Video: Opinionated Groom has Long List of What The Bride Shouldn't Wear | Say Yes To The Dress Atlanta (September 2024)
I slutet av januari avslöjade läckade dokument att NSA och andra nationella spionorganisationer har jobbat hårt med att få information från din smartphone. Men istället för att installera ett fel, knackade de bara på apparna som redan finns på din telefon för att lära sig allt de vill veta.
En arg fågel berättade för mig
Enligt rapporter letar spionorganisationer till så kallade "läckande appar" för att samla in information. Det är en term som vi använde ganska ofta i våra Mobile Threat måndagshistorier, en som Lookouts huvudsäkerhetsforskare Marc Rogers definierar som "Varje app som överför någon form av känslig information utan kryptering."
Du kanske blir förvånad över att denna definition omfattar många appar tillgängliga i både Android- och iOS-appbutikerna. Det beror på att många av dessa appar använder reklamplattformar från tredje part för att tjäna pengar på sina appar. Ibland kan du se annonserna direkt i appen, som i Flappy Bird. Utvecklaren får ett snitt, och du får ett spel gratis.
Men även när du inte ser några annonser, innehåller apputvecklare ofta kod från annonsörer som tyst samlar in information om dig och din enhet. Denna information sammanställs och dissekeras av annonsörer för att bättre kunna rikta in sina annonser. "Ju mer information har om någon, desto mer exakt kommer deras marknadsföringsprofil att vara", förklarade Bitdefenders Senior E-hotspecialist, Bogdan Botezatu.
"För annonsörer, " förklarade Lookouts Rogers, "det finns guld i att förutsäga vad de ska lägga på som kommer att engagera med användare." Det kan vara produkter och tjänster som är närmare ditt intresse eller finns tillgängliga i ditt område. Om du till exempel bodde i Osaka skulle du förmodligen inte vara alltför intresserad av att lära dig om billiga bilar i Chicago.
Annonsörer och marknadsförare är vanligtvis efter identifierbar information - det vill säga något sätt att ansluta din enhet till dig. En enhets EMEI-nummer, Apple ID eller någon annan identifierare gör det, men e-postmeddelanden och telefonnummer är särskilt uppskattade. Med denna information kan annonsörer fastställa att samma person har laddat ner olika appar och samlat in hur de används på olika enheter. Andra annonsörer är mer aggressiva och försöker få din geolocationinformation och mer.
För att ge ett exempel på hur långtgående SDK-information för annonsörer kan vara, jämförde Botezatu dem med Android-fjärråtkomst Trojan, profilerad av Bitdefender. När den har installerats på ett offrets telefon ger den en fullständig kontroll till en angripare som låter dem stjäla kontakter, komma åt webbläsarens historik och spåra offret. "De flesta svarar negativt på AndroRAT när jag visar dem att jag kan slå på mikrofonen, " sade han. "Kort sagt, det är vad som händer med de flesta reklam-SDK: er."
Det är inte helt klart vad NSA använder avlyssnad appinformation för, men det är troligt liknande annonsörer: bygga upp detaljerade profiler på individer från olika information. Naturligtvis kan det användas på andra sätt. Botezatu föreställer sig ett scenario där demonstranter uppror på gatorna mot en förtryckande regering. Om denna imaginära regering hade obehindrad tillgång till platsinformation som skördas av annonsörer, kunde de avgöra vem som var i upploppet och rikta in dem eller deras familjer för vedergällning.
Läckande rör
Som Rogers sa är en app bara läckande om den försöker skicka information utan kryptering. Tyvärr har många av dem valt att inte kryptera informationen från appar på din telefon och vidare till annonsörens servrar. "Vem som helst som lyssnar på routern eller nätverket kan snopa på appdata och göra en kopia, " sa Botezatu.
Medan vi har sett fall av spionbyråer som snuffar på routrar och Wi-Fi-nätverk, säger Rogers att det är en större fråga. "Statliga organisationer är i stånd att utnyttja infrastrukturen på ett sätt som ingen annan kan. En dålig kille kan få en samling data, men regeringar kan ströva över hela internet."
Att skicka data med data till annonsörer är inte alltid bättre än att låta dem avlyssnas av NSA. Botezatu påpekade att när data lämnar din enhet har du ingen kontroll över den. "Dessa annonsörer kan vara på ett ställe där det inte finns någon lagstiftning som skyddar dina uppgifter, och ingen kan garantera att informationen på dessa servrar är säkrad eller inte nås för hackare."
Vem ska skylla
I många fall kanske appens utvecklare inte ens medveten om vilken information som sugs upp av annonsörer. Eller om den informationen är krypterad.
Rogers säger att en stor del av problemet är en branschmissuppfattning om vad som gör datakänsligt. Vissa appar, förklarade han, tar bara lite information - som en sexuell preferens i en datingsapp eller del av ett postnummer i en annan app - utan bekymmer. Annonsörer ser inte den här informationen som känslig eftersom den inte bara säger dig mycket. Men nu kan organisationer som NSA fånga upp data från hundratals appar på en gång och ansluta prickarna. "Statliga organisationer kan korrelera allt detta och bygga en fullständig profil, " sade Rogers.
Det finns också problem med mjukvaruutvecklingssatserna som används av annonsörer för att samla in denna information. Botezatu förklarade att det finns miljoner appar på alla mobila marknadsplatser, men antalet SDK-reklam är mycket litet. "Det finns cirka 100 som driver alla applikationer på Google Play", förklarade han. "Om du kompromissar med ett kompromissar du med ett komplett utbud av applikationer och når ut till många fler kunder."
Kunder (det är du och jag) spelar också en roll i detta eftersom vi faktiskt varnas av våra telefoner att denna information samlas in. När du till exempel laddar ner en app från Google Play går du med på att ge appen tillgång till en rad behörigheter. Detta är information som appen kan komma åt och åtgärder som den kan utföra. "Om Angry Birds använder din plats, kan du anta att den används för reklam på något sätt, sade Rogers.
Hur man kan vara säker
För människor som oss är alternativen för att begränsa vem som ser vår information få. På iPhone kan du tvinga annonsörer att komma åt ett "reklam-ID" som du kan uppdatera när som helst - vilket begränsar hur komplett en profil kan konstrueras. iOS låter dig också ge detaljerade behörigheter till information. Du kan tillåta åtkomst till din plats och sedan stänga av den senare från menyn Inställningar.
Tyvärr har Android släppt efter med granulära behörigheter. Även om Google kort introducerade en kontrollpanel för att låta dig slå på och av behörigheter, togs den snabbt bort. Detta betyder att många användare måste välja mellan säkerhet och att spela med den senaste appen. "När jag ser en applikation som försöker samla in mer data än den behöver, går jag efter en annan app med liknande funktioner", sa Botezatu.
Användare kan också installera säkerhetsprogramvara som kan hjälpa till att övervaka appbehörigheter. Lookout säger att deras säkerhetsapp kommer att börja lyfta fram denna information, och Bitdefenders Clueful-app kan hjälpa dig att avgöra om en app ber om för mycket.
Rogers medger att "användaren är långt borta från vad en apputvecklare accepterar att göra med sina annonsörer." Han rekommenderade dock att användare kräver att apputvecklare tillhandahåller dokumentation som sekretess- och informationspolicyer.
Onus är tyvärr på utvecklare och annonsörer att börja behandla all användarinformation som känslig och kryptera den från när den lämnar din telefon till när den sitter på sina servrar. Under tiden måste konsumenter fatta smarta beslut om vilka appar de installerar och aktivt håller utvecklarna ansvariga. "Vi hör varje dag att nya saker spioneras på, men åtminstone i det här fallet finns det ett enkelt botemedel, " sade Rogers.
