视频: ä¸è¦å²ç¬æåçæ§ (十一月 2024)
1月下旬,泄露的文件显示,NSA和其他国家间谍组织一直在努力从智能手机中获取信息。 但是,他们没有安装bug,而是利用手机上已有的应用程序来学习他们想知道的一切。
愤怒的小鸟告诉我
据报道,间谍组织正在寻找所谓的“泄漏应用程序”来收集信息。 我们在《移动威胁星期一》的故事中经常使用这个术语,Lookout的首席安全研究员马克·罗杰斯(Marc Rogers)将其定义为“任何无需加密即可传递任何敏感信息的应用程序”。
您可能会惊讶于此定义包含Android和iOS应用商店中可用的许多应用。 这是因为其中许多应用程序都使用第三方广告平台来帮助其应用程序获利。 有时,您可以在应用程序中看到广告,例如Flappy Bird。 开发人员获得了回报,您免费获得了一款游戏。
但是,即使您没有看到任何广告,应用程序开发人员也经常包含广告客户提供的代码,以悄悄地收集有关您和您设备的信息。 该信息由广告商编辑和分解,以帮助更好地定位广告。 Bitdefender的高级电子威胁专家Bogdan Botezatu解释说:“有关某人的信息越多,他们的营销资料就越准确。”
Lookout的Rogers解释说:“对于广告商而言,在预测将要投放到用户身上的内容方面具有黄金。” 这可能是更贴近您的兴趣或在您所在地区可用的产品和服务。 例如,如果您住在大阪,您可能对在芝加哥学习廉价汽车不太感兴趣。
广告商和营销商通常会关注可识别的信息,即通过某种方式将设备连接到您。 设备的EMEI编号,Apple ID或其他一些标识符都可以使用,但是电子邮件和电话号码尤为重要。 借助此信息,广告客户可以确定同一个人已下载了不同的应用程序,并了解了它们在不同设备上的使用方式。 其他广告客户则更具进取心,他们会尝试获取您的地理位置信息等等。
为了举例说明广告客户SDK信息的影响范围,Botezatu将它们与Bitdefender概述的Android远程访问Trojan进行了比较。 一旦安装在受害者的电话上,它就可以完全控制攻击者,让他们窃取联系人,访问浏览器历史记录并跟踪受害者。 他说:“当我向他们展示我可以打开麦克风时,大多数人对AndroRAT的反应都是负面的。” “简短地说,多数广告SDK就是这样。”
目前尚不清楚NSA将截获的应用程序信息用于什么目的,但可能与广告客户类似:通过不同的信息为个人建立详细的个人资料。 当然,它可以以其他方式使用。 博特扎图(Botezatu)设想了这样一种情况:示威者在街头骚动反对压迫性政府。 如果这个虚构的政府可以不受限制地访问广告商收集的位置信息,则他们可以确定谁在骚乱中,并将他们或他们的家人作为报复对象。
漏水的管道
正如罗杰斯所说,一个应用程序只有在尝试发送未加密的信息时才会泄漏信息。 不幸的是,他们中的许多人选择不加密从手机上的应用程序流到广告客户的服务器的信息。 Botezatu说:“任何在路由器或网络上监听的人都可以窥探应用程序数据并进行复制。”
虽然我们已经看到间谍机构在路由器和Wi-Fi网络上进行监听的实例,但罗杰斯说这是一个更大的问题。 “政府组织可以以其他人无法利用的方式利用基础架构。坏人可以获得大量数据,但是政府可以跨越整个互联网。”
向广告商发送大量数据并不总是比被NSA拦截更好。 Botezatu指出,一旦数据离开您的设备,您将无法对其进行控制。 “那些广告商可能处在没有立法保护您的数据的地方,没有人能保证这些服务器上的信息是安全的或黑客无法访问的。”
谁要怪
在许多情况下,应用程序的开发人员甚至可能不知道广告商正在吸收哪些信息。 或者,如果该信息已加密。
罗杰斯说,问题的很大一部分是业界对数据敏感的误解。 他解释说,有些应用程序只需要一点点信息,例如约会应用程序中的性偏爱或另一个应用程序中的邮政编码的一部分,而无需担心。 广告客户认为此信息不敏感,因为仅此一项并不能告诉您很多信息。 但是现在,像NSA这样的组织可以一次拦截数百个应用程序中的数据,并将各个点连接起来。 罗杰斯说:“政府组织可以将所有这些联系起来并建立完整的档案。”
广告商用于收集此信息的软件开发工具包也存在问题。 Botezatu解释说,尽管在所有移动市场中都有数百万个应用程序,但广告SDK的数量却很少。 他解释说:“大约有100种电源为Google Play上的所有应用程序供电。” “如果您破坏了一个应用程序,则将破坏整个应用程序范围,并扩大到更多客户。”
客户(也就是您和我)也参与其中,因为实际上我们的电话警告我们正在收集此信息。 例如,当您从Google Play下载应用程序时,即表示您同意授予该应用程序访问一系列权限的权限。 这是应用程序可以访问的信息以及可以执行的操作。 罗杰斯说:“如果《愤怒的小鸟》正在使用您的位置,则可以假定它已被用于广告宣传。
如何保持安全
对于像我们这样的人,限制谁看到我们信息的选择很少。 在iPhone上,您可以强制广告商访问“广告ID”,您可以随时对其进行刷新,从而限制了个人资料的完整构建方式。 iOS还允许您提供信息的细化权限。 您可以允许访问您的位置,然后稍后从“设置”菜单中将其关闭。
不幸的是,Android在精细权限方面落后于后面。 尽管Google简要介绍了一个控制面板,可让您打开和关闭权限,但该面板很快就被删除了。 这意味着许多用户必须在安全性和使用最新应用程序之间进行选择。 Botezatu说:“当我看到一个应用程序试图收集比所需更多的数据时,我会选择另一个具有类似功能的应用程序。”
用户还可以安装可以帮助监视应用程序权限的安全软件。 Lookout表示,他们的安全应用程序将开始突出显示此信息,而Bitdefender的Clueful应用程序可以帮助您确定应用程序是否要求太多。
罗杰斯(Rogers)承认,“与应用开发者同意与广告商做的事情相去甚远。” 但是,他确实建议用户要求应用程序开发人员提供诸如隐私和披露政策之类的文档。
不幸的是,开发人员和广告商有责任开始将所有用户信息视为敏感信息,并从手机离开到坐在服务器上对其进行加密。 同时,消费者需要对他们安装的应用程序做出明智的决定,并积极要求开发人员负责。 罗杰斯说:“我们每天都在听到新事物在被监视,但是至少在这种情况下,有一种简单的补救方法。”
