Кибербезопасность мобильных устройств — тема «горячая», ей уделяется все больше внимания. Но в этой сфере все еще много пробелов, не закрытых полноценными научными исследованиями. В том числе в области вполне очевидной: факт отправки персонализированной информации о пользователе смартфона разработчику операционной системы — ни для кого не секрет. Но в каких объемах это происходит, с какой частотой и что именно Google с Apple регулярно запрашивают от устройств о рядовых клиентах?
©Cnet
Профессор информатики Тринити-колледжа в Дублине, доктор наук Дуглас Лейт (Douglas J. Leith) опубликовал (PDF) результаты своего исследования по этому вопросу. Работа не прошла рецензирование и пока не уточняется, собирается ли он отправлять ее в научные журналы. Но статья интересная и в ней соблюдены все требования к подобным материалам.
Лейт использовал два смартфона, на которых получил максимальный уровень доступа к ресурсам системы — Google Pixel 2 с Android 10 и Magisk (root-доступ), а также iPhone 8 с iOS 13.6.1 и Checkra1n (джейлбрейк). Права суперпользователя необходимы, чтобы иметь возможность перехватывать сетевой трафик, путем использования заранее подготовленного сертификата шифрования. В качестве точки доступа к сети интернет использовался ноутбук Apple Macbook, на котором пакеты данных со смартфонов расшифровывались и анализировались.
Условия экспериментов Лейт предусмотрел максимально легко воспроизводимыми. Устройства сбрасывались до заводских настроек, а затем настраивались без входа в учетную запись Apple или Google. В таком виде оба смартфона пролежали на зарядке несколько дней, никаких действий с ними не производилось. Затем Дуглас сымитировал самую небрежную настройку — просто принятие всех предложений системы после сброса к заводским настройкам. Было и несколько иных тестов, в том числе простой просмотр всех системных настроек без их изменения (вдруг ОС отслеживает и такие действия), а также реакция на замену SIM-карты. Выяснились следующие интересные подробности:
Естественно, как только пользователь входит в свою учетную запись Google или Apple, эта информация добавляется к отправляемой на сервера компаний-разработчиков ОС. А без этого действия невозможно работать с облачными сервисами и магазинами приложений. И если на Android еще сохраняется иллюзия свободы действий — можно устанавливать программы из других источников, например, — то в случае с iOS выбора нет. Исходя из этого Лейт напоминает о больших возможностях по слежке за пользователями и злоупотреблению их персональными данными. Причем Apple может отслеживать еще и то, рядом с кем обладатель iPhone находится благодаря опросу окружающих Wi-Fi устройств.
Комментарии
Писали год назад где-то, что независимые спец-ты сделали смартфон Librem, всю шпионку вырезали из него, ось PureOS. Камера, вифи, и т.д. отключаются аппаратно переключателями. Аккумулятор сьемный. Достали уже зажимать узера - это не тронь, то не смени. А экран уже даже на брюхе не помещается. Почему? Что за нафиг?
Также та же компания Purism делает и компы без шпионки. Рассматриваю вопрос, честно говоря, достала уже такая забота о нас. С этими деятелями уже все понятно.
Еще есть другие проекты в этой области - PinePhone, например.
У вас есть такие архиважные секреты которые надо скрывать от органов и корпораций? ))
У благородного мужа всегда есть что скрывать. (с)
Например пин-коды, и т.д. Если для вас ваши пин-коды несекретны, выложите их здесь.
Пароли\логины от ресурсов. Если для вас это публично и общедоступно, прошу выложить здесь.
Касперу вашему привет. Многократно его ловили на отправке куда-то не то что каких-то метаданных, а целиком сразу целых файлов узера, иногда даже с совершенно секретной инфой, принадлежащей разведкам.
Да много чего еще есть.
Меня вообще раздражает сам факт того, что меня держат за круглого идиота.
Всегда поражают люди ,которые говорят что им нечего скрывать. При внимательном осмотре их головы всегда находятся следы от черепно-мозговой травмы
Всегда поражали люди которые ежедневно путают теплое с мягким и при этом уверены в собственном превосходстве над остальным человечеством.
Всегда поражали люди, которые не знают значение термина "Privacy".
Мы же не в зоне пока еще сидим, где нет такого понятия и по команде любой заключенный обязан предъявить содержимое тумбочки и карманов к осмотру.
Вы сильно преувеличиваете значимость своей персоны если думаете что спецслужбам есть дело до содержимого ваших карманов. Хотя... в предыдущей статье защищенный комп использовал маньяк-педофил для общения с несовершеннолетними девочками. Подобные тайны и правда стоит скрывать.
ну тогда, уважаемый честный человек, пожалуйста предоставьте доступ к осмотру своей попы : есть подозрение что вы там прячете наркотики =)
Комментарий удален пользователем или модератором за оскорбление чувств верующих, параноиков, борцов за анальную целостность и владельцев защищенных компов с линуксом
Когда есть, что продать, всегда появляется желание продать.
https://www.cnews.ru/news/top/2021-03-24_bilajn_predlagaet_uznat
Так ведь не через дыры в смартфонах украли. Сами эти данные предоставили вполне традиционными способами. А гугл с эпплом ваши интересы мониторят чтобы новости/рекламу подсовывать более адресно. Нафиг им не упали пин-коды кредиток. Надо будет так сами введете в Гуглпэй и аппсторе.
Похоже, уважаемые люди тоже заметили эту досадную недоработку.
Всерьез думаете что разведкам и корпорациям уровня гугл и эппл интересны пинкоды от вашей кредитки, пароли вашего компа или мелкие бытовые тайны Qielee? А вот факт покупки защищенного ноута может быть отмечен и при случае вас спросят "с какой целью"
Ну кто-то же тырит одних только денежных средств сотни миллионов (если не миллиарды) долларов ежегодно. Как раз с помощью разнообразных дыр. И мне лично от осознания того, что бэкдором воспользовалось не ЦРУ, а какой-нибудь безвестный Васиссуалий Пупинский, ни на гран не полегчает. Хотя кто сказал, что тырят именно Васиссуалии, а не штатные сотрудники?
Внимательно прочитайте заголовок статьи. Лучше несколько раз. Потом попробуйте прочитать саму статью. Где там упоминаются ЦРУ, ФСБ или даже хакеры что крадут деньги миллионами? То что происходит в голове у Семена не имеет отношения к опубликованному материалу.
Наличие слива для компании-разработчика означает, что им может воспользоваться кто угодно. механизмы могут быть любыми, от перехвата этого трафика третьей стороной, до недобросовестного сотрудника компании.
Кроме того, незачем фокусироваться именно на краже чего-либо. Профилирование пользователей, манипуляция контентом и мнением -- все это тоже перспективные и активно прорабатываемые направления действий.
И что вам помешало упомянуть об этом в статье? Чтобы поменьше оставить простора для неверных толкований и прочих домыслов?
Пушто не резиновая статья)
Да и повод для комментариев надо давать)
У меня не тырят. Хоть по мнению Семена я ничего не понимаю в компьютерной безопасности и даже слова "приватность" не знаю ))) Но как-то вот обхожусь без специальных компов со специальным линуксом.
Ошибка выжившего
Соблюдение _простых_ правил безопасности значительно повышает вероятность такой "ошибки" )) Обычное смс подтверждение операций (на сегодняшний день) вполне надежный способ защиты. Хоть и не идеальный. При желании и его можно взломать вот только желание должно быть очень сильным.
Скорее "случай из жизни"
Как будто я что-нибудь понимаю в КБ. В ней вообще никто ничего толком не понимает, а уж тем более "эксперды". И хорошие варианты защиты никто не светит, не обсуждает и не выкладывает.
Попахивает конспирологией уже, ну
Эта подмена понятий -- нарочная, дабы спор продолжить?
Нет:
>У меня не тырят Хоть ... я ничего не понимаю в компьютерной безопасности и даже слова "приватность" не знаю ... обхожусь без специальных компов со специальным линуксом
Фактически эквивалентно:
у меня не тырят, хотя я каждую ночь хожу по неблагополучным районам и кошельком со звенящими шекелями размахиваю
Частое употребление фразы "подмена понятий" (трижды за неделю) ничего на самом деле не доказывает, а лишь делает вас предсказуемым . Если вы хотите увести спор в область обмена такими "доводами", то его и вправду лучше не начинать.