Casa Securitywatch Come l'NSA sta trasformando le tue app contro di te

Come l'NSA sta trasformando le tue app contro di te

Video: Come-L - Down Bad [Official Music Video] (Novembre 2024)

Video: Come-L - Down Bad [Official Music Video] (Novembre 2024)
Anonim

Alla fine di gennaio, i documenti trapelati hanno rivelato che l'NSA e altre organizzazioni di spionaggio nazionali hanno lavorato sodo per ottenere informazioni dallo smartphone. Ma invece di installare un bug, hanno semplicemente attinto alle app già presenti sul telefono per imparare tutto ciò che vogliono sapere.

Un uccello arrabbiato mi ha detto

Secondo i rapporti, le organizzazioni spia stanno cercando le cosiddette "app che perdono" per raccogliere informazioni. È un termine che abbiamo usato abbastanza spesso nelle nostre storie del lunedì sulle minacce mobili, uno che il principale ricercatore di sicurezza di Lookout Marc Rogers definisce "Qualsiasi app che trasmette qualsiasi tipo di informazione sensibile senza crittografia".

Potresti essere sorpreso dal fatto che questa definizione comprende molte delle app disponibili negli app store sia Android che iOS. Questo perché molte di queste app utilizzano piattaforme pubblicitarie di terze parti per aiutare a monetizzare le loro app. A volte puoi vedere gli annunci direttamente nell'app, come in Flappy Bird. Lo sviluppatore ottiene un taglio e ottieni un gioco gratuitamente.

Ma anche quando non vedi annunci pubblicitari, gli sviluppatori di app spesso includono codice dagli inserzionisti che raccoglie silenziosamente informazioni su di te e sul tuo dispositivo. Queste informazioni sono raccolte e analizzate dagli inserzionisti per aiutare a indirizzare meglio i loro annunci. "Più informazioni hanno su qualcuno, più preciso sarà il loro profilo di marketing", ha spiegato Bogdan Botezatu, specialista senior delle minacce elettroniche di Bitdefender.

"Per gli inserzionisti", ha spiegato Rogers di Lookout, "c'è l'oro nel prevedere cosa mettere che coinvolgerà gli utenti". Potrebbe trattarsi di prodotti e servizi più vicini al tuo interesse o disponibili nella tua zona. Se vivessi ad Osaka, per esempio, probabilmente non saresti troppo interessato a conoscere auto economiche a Chicago.

Gli inserzionisti e gli esperti di marketing in genere ricercano informazioni identificabili, ovvero un modo per connettere il dispositivo all'utente. Il numero EMEI di un dispositivo, l'ID Apple o qualche altro identificatore lo faranno, ma le e-mail e i numeri di telefono sono particolarmente apprezzati. Con queste informazioni, gli inserzionisti possono determinare che la stessa persona ha scaricato app diverse e capire come vengono utilizzate su dispositivi diversi. Altri inserzionisti sono più aggressivi e cercano di ottenere informazioni sulla geolocalizzazione e altro ancora.

Per fare un esempio di quanto possano essere estese le informazioni sull'SDK dell'inserzionista, Botezatu le ha confrontate con il Trojan di accesso remoto Android profilato da Bitdefender. Una volta installato sul telefono di una vittima, offre un controllo totale a un utente malintenzionato che gli consente di rubare i contatti, accedere alla cronologia del browser e tracciare la vittima. "La maggior parte delle persone risponde negativamente ad AndroRAT quando mostro loro che posso accendere il microfono", ha detto. "A parte questo, è quello che succede con la maggior parte degli SDK pubblicitari."

Non è del tutto chiaro per cosa l'NSA stia utilizzando le informazioni sulle app intercettate, ma è probabilmente simile agli inserzionisti: creare profili dettagliati sugli individui da informazioni disparate. Certo, potrebbe essere usato in altri modi. Botezatu immagina uno scenario in cui i manifestanti si ribellavano nelle strade contro un governo oppressivo. Se questo governo immaginario avesse libero accesso alle informazioni sulla posizione raccolte dagli inserzionisti, avrebbero potuto determinare chi era nella rivolta e prendere di mira loro o le loro famiglie per ritorsioni.

Tubi che perdono

Come ha detto Rogers, un'app perde solo se tenta di inviare informazioni senza crittografia. Sfortunatamente, molti di loro hanno deciso di non crittografare le informazioni che fluiscono dalle app sul telefono e sui server dell'inserzionista. "Chiunque stia ascoltando sul router o sulla rete può curiosare sui dati dell'app e fare una copia", ha detto Botezatu.

Mentre abbiamo visto casi di agenzie di spionaggio curiosare su router e reti Wi-Fi, Rogers afferma che si tratta di un problema maggiore. "Le organizzazioni governative sono in grado di sfruttare le infrastrutture in un modo che nessun altro può. Un cattivo può ottenere una manciata di dati, ma i governi possono cavalcare l'intera rete".

Inviare ritmi di dati agli inserzionisti non è sempre meglio che farli intercettare dalla NSA. Botezatu ha sottolineato che una volta che i dati lasciano il tuo dispositivo, non hai alcun controllo su di essi. "Questi inserzionisti potrebbero trovarsi in un luogo in cui non esiste una legislazione a tutela dei tuoi dati e nessuno può garantire che le informazioni su tali server siano protette o irraggiungibili per gli hacker."

Chi è la colpa

In molti casi, lo sviluppatore dell'app potrebbe non essere nemmeno a conoscenza di quali informazioni vengono aspirate dagli inserzionisti. O se tali informazioni sono crittografate.

Rogers afferma che gran parte del problema è un malinteso del settore su ciò che rende i dati sensibili. Alcune app, ha spiegato, prendono solo un po 'di informazioni, come una preferenza sessuale in un'app di appuntamenti o parte di un codice postale in un'altra app, senza preoccupazioni. Gli inserzionisti non vedono queste informazioni come sensibili perché da sole non ti dicono molto. Ma ora organizzazioni come la NSA possono intercettare i dati di centinaia di app contemporaneamente e collegare i punti. "Le organizzazioni governative possono correlare tutto ciò e costruire un profilo completo", ha affermato Rogers.

Esistono anche problemi con i kit di sviluppo software utilizzati dagli inserzionisti per raccogliere queste informazioni. Botezatu ha spiegato che mentre ci sono milioni di app in tutti i mercati mobili, il numero di SDK pubblicitari è molto piccolo. "Ce ne sono circa 100 che alimentano tutte le applicazioni su Google Play", ha spiegato. "Se ne comprometti uno, comprometti una gamma completa di applicazioni e raggiungi molti più clienti."

Anche i clienti (siamo io e te) partecipano a questo perché in realtà i nostri telefoni ci avvisano che tali informazioni vengono raccolte. Quando scarichi un'app da Google Play, ad esempio, accetti di consentire all'app di accedere a una serie di autorizzazioni. Queste sono le informazioni a cui l'app può accedere e le azioni che può eseguire. "Se Angry Birds sta usando la tua posizione, puoi presumere che venga utilizzato in qualche modo per fare pubblicità, ha affermato Rogers.

Come stare al sicuro

Per gente come noi, le opzioni per limitare chi vede le nostre informazioni sono poche. Su iPhone, puoi costringere gli inserzionisti ad accedere a un "ID pubblicità" che puoi aggiornare in qualsiasi momento, limitando la costruzione di un profilo completo. iOS ti consente anche di fornire autorizzazioni granulari alle informazioni. Puoi consentire l'accesso alla tua posizione, quindi disattivarla in un secondo momento dal menu Impostazioni.

Sfortunatamente, Android è rimasto indietro con autorizzazioni granulari. Sebbene Google abbia introdotto brevemente un pannello di controllo per consentire l'attivazione e la disattivazione delle autorizzazioni, è stato rimosso rapidamente. Ciò significa che molti utenti devono scegliere tra sicurezza e giocare con l'ultima app. "Quando vedo un'applicazione che tenta di raccogliere più dati del necessario, scelgo un'altra app con funzionalità simili", ha affermato Botezatu.

Gli utenti possono anche installare software di sicurezza che possono aiutare a monitorare le autorizzazioni delle app. Lookout dice che la loro app di sicurezza inizierà a evidenziare queste informazioni e l'app Clueful di Bitdefender può aiutarti a decidere se un'app richiede troppo.

Rogers ammette che "l'utente è molto lontano da ciò che uno sviluppatore di app accetta di fare con i propri inserzionisti". Tuttavia, ha raccomandato agli utenti di richiedere che gli sviluppatori di app forniscano documentazione come le politiche sulla privacy e sulla divulgazione.

Purtroppo, è compito degli sviluppatori e degli inserzionisti iniziare a trattare tutte le informazioni degli utenti come sensibili e crittografarle da quando lascia il telefono a quando si trova sui loro server. I consumatori, nel frattempo, devono prendere decisioni intelligenti su quali app installano e rendere attivamente responsabili gli sviluppatori. "Ogni giorno sentiamo che vengono spiate nuove cose, ma almeno in questo caso c'è un rimedio facile", ha detto Rogers.

Come l'NSA sta trasformando le tue app contro di te