211service.com
Kā lietotņu izstrādātāji atstāj atvērtas durvis NSA uzraudzībai
Ziņas par to, ka Nacionālā drošības aģentūra gadiem ilgi ir ievācusi personas datus, kas nopludināti no mobilajām lietotnēm, piemēram, Angry Birds, vakar izraisīja jaunu pļāpāšanas vilni par NSA sasniedzamību. Tomēr NSA un tās ekvivalentam Apvienotajā Karalistē GCHQ diez vai bija jāpieliek lielas tehniskās pamatnes, lai apkopotu šos datus. Dažas mobilās lietotnes ievieš šifrēšanas tehnoloģiju, lai aizsargātu datus, ko tās sūta internetā, tāpēc aģentūras varētu triviāli savākt un atšifrēt šos datus, izmantojot esošo piekļuvi interneta tīkliem.
Dokumenti, kurus redzējis un publicējis Ņujorkas Laiks un Aizbildnis Laikraksti liecina, ka NSA un GCHQ var iegūt informāciju, piemēram, personas vecumu, atrašanās vietu un seksuālo orientāciju no datiem, ko lietojumprogrammas sūta internetā. Šāda personas informācija ir ietverta datos, ko lietotnes nosūta atpakaļ uzņēmumiem, kas tos uztur un atbalsta. Tas ietver datus, kas nosūtīti uzņēmumiem, kas apkalpo un atlasa reklāmas mobilajās lietotnēs.
Tas liecina par lietotņu uzņēmumu nolaidīgu nedrošības līmeni, saka Pīters Ekerslijs , Electronic Frontier Foundation tehnoloģiju projektu direktors. Ekerslijs saka, ka cenšas pārliecināt uzņēmumus droša tīmekļa trafika parāda plaši izplatītu nevērību pret riskiem, kas saistīti ar cilvēku datu nosūtīšanu internetā bez aizsardzības pret pārtveršanu. Lielākajai daļai uzņēmumu nav likumīga iemesla neaizsargāt šos datus, saka Ekerslijs. Bieži vien viņu lietotāju drošība un privātums ir tik tālu prioritāšu sarakstā, ka viņi pat nav domājuši par to.
UZ 2012. gada pētījums No 13 500 Android lietotņu, ko veica pētnieki Vācijā, atklājās, ka tikai 0,8 procenti izmantoja tikai šifrētus savienojumus un 43 procenti neizmanto šifrēšanu vispār. Pagājušajā nedēļā mobilo lietotņu drošības uzņēmums MetaIntell ziņots ka 92 procenti no 500 populārākajām Android lietojumprogrammām dažus datus nosūtīja nedroši.
Bieži vien ir grūti noteikt, vai lietotne izmanto šifrēšanu vai ne, lai pārsūtītu datus. Tīmekļa pārlūkprogrammās blakus vietnes tīmekļa adresei tiek rādīta piekaramās slēdzenes ikona, ja tā izmanto šifrēšanu, taču mobilajām lietotnēm šāda ekvivalenta nav. Manuāla pārbaude, vai mobilā lietotne nodrošina datu pārsūtīšanu, ietver tīkla žurnālu pārbaudi, lai pārbaudītu, kā lietotne izveido savienojumu ar serveriem.
Pirmdien publicētajos dokumentos Google Maps izcelts kā īpaši noderīgu datu noplūde novērošanas vajadzībām. Gan NSA, gan GCHQ dokumentos ir norādīts, kā no šīs lietotnes pārtvertie meklēšanas vaicājumi var atklāt personas kustības. 2008. gada dokumentā no GCHQ teikts, ka sistēma, kas izveidota šo datu pārtveršanai, nozīmē, ka ikviens, kas viedtālrunī izmanto Google Maps, atbalsta G.C.H.Q. sistēma.
Pagājušā gada septembrī Google padarīja šifrēšanu par noklusējumu savai tīmekļa meklēšanai, taču nepublisko, kuras tās mobilās lietotnes izmanto šifrēšanu. Uzņēmuma pārstāvis pastāstīja MIT tehnoloģiju apskats ka pašreizējās lietotnes Google Maps versijās tiek izmantota šifrēšana, lai aizsargātu datus, kas tiek nosūtīti atpakaļ uz uzņēmuma serveriem. Tas liek domāt, ka izlūkošanas aģentūras vairs nevar redzēt vietas, kuras cilvēki meklē, pārtverot interneta trafiku.
Nopludinātie dokumenti arī parāda, kā daudzās lietotnēs iebūvētā reklāmu mērķauditorijas atlases tehnoloģija var nopludināt personas informāciju. Daudzi lietotņu uzņēmumi izmanto trešo pušu reklāmu uzņēmumu tehnoloģijas, kas vāc un pārsūta reklāmu izsekošanas un reklāmu mērķauditorijas atlases datus (skatiet sadaļu Mobilo reklāmu uzņēmumi meklē jaunus veidus, kā jūs izsekot, un sagatavojieties reklāmām, kas seko jums no vienas ierīces uz otru ).
Šajos datos bieži ir ietverti personas profila dati, piemēram, dzimums, aptuvenais vecums un atrašanās vieta. 2012. gada GCHQ ziņojumā ir detalizēti aprakstīta tehnoloģija, kas izstrādāta, lai izvilktu šādus profilus no spēles Angry Birds pārsūtītajiem datiem. MetaIntell šīs lietotnes pašreizējās Android versijas analīzē atklājās, ka tā nosūta nešifrētus datus AdMob, mobilo reklāmu uzņēmumam, kas pieder Google. 2012. gada pārskatā ir izcelts arī reklāmas uzņēmums Tūkstošgades , kurā tiek apkopoti profili, kas var ietvert arī personas etnisko piederību, ģimenes stāvokli un seksuālo orientāciju. To pastāstīja Millennial pārstāvis MIT tehnoloģiju apskats ka uzņēmums var redzēt tikai datus, kurus tā partneriem ir atļauts vākt no saviem lietotājiem un ka reklāmu mērķauditorija netiek atlasīta, pamatojoties uz seksuālo orientāciju.
Reklāmu tehnoloģiju uzņēmumiem, piemēram, Millennial, ir mazāk stimulu veltīt laiku pārsūtīto datu aizsardzībai nekā lietotņu veidotājiem, jo tie strādā aizkulisēs. Neatkarīgs pētnieks saka, ka reklāmu uzņēmumi, visticamāk, neizmantos šifrēšanu Aškans Soltani . Viņš veicināja a 2010. gada aptauja mobilo lietotņu konfidencialitāti un drošību Wall Street Journal kas atklāja, ka lielākā daļa lietotņu nosūtīto datu nav aizsargāti ar šifrēšanu. Lielākā daļa reklāmu platformu to neatbalsta.
Marks Rodžerss, mobilās drošības uzņēmuma galvenais drošības pētnieks Uzmanies , teikts, ka pirmdienas ziņas varētu palīdzēt lietas mainīt. Viņš saka, ka kā nozarei mobilo lietotņu izstrādātājiem un jo īpaši mobilo sakaru reklāmdevējiem būs jāmaina izpratne par to, kas jāuzskata par sensitīvu, iekļaujot jebkādu personisko informāciju, kas tiek nosūtīta pa vadu.
Ja tas nenotiks, tas nav saistīts ar tehnisko un finansiālo slogu. Ņemot vērā mūsdienu tehnoloģiju stāvokli, nevienai mobilajai lietotnei nevajadzētu dot tiesības ieviest pareizu šifrēšanu, saka Rodžerss.