Vídeo: NSA Overview (De novembre 2024)
A finals de gener, els documents filtrats van revelar que la NSA i altres organitzacions nacionals d’espionatge han estat difícils de treballar per obtenir informació des del telèfon intel·ligent. Però, en lloc d’instal·lar un error, simplement es van posar en contacte a les aplicacions del telèfon per aprendre tot el que volen saber.
Un Angry Bird em va dir
Segons els informes, les organitzacions d’espionatge busquen les anomenades “aplicacions filtrades” per recopilar informació. És un terme que hem utilitzat bastant sovint en les nostres històries de Dilluns per a mòbils, un que l’investigador principal en seguretat de Lookout Marc Rogers defineix com "Qualsevol aplicació que transmet qualsevol tipus d’informació sensible sense xifrar".
Us sorprendrà que aquesta definició abasta moltes de les aplicacions disponibles tant a les botigues d’aplicacions Android com a iOS. Això és així perquè moltes d’aquestes aplicacions utilitzen plataformes publicitàries de tercers per ajudar a obtenir ingressos amb les seves aplicacions. De vegades podeu veure els anuncis directament a l'aplicació, com en Flappy Bird. El desenvolupador obté un tall i obtindreu un joc gratuïtament.
Però, fins i tot quan no veieu cap anunci, els desenvolupadors d'aplicacions solen incloure codi dels anunciants que recopilen de manera silenciosa informació sobre vosaltres i el vostre dispositiu. Els anunciants recopilen i disseccionen aquesta informació per ajudar-los a orientar-los millor. "Com més informació tingui sobre algú, més exacte serà el seu perfil de màrqueting", va explicar Bogdan Botezatu, especialista en amenaça en línia de Bitdefender.
"Per als anunciants", va explicar Rogers de Lookout, "hi ha or per predir què posar-hi que interactuarà amb els usuaris". Poden ser productes i serveis més propers al vostre interès o que estiguin disponibles a la vostra zona. Per exemple, si visquéssiu a Osaka, probablement no us interessaria gaire conèixer els cotxes barats a Chicago.
Els anunciants i els venedors solen obtenir informació identificable, és a dir, d'alguna manera de connectar el vostre dispositiu. Ho faran el número EMEI del dispositiu, l'identificador d'Apple o algun altre identificador, però són especialment apreciats els correus electrònics i els números de telèfon. Amb aquesta informació, els anunciants poden determinar que la mateixa persona ha descarregat aplicacions diferents i aclarir com s’utilitzen en diferents dispositius. Altres anunciants són més agressius i intenten obtenir informació de geolocalització i molt més.
Per donar un exemple sobre la distància que pot ser la informació de l’SDK de l’anunciant, Botezatu els va comparar amb l’accés remot d’Android a Trojan perfilat per Bitdefender. Un cop instal·lat al telèfon de la víctima, dóna un control total a un atacant permetent-los robar contactes, accedir a l’historial del navegador i fer un seguiment de la víctima. "La majoria de la gent respon negativament a AndroRAT quan els mostro puc encendre el micròfon", va dir. "Respecte d'això, això és el que passa amb la majoria dels SDK publicitaris".
No està del tot clar per a què utilitza NSA la informació d'aplicacions interceptades, però és probable que sigui semblant als anunciants: crear perfils detallats sobre individus a partir d'informació diferent. Per descomptat, es podria utilitzar d’altres maneres. Botezatu imagina un escenari en què es manifestaven manifestants al carrer contra un govern opressor. Si aquest govern imaginari tingués accés sense restriccions a la informació sobre la ubicació recollida pels anunciants, podrien determinar qui estava al motí i dirigir-los a ells o a les seves famílies per a represàlies.
Tubs filtrats
Com va dir Rogers, una aplicació només té filtracions si intenta enviar informació sense xifrat. Malauradament, molts han optat per no xifrar la informació que surt de les aplicacions del telèfon i dels servidors de l'anunciant. "Qualsevol persona que estigui escoltant el router o la xarxa pot fer un tomb en les dades de l'aplicació i fer una còpia", va dir Botezatu.
Mentre que hem vist casos d’agències d’espionatge que s’abocaven en routers i xarxes Wi-Fi, Rogers diu que és un problema més important. "Les organitzacions governamentals estan en condicions d'aprofitar la infraestructura d'una manera que ningú no pot fer. Un dolent pot obtenir un grapat de dades, però els governs poden evitar tota Internet."
No és millor enviar l'enviament de dades als anunciants perquè no sigui interceptat per l'AN. Botezatu va assenyalar que, un cop les dades surtin del dispositiu, no teniu cap control sobre aquest. "Aquests anunciants poden estar en un lloc on no hi ha cap legislació que protegeixi les vostres dades i ningú no pot garantir que la informació d'aquests servidors estigui protegida o no accessible als pirates informàtics".
Qui és a culpar
En molts casos, el desenvolupador de l’aplicació pot ni tan sols tenir coneixement de quina informació està rebent els anunciants. O si aquesta informació està xifrada.
Rogers diu que una gran part del problema és la idea errònia de la indústria sobre allò que fa que les dades siguin sensibles. Algunes aplicacions, va explicar, només prenen una mica d'informació, com ara una preferència sexual en una aplicació de cites o una part d'un codi postal d'una altra aplicació, sense preocupació. Els anunciants no veuen aquesta informació com a sensible, ja que sols no us ho expliquen gaire. Però ara organitzacions com la NSA poden interceptar dades de centenars d'aplicacions alhora i connectar els punts. "Les organitzacions governamentals poden correlacionar tot això i crear un perfil complet", va dir Rogers.
També hi ha problemes amb els kits de desenvolupament de programari utilitzats pels anunciants per recopilar aquesta informació. Botezatu ha explicat que, tot i que hi ha milions d'aplicacions a tots els mercats mòbils, el nombre de SDK publicitaris és molt reduït. "Hi ha prop de 100 que alimenten totes les aplicacions a Google Play", va explicar. "Si en comprometeu una, comprometreu una gamma completa d'aplicacions i us adreceu a molts més clients."
Els clients (que sigueu tu i jo) també participen en això perquè realment se'ns avisa que els nostres telèfons estan recollint aquesta informació. Quan, per exemple, descarregueu una aplicació de Google Play, esteu d'acord a donar accés a l'aplicació a diversos permisos. Aquesta és la informació a la qual pot accedir l'aplicació i les accions que pot dur a terme. "Si Angry Birds utilitza la vostra ubicació, podeu suposar que s'utilitza per a la publicitat d'alguna manera", va dir Rogers.
Com romandre segur
Per a gent com nosaltres, són poques les opcions per limitar qui veu la nostra informació. A l'iPhone, podeu obligar els anunciants a accedir a un "identificador de publicitat" que podeu actualitzar en qualsevol moment, limitant el format complet d'un perfil. iOS també us permet proporcionar permisos granulars per obtenir informació. Podeu permetre l’accés a la vostra ubicació i desactivar-la més tard al menú Configuració.
Malauradament, Android s’ha quedat enrere amb els permisos granulars. Tot i que Google va introduir breument un tauler de control per deixar-vos activar i desactivar els permisos, es va eliminar ràpidament. Això significa que molts usuaris han de triar entre la seguretat i jugar amb la darrera aplicació. "Quan veig una aplicació que intenta recopilar més dades de les que necessita, vaig a buscar una altra aplicació amb funcionalitats similars", va dir Botezatu.
Els usuaris també poden instal·lar programari de seguretat que us pot ajudar a supervisar els permisos d'aplicacions. Lookout diu que la seva aplicació de seguretat començarà a destacar aquesta informació i que l’aplicació Pista de Bitdefender us pot ajudar a decidir si una aplicació demana massa.
Rogers reconeix que "l'usuari queda molt allunyat del que un desenvolupador d'aplicacions accepta fer amb els seus anunciants". Tot i això, va recomanar als usuaris que exigeixin que els desenvolupadors d'aplicacions proporcionin documentació com ara privadesa i polítiques de divulgació.
Desafortunadament, l’únic programari és que els desenvolupadors i els anunciants comencen a tractar tota la informació de l’usuari com a sensible i la xifren des del moment que deixa el telèfon fins a l’hora d’estar assegut als seus servidors. Mentrestant, els consumidors han de prendre decisions intel·ligents sobre les aplicacions que instal·len i que es responsabilitzin activament als desenvolupadors. "Estem escoltant cada dia que s'està espiant coses noves, però almenys en aquest cas hi ha un remei fàcil", va dir Rogers.