Video: Cara Mudah! Ubah Tampilan Home Screen iPhone & App icon iOS 14 (Oktober 2024)
I slutten av januar avslørte lekkede dokumenter at NSA og andre nasjonale spionorganisasjoner har jobbet hardt for å få informasjon fra smarttelefonen din. Men i stedet for å installere en feil, tappet de bare på appene allerede på telefonen din for å lære alt de vil vite.
En sint fugl fortalte meg
Ifølge rapporter leter spionorganisasjoner etter såkalte "lekker apper" for å samle informasjon. Det er et begrep som vi har brukt ganske ofte i historiene om Mobile Threat Monday, et som Lookouts Principal Security Researcher Marc Rogers definerer som "Enhver app som sender all form for sensitiv informasjon uten kryptering."
Du kan bli overrasket over at denne definisjonen omfatter mange av appene som er tilgjengelige i både Android- og iOS-appbutikkene. Det er fordi mange av disse appene bruker tredjeparts annonseringsplattformer for å tjene penger på appene deres. Noen ganger kan du se annonsene rett i appen, som i Flappy Bird. Utvikleren får et kutt, og du får et spill gratis.
Men selv når du ikke ser noen annonser, inkluderer apputviklere ofte kode fra annonsører som rolig samler inn informasjon om deg og enheten din. Denne informasjonen blir samlet og dissekert av annonsører for å bedre målrette annonsene sine. "Jo mer informasjon har om noen, desto mer nøyaktig vil markedsføringsprofilen deres være, " forklarte Bitdefenders senior e-trusselspesialist, Bogdan Botezatu.
"For annonsører, " forklarte Lookouts Rogers, "det er gull i å forutsi hva de skal ta på seg som vil engasjere seg med brukere." Dette kan være produkter og tjenester som er nærmere din interesse, eller som er tilgjengelige i ditt område. Hvis du for eksempel bodde i Osaka, ville du sannsynligvis ikke være for interessert i å lære om billige biler i Chicago.
Annonsører og markedsførere er vanligvis etter identifiserbar informasjon - det vil si en måte å koble enheten din til deg. En enhets EMEI-nummer, Apple ID eller annen identifikator vil gjøre det, men e-postmeldinger og telefonnumre er spesielt verdsatt. Med denne informasjonen kan annonsører bestemme at den samme personen har lastet ned forskjellige apper og skaffet hvordan de brukes på forskjellige enheter. Andre annonsører er mer aggressive, og prøver å få informasjon om geografisk plassering med mer.
For å gi et eksempel på hvor vidtrekkende SDK-informasjon fra annonsører kan være, sammenlignet Botezatu dem med Android-fjerntilgangen Trojan som er profilert av Bitdefender. Når den er installert på et offers telefon, gir den total kontroll til en angriper som lar dem stjele kontakter, få tilgang til nettleserens historie og spore offeret. "De fleste reagerer negativt på AndroRAT når jeg viser dem at jeg kan slå på mikrofonen, " sa han. "Kort sagt, det er det som skjer med de fleste reklame SDK-er."
Det er ikke helt klart hva NSA bruker oppfanget appinformasjon til, men det er sannsynligvis likt annonsører: å bygge detaljerte profiler på enkeltpersoner fra forskjellig informasjon. Selvfølgelig kan den brukes på andre måter. Botezatu forestiller seg et scenario der demonstranter opprørte i gatene mot en undertrykkende regjering. Hvis denne imaginære regjeringen hadde uhindret tilgang til stedsinformasjon høstet av annonsører, kunne de avgjøre hvem som var i opprøret og målrette dem eller deres familier for gjengjeldelse.
Lekkende rør
Som Rogers sa, er en app bare lekker hvis den prøver å sende informasjon uten kryptering. Dessverre har mange av dem valgt å ikke kryptere informasjonen som flyter fra apper på telefonen din og videre til annonsørens servere. "Alle som hører på ruteren eller nettverket kan snuse på appdataene og lage en kopi, " sa Botezatu.
Mens vi har sett forekomster av spionbyråer som snuter på rutere og Wi-Fi-nettverk, sier Rogers at det er et større problem. "Regjeringsorganisasjoner er i en posisjon til å utnytte infrastruktur på en måte som ingen andre kan. En dårlig fyr kan få en samling data, men myndighetene kan spenne over hele internett."
Å sende datautstyr til annonsører er ikke alltid bedre enn å få dem oppfanget av NSA. Botezatu påpekte at når data forlater enheten din, har du ingen kontroll over den. "Disse annonsørene kan være et sted der det ikke er lovverk som beskytter dine data, og ingen kan garantere at informasjonen på disse serverne er sikret eller ikke tilgjengelig for hackere."
Hvem skal skylde
I mange tilfeller er det mulig at appens utvikler ikke engang er klar over hvilken informasjon som blir sugd opp av annonsører. Eller hvis den informasjonen er kryptert.
Rogers sier at stor del av problemet er en misforståelse fra bransjen om hva som gjør datasensitiv. Noen apper, forklarte han, tar bare litt informasjon - som en seksuell preferanse i en datingsapp eller deler av et postnummer i en annen app - uten bekymring. Annonsører ser ikke denne informasjonen som sensitiv, fordi den alene ikke forteller deg mye. Men nå kan organisasjoner som NSA avlytte data fra hundrevis av apper samtidig, og koble sammen prikkene. "Regjeringsorganisasjoner kan korrelere alt dette og bygge en fullstendig profil, " sa Rogers.
Det er også problemer med programvareutviklingssettene som brukes av annonsører for å samle denne informasjonen. Botezatu forklarte at mens det er millioner av apper på alle mobilmarkedene, er antallet SDK-er som annonseres veldig lite. "Det er rundt 100 som driver alle applikasjonene på Google Play, " forklarte han. "Hvis du går på akkord med en, går du på akkord med et komplett spekter av applikasjoner og når ut til mange flere kunder."
Kunder (det er du og meg) spiller også en rolle i dette fordi vi faktisk blir advart av telefonene våre om at denne informasjonen blir samlet inn. Når du for eksempel laster ned en app fra Google Play, samtykker du i å gi appen tilgang til en rekke tillatelser. Dette er informasjon som appen har tilgang til, og handlinger den kan utføre. "Hvis Angry Birds bruker din beliggenhet, kan du anta at den blir brukt til å reklamere på en eller annen måte, sa Rogers.
Slik holder du deg trygg
For folk som oss er alternativene for å begrense hvem som ser informasjonen vår, få. På iPhone kan du tvinge annonsører til å få tilgang til en "annonse-ID" som du kan oppdatere når som helst - og begrense hvor fullstendig en profil kan konstrueres. iOS lar deg også gi detaljerte tillatelser til informasjon. Du kan gi tilgang til posisjonen din, og deretter slå den av senere fra Innstillinger-menyen.
Dessverre har Android hengt etter med granulære tillatelser. Selv om Google kort presenterte et kontrollpanel for å la deg slå av og på tillatelser, ble det raskt fjernet. Dette betyr at mange brukere må velge mellom sikkerhet og å få spille med den nyeste appen. "Når jeg ser en applikasjon som prøver å samle inn mer data enn den trenger, går jeg etter en annen app med lignende funksjoner, " sa Botezatu.
Brukere kan også installere sikkerhetsprogramvare som kan hjelpe med å overvåke apptillatelser. Lookout sier at sikkerhetsappen deres vil begynne å fremheve denne informasjonen, og Bitdefenders Clueful-app kan hjelpe deg med å bestemme om en app ber om for mye.
Rogers innrømmer at "brukeren er langt unna det en apputvikler godtar å gjøre med annonsørene sine." Han anbefaler imidlertid at brukerne krever at apputviklere leverer dokumentasjon som retningslinjer for personvern og avsløring.
Onus, dessverre, er på utviklere og annonsører å begynne å behandle all brukerinformasjon som sensitiv og kryptere den fra når den forlater telefonen til når den sitter på serverne sine. Forbrukerne må i mellomtiden ta smarte beslutninger om hvilke apper de installerer og aktivt holder utviklere ansvarlige. "Vi hører hver dag at det blir spionert om nye ting, men i det minste i dette tilfellet er det et lett middel, " sa Rogers.
