gengældelse.
Lækrør
Som Rogers sagde, er en app kun lækker, hvis den forsøger at sende information uden kryptering. Desværre har mange af dem valgt ikke at kryptere de oplysninger, der flyder fra apps på din telefon og videre til annoncørens servere. "Enhver, der lytter på routeren eller netværket, kan snuppe på appdataene og lave en kopi, " sagde Botezatu.
Mens vi har set forekomster af spionagenturer snuppe på routere og Wi-Fi-netværk, siger Rogers, at det er et større problem. "Regeringsorganisationer er i stand til at udnytte infrastrukturen på en måde, ingen andre kan. En dårlig fyr kan få en samling af data, men regeringer kan spænde over hele internettet."
Afsendelse af dataopslag til annoncører er ikke altid bedre end at få dem opfanget af NSA. Botezatu påpegede, at når data forlader din enhed, har du ingen kontrol over det. "Disse annoncører er muligvis et sted, hvor der ikke er nogen lovgivning, der beskytter dine data, og ingen kan garantere, at oplysningerne på disse servere er sikret eller ikke tilgængelig for hackere."
Hvem skal beskylde
I mange tilfælde er appens udvikler muligvis ikke engang klar over, hvilke oplysninger der suges op af annoncører. Eller hvis disse oplysninger er krypteret.
Rogers siger, at en stor del af problemet er en misforståelse i branchen om, hvad der gør datafølsomme. Nogle apps, forklarede han, tager kun lidt information - som en seksuel præference i en dating-app eller del af et postnummer i en anden app - uden bekymring. Annoncører ser ikke disse oplysninger som følsomme, fordi de alene ikke fortæller dig meget. Men nu kan organisationer som NSA aflytte data fra hundreder af apps på én gang og forbinde prikkerne. "Regeringsorganisationer kan sammenhænge alt dette og opbygge en komplet profil, " sagde Rogers.
Der er også problemer med softwareudviklingssæt, der anvendes af annoncører til at indsamle disse oplysninger. Botezatu forklarede, at selvom der er millioner af apps på alle de mobile markedspladser, er antallet af reklamer for SDK meget lille. "Der er omkring 100 med alle applikationer på Google Play, " forklarede han. "Hvis du går på kompromis med en, går du på kompromis med en række applikationer og når ud til mange flere kunder."
Kunder (det er dig og mig) spiller også en rolle i dette, fordi vi faktisk advares af vores telefoner om, at disse oplysninger indsamles. Når du f.eks. Downloader en app fra Google Play, accepterer du at give appen adgang til en række tilladelser. Dette er information, som appen kan få adgang til, og handlinger, den kan udføre. "Hvis Angry Birds bruger din placering, kan du antage, at den bliver brugt til reklame på en eller anden måde, sagde Rogers.
Sådan forbliver du sikker
For folk som os er mulighederne for at begrænse, hvem der ser vores oplysninger, få. På iPhone kan du tvinge annoncører til at få adgang til et "annoncerings-ID", som du kan opdatere til enhver tid - hvilket begrænser, hvor komplet en profil kan konstrueres. iOS giver dig også mulighed for at give detaljerede tilladelser til oplysninger. Du kan give adgang til din placering og derefter slukke den senere fra menuen Indstillinger.
Desværre er Android bagud med granulære tilladelser. Selvom Google kort introducerede et kontrolpanel for at lade dig skifte tilladelser til og fra, blev det hurtigt fjernet. Dette betyder, at mange brugere skal vælge mellem sikkerhed og at komme til at spille med den nyeste app. "Når jeg ser et program, der prøver at indsamle flere data, end det har brug for, går jeg efter en anden app med lignende funktionaliteter, " sagde Botezatu.
Brugere kan også installere sikkerhedssoftware, der kan hjælpe med at overvåge apptilladelser. Lookout siger, at deres sikkerhedsapp vil begynde at fremhæve disse oplysninger, og Bitdefenders Clueful-app kan hjælpe dig med at beslutte, om en app beder om for meget.
Rogers indrømmer, at "brugeren er langt væk fra hvad en appudvikler accepterer at gøre med deres annoncører." Han anbefalede dog, at brugerne kræver, at appudviklere leverer dokumentation som f.eks. Privatliv og oplysningspolitikker.
Onus er desværre hos udviklere og annoncører til at begynde at behandle alle brugeroplysninger som følsomme og kryptere dem, når den forlader din telefon til, når den sidder på deres servere. Forbrugerne skal i mellemtiden træffe smarte beslutninger om, hvilke apps de installerer og aktivt holder udviklere ansvarlige. "Vi hører hver dag, at der bliver spioneret om nye ting, men i det mindste i dette ene tilfælde er der et let middel, " sagde Rogers.
