Главная › Новости

Кибер-канкан

Опубликовано: 28.08.2018

Магазинчик БО. Эпизод 6. Зайберпанк

Те, кому некогда, могут дальше не читать, а для остальных продолжу.

Группа исследователей из университета Northeastern в США более года решала благородную задачу — проверить, нарушают ли тайну нашей личной жизни приложения для операционной системы Android, и если да, то какие. О результатах этого исследования было доложено на конференции по обеспечению безопасности персональных данных Privacy Enhancing Technologies 2018. Статью, содержащую описание методологии исследования и его результаты, можно найти по адресу https://recon.meddle.mobi/panoptispy/ . Полное число проверенных приложений, полученных из нескольких официальных источников, составило 17 260.

Меня лично в очередной раз порадовали ученые. В самом начале статьи они заявляют, что явных попыток проникнуть в чужую личную жизнь — подсмотреть с помощью одной из камер или подслушать через микрофон — им обнаружить не удалось. Сказано «не удалось», а не безапелляционно «не было». До чего же это несовременно…

И вместе с тем… Как известно, всем пользователям Android, прежде чем инсталлировать любое приложение, требуется в явном виде дать согласие на то, что программа будет обращаться к определенным ресурсам вашего планшета или смартфона. Однако многие ли задумываются, а для чего приложению могли бы понадобиться эти ресурсы? Приложение из надежного источника? Да. Ну, значит, разрешим ему все, чего оно просит.

Мало того. Мы разрешаем, скажем, приложению, которое обрабатывает фотографии, обращаться к мультимедиа-файлам. Между прочим, ко всем. А если программа отошлет другие наши фотографии и видео кому-то и куда-то? А ведь мы это разрешили! Или вот доступ к SMS-сообщениям. Он требуется приложению один раз, для первоначальной авторизации, но мы-то выдаем его навсегда.

Однако все это общеизвестно, и я упомянул все эти вещи лишь для полноты.

Есть по меньшей мере одна операция, на которую Android не накладывает никаких ограничений. Это моментальные снимки экрана. Ничто не препятствует из таких кадров составить целый фильм обо всем, чем вы занимались за своим смартфоном, а потом отправить его тому, кому это интересно. А вы там, между прочим, и пароль разок-другой вводили… И отнюдь не все программы заменяют буквы черными кружками сразу же, некоторые буквы-цифры ненадолго, но показывают…

А самое неприятное состоит в том, что разработчик приложения порой может и не знать, что все это в его программе происходит. В наши дни решительно все разработчики программного обеспечения пользуются готовыми библиотеками стандартных функций и автоматизированными средствами разработки (SDK).

Исследователи обнаружили по меньшей мере один случай, когда полный фильм-отчет об операциях пользователя отправлялся в некий таинственный адрес, составленный из длинного ряда ничего не значащих цифр. Распространители некоего пакета SDK делали это с самыми благородными намерениями (ну разумеется!) — чтобы узнать, с какими проблемами сталкиваются пользователи и как они эти проблемы решают.

Ученые, конечно, большие дети, но они, тем не менее, незамедлительно дали знать обо всем создателям приложения, которые столь же незамедлительно отказались от этого SDK.

Один из грантов, которые финансировали это исследование, выдала компания Google, так что есть надежда, что Android не навсегда сохранит в себе этот недочет, но последний ли он? А как жить нам, грешным?

Я лично никогда не пользовался банковскими мобильными приложениями и теперь уж точно не буду. А в остальном…

А может, смириться? Может, черт с ней, с приватностью? В конце концов, современные девушки в своей повседневной одежде постоянно предъявляют urbi et orbi куда больше, чем на короткую секундочку демонстрировали парижские ах-какие-развратные красотки кабаре Мулен-Руж полтора столетия назад. И ничего. И я даже против этого ничего не имею…

Однако это выбор каждого — либо выставить на всеобщее обозрение свою личную жизнь, либо отказаться от всех или некоторых (порой сомнительных) удобств, которые нам предоставляют мобильные устройства. Я уверен, что другие мобильные операционные системы в этом отношении ничуть не лучше, чем Android.

А в заключение одна пикантная деталь. Для динамического контроля действий приложений в Интернете использовалась… специальная VPN. Она аккуратно записывала на диск весь трафик с каждого устройства (одновременно проверяли приложения на шести смартфонах), а потом исследователи этот трафик анализировали. Практические все коммерческие VPN декларируют, что не хранят и не регистрируют никакие пользовательские данные. Но лишь в редких случаях они еще и заказывают аудит своих программ и оборудования независимым фирмам, которые гарантируют уже от своего имени, что никаких средств для хищения персональных данных VPN на момент аудита не имела.

А как насчет аудита мобильных приложений? Хотя бы самых критичных…