Video: ITAGO MO MGA APPS MO (Nobyembre 2024)
Noong huling bahagi ng Enero, inihayag ng mga leaken na dokumento na ang NSA at iba pang mga nasyonal na organisasyon ng ispya ay naging mahirap sa pagkuha ng impormasyon mula sa iyong smartphone. Ngunit sa halip na mag-install ng isang bug, nag-tap lang sila sa mga app na nasa iyong telepono upang malaman ang lahat ng nais nilang malaman.
Isang Galit na Ibon ang Sinabi sa Akin
Ayon sa mga ulat, hinahanap ng mga organisasyon ng ispya ang tinatawag na "leaky apps" upang mangalap ng impormasyon. Ito ay isang term na madalas naming ginamit sa aming mga kwentong Mobile Threat Lunes, isa na ang tinutukoy ng Principal Security ng Mananaliksik ng Pag-asa na si Marc Rogers bilang "Anumang app na pumasa sa anumang uri ng sensitibong impormasyon nang walang pag-encrypt."
Maaari kang mabigla na ang kahulugan na ito ay sumasaklaw sa marami sa mga magagamit na apps sa parehong mga tindahan ng Android at iOS. Ito ay dahil marami sa mga app na ito ang gumagamit ng mga platform ng advertising ng third-party upang matulungan ang pag-monetize ng kanilang mga app. Minsan maaari mong makita ang mga ad nang tama sa app, tulad ng sa Flappy Bird. Ang developer ay nakakakuha ng isang hiwa, at makakakuha ka ng isang laro nang libre.
Ngunit kahit na hindi mo makita ang anumang mga ad, ang mga developer ng app ay madalas na kasama ang code mula sa mga advertiser na tahimik na nangongolekta ng impormasyon tungkol sa iyo at sa iyong aparato. Ang impormasyong ito ay pinagsama at nahihiwalay ng mga advertiser upang makatulong na mas mahusay na mai-target ang kanilang mga ad. "Ang mas maraming impormasyon tungkol sa isang tao, mas tumpak ang kanilang profile sa marketing, " ipinaliwanag ng Senior E-threat Specialist ng Bitdefender na si Bogdan Botezatu.
"Para sa mga advertiser, " ipinaliwanag ng Lookout's Rogers, "mayroong ginto sa paghula kung ano ang isusuot na makikipag-ugnayan sa mga gumagamit." Maaari itong maging mga produkto at serbisyo na mas malapit sa iyong interes, o magagamit sa iyong lugar. Kung nakatira ka sa Osaka, halimbawa, malamang na hindi ka masyadong interesado na malaman ang tungkol sa murang mga kotse sa Chicago.
Ang mga advertiser at marketer ay karaniwang pagkatapos ng makikilalang impormasyon - iyon ay, ang ilang paraan upang ikonekta ang iyong aparato sa iyo. Ang numero ng EMEI ng isang aparato, Apple ID, o ilang iba pang tagatukoy ay gagawin, ngunit ang mga email at numero ng telepono ay partikular na pinahahalagahan. Sa impormasyong ito, matutukoy ng mga advertiser na ang parehong tao ay nag-download ng iba't ibang mga app at glean kung paano ginagamit ang mga ito sa iba't ibang mga aparato. Ang iba pang mga advertiser ay mas agresibo, at subukang makuha ang iyong impormasyon sa geolocation, at marami pa.
Upang magbigay ng isang halimbawa tungkol sa kung paano maaaring makuha ang impormasyong SDK ng advertiser, inihambing ng Botezatu ang mga ito sa remote na pag-access ng Android Trojan na nai-profile ng Bitdefender. Sa sandaling naka-install sa telepono ng isang biktima, nagbibigay ito ng kabuuang kontrol sa isang umaatake na pinapayagan silang magnakaw ng mga contact, ma-access ang kasaysayan ng browser, at subaybayan ang biktima. "Karamihan sa mga tao ay negatibong tumugon sa AndroRAT kapag ipinakita ko sa kanila maaari kong i-on ang mikropono, " aniya. "Maikli iyon, iyon ang nangyayari sa karamihan ng mga SDK sa advertising."
Hindi ganap na malinaw kung ano ang ginagamit ng NSA ng intercepted na impormasyon ng app para sa, ngunit malamang na katulad nito sa mga advertiser: ang pagbuo ng detalyadong mga profile sa mga indibidwal mula sa hindi magkakaibang impormasyon. Siyempre, maaari itong magamit sa iba pang mga paraan. Inilarawan ni Botezatu ang isang senaryo kung saan ang mga nagpoprotesta ay nagra-riot sa mga kalye laban sa isang mapang-aping gobyerno. Kung ang gobyernong haka-haka na ito ay walang nakuhang pag-access sa impormasyon sa lokasyon na na-ani ng mga advertiser, matutukoy nila kung sino ang nasa kaguluhan at target sila o ang kanilang mga pamilya para sa paghihiganti.
Leaky Pipes
Tulad ng sinabi ni Rogers, ang isang app ay leaky lamang kung sinusubukan nitong magpadala ng impormasyon nang walang pag-encrypt. Sa kasamaang palad, marami sa kanila ang nagpasya na huwag i-encrypt ang impormasyon na dumadaloy mula sa mga app sa iyong telepono at sa mga server ng advertiser. "Ang sinumang nakikinig sa router o sa network ay maaaring mag-intindi sa data ng app at gumawa ng isang kopya, " sabi ni Botezatu.
Habang nakita namin ang mga pagkakataon ng mga ahensya ng ispya na nakalulula sa mga router at Wi-Fi network, sinabi ni Rogers na ito ay isang malaking isyu. "Ang mga samahan ng pamahalaan ay nasa posisyon upang magamit ang imprastruktura sa paraang walang ibang makakaya. Ang isang masamang tao ay maaaring makakuha ng isang kopya ng data, ngunit ang mga gobyerno ay maaaring gumulo sa buong internet."
Ang pagpapadala ng mga reams ng data sa mga advertiser ay hindi palaging mas mahusay kaysa sa pagpigil sa kanila ng NSA. Binigyang diin ng Botezatu na sa sandaling maiiwan ng data ang iyong aparato, wala kang kontrol dito. "Ang mga advertiser ay maaaring nasa isang lugar kung saan walang batas na nagpoprotekta sa iyong data, at walang sinuman ang magagarantiyahan na ang impormasyon sa mga server ay ligtas o hindi maabot sa mga hacker."
Sino ang Masisisi
Sa maraming mga kaso, ang developer ng app ay maaaring hindi kahit na magkaroon ng kamalayan sa kung anong impormasyon ang sinipsip ng mga advertiser. O kung naka-encrypt ang impormasyong iyon.
Sinabi ni Rogers na ang malaking bahagi ng problema ay isang maling ideya ng industriya tungkol sa kung ano ang gumagawa ng data na sensitibo. Ang ilang mga app, ipinaliwanag niya, kumuha lamang ng kaunting impormasyon-tulad ng isang sekswal na kagustuhan sa isang dating app o bahagi ng isang ZIP code sa ibang app - nang walang pag-aalala. Hindi nakikita ng mga advertiser ang impormasyong ito bilang sensitibo dahil nag-iisa hindi ito sabihin sa iyo ng isang pulutong. Ngunit ngayon ang mga organisasyon tulad ng NSA ay maaaring makagambala ng data mula sa daan-daang mga app nang sabay-sabay, at ikonekta ang mga tuldok. "Ang mga samahan ng pamahalaan ay maaaring maiugnay ang lahat ng iyon at bumuo ng isang kumpletong profile, " sabi ni Rogers.
Mayroon ding mga isyu sa mga software development kit na ginamit ng mga advertiser upang tipunin ang impormasyong ito. Ipinaliwanag ni Botezatu na habang may mga milyon-milyong mga app sa lahat ng mga mobile marketplaces, napakakaunti ang bilang ng mga SDK advertising. "Mayroong halos 100 na nagbibigay kapangyarihan sa lahat ng mga aplikasyon sa Google Play, " paliwanag niya. "Kung ikompromiso mo ang isa, ikompromiso mo ang isang buong hanay ng mga aplikasyon at umaabot sa maraming mga customer."
Ang mga customer (na ikaw at ako) ay gumaganap din ng isang bahagi sa ito dahil kami ay talagang binalaan ng aming mga telepono na ang impormasyong ito ay nakolekta. Kapag nag-download ka ng isang app mula sa Google Play, halimbawa, sumasang-ayon ka na bigyan ang access ng app sa isang hanay ng mga pahintulot. Ito ang impormasyon na ma-access ng app, at mga aksyon na maaaring isagawa. "Kung ang Angry Birds ay gumagamit ng iyong lokasyon, maaari mong ipagpalagay na ginagamit ito para sa advertising kahit papaano, sinabi ni Rogers.
Paano Manatiling Ligtas
Para sa mga tao tulad namin, ang mga pagpipilian para sa paglilimita sa kung sino ang makakakita ng aming impormasyon ay kakaunti. Sa iPhone, maaari mong pilitin ang mga advertiser na ma-access ang isang "advertising ID" na maaari mong i-refresh sa anumang oras - nililimitahan kung paano kumpleto ang isang profile. Hinahayaan ka rin ng iOS na magbigay ka ng mga pahintulot na butil sa impormasyon. Maaari mong payagan ang pag-access sa iyong lokasyon, at pagkatapos ay i-off ito sa ibang pagkakataon mula sa menu ng Mga Setting.
Sa kasamaang palad, nahuli ang Android sa pamamagitan ng mga pahintulot ng butil. Bagaman sa madaling panahon ipinakilala ng Google ang isang control panel upang hayaan kang mag-on and off ang mga pahintulot, mabilis itong tinanggal. Nangangahulugan ito na maraming mga gumagamit ang pumili sa pagitan ng seguridad at upang i-play sa pinakabagong app. "Kapag nakakita ako ng isang application na sumusubok na mangolekta ng mas maraming data kaysa sa kinakailangan, pumunta ako para sa isa pang app na may mga katulad na pag-andar, " sabi ni Botezatu.
Maaari ring mai-install ng mga gumagamit ang software ng seguridad na makakatulong sa pagsubaybay sa mga pahintulot sa app. Sinasabi ng Lookout na ang kanilang security app ay magsisimulang i-highlight ang impormasyong ito, at ang Clueful app ng Bitdefender ay maaaring makatulong sa iyo na magpasya kung ang isang app ay humihingi ng sobra.
Kinumpirma ni Rogers na "ang gumagamit ay napalayo sa kung ano ang sumang-ayon sa isang developer ng app sa kanilang mga advertiser." Gayunpaman, inirerekumenda niya na hiniling ng mga gumagamit na magbigay ng dokumentasyon ang mga developer ng app tulad ng mga patakaran sa privacy at pagsisiwalat.
Ang onus, nakalulungkot, ay nasa mga developer at mga advertiser upang simulan ang pagpapagamot ng lahat ng impormasyon ng gumagamit bilang sensitibo at i-encrypt ito mula sa pag-alis nito sa iyong telepono hanggang sa pag-upo nito sa kanilang mga server. Samantala, ang mga mamimili, ay kailangang gumawa ng matalinong mga pagpapasya tungkol sa kung ano ang kanilang mga pag-install at aktibong hawakan ang mga developer. "Naririnig namin araw-araw na ang mga bagong bagay ay napansin, ngunit hindi bababa sa isang kaso na mayroong madaling lunas, " sabi ni Rogers.
