Video: Bleeding in Early Pregnancy Does bleeding always mean miscarriage (November 2024)
Eind januari bleek uit gelekte documenten dat de NSA en andere nationale spionage-organisaties hard aan het werk waren om informatie van uw smartphone te krijgen. Maar in plaats van een bug te installeren, trokken ze gewoon in de apps die al op je telefoon stonden om alles te leren wat ze willen weten.
Een boze vogel vertelde me
Volgens rapporten zijn spionageorganisaties op zoek naar zogenaamde "lekkende apps" om informatie te verzamelen. Het is een term die we vrij vaak hebben gebruikt in onze verhalen over Mobile Threat Monday, een term die Lookout's hoofdonderzoeker Marc Rogers definieert als "Elke app die elke vorm van gevoelige informatie doorgeeft zonder codering."
Het zal je misschien verbazen dat deze definitie veel van de beschikbare apps in zowel de Android- als iOS-appstores omvat. Dat komt omdat veel van deze apps gebruikmaken van advertentieplatforms van derden om geld te verdienen met hun apps. Soms zie je de advertenties rechtstreeks in de app, zoals in Flappy Bird. De ontwikkelaar krijgt een deel en je krijgt een gratis spel.
Maar zelfs als u geen advertenties ziet, bevatten app-ontwikkelaars vaak code van adverteerders die stilletjes informatie over u en uw apparaat verzamelt. Deze informatie wordt verzameld en ontleed door adverteerders om hun advertenties beter te kunnen targeten. "Hoe meer informatie over iemand, hoe nauwkeuriger hun marketingprofiel zal zijn", aldus Bogdan Botezatu, senior e-dreigingsspecialist van Bitdefender.
"Voor adverteerders, " verklaarde Rogers van Lookout, "zit er goud in het voorspellen van wat er aan te trekken is dat gebruikers zal aanspreken." Dit kunnen producten en diensten zijn die dichter bij uw interesse liggen, of die in uw regio beschikbaar zijn. Als je bijvoorbeeld in Osaka woonde, zou je waarschijnlijk niet al te geïnteresseerd zijn in goedkope auto's in Chicago.
Adverteerders en marketeers zijn meestal op zoek naar identificeerbare informatie, dat wil zeggen een manier om uw apparaat met u te verbinden. Het EMEI-nummer, de Apple ID of een andere identificatie van een apparaat is voldoende, maar e-mails en telefoonnummers worden bijzonder gewaardeerd. Met deze informatie kunnen adverteerders vaststellen dat dezelfde persoon verschillende apps heeft gedownload en achterhalen hoe deze op verschillende apparaten worden gebruikt. Andere adverteerders zijn agressiever en proberen uw geolocatiegegevens te verkrijgen en meer.
Om een voorbeeld te geven van hoe verreikende SDK-informatie voor adverteerders kan zijn, heeft Botezatu deze vergeleken met de externe toegangs-trojan voor Android die door Bitdefender is geprofileerd. Eenmaal geïnstalleerd op de telefoon van een slachtoffer, geeft het een aanvaller totale controle waardoor hij contacten kan stelen, toegang kan krijgen tot de browsergeschiedenis en het slachtoffer kan volgen. "De meeste mensen reageren negatief op AndroRAT wanneer ik ze laat zien dat ik de microfoon kan inschakelen, " zei hij. "Kortom, dat is wat er gebeurt met de meeste SDK's voor advertenties."
Het is niet helemaal duidelijk waarvoor de NSA onderschepte app-informatie gebruikt, maar het is waarschijnlijk vergelijkbaar met adverteerders: het opbouwen van gedetailleerde profielen op individuen uit ongelijksoortige informatie. Natuurlijk kan het op andere manieren worden gebruikt. Botezatu stelt zich een scenario voor waarbij demonstranten op straat rellen tegen een onderdrukkende regering. Als deze denkbeeldige overheid onbelemmerde toegang had tot locatiegegevens die door adverteerders waren verzameld, konden ze bepalen wie er in opstand was en zich op hen of hun families richten voor vergelding.
Lekkende pijpen
Zoals Rogers zei, een app lekt alleen als deze informatie zonder codering probeert te verzenden. Helaas hebben velen van hen ervoor gekozen om de informatie die afkomstig is van apps op uw telefoon en op de servers van de adverteerder niet te coderen. "Iedereen die op de router of het netwerk luistert, kan de app-gegevens bekijken en een kopie maken, " zei Botezatu.
Hoewel we instanties van spionagebureaus hebben zien snuffelen op routers en wifi-netwerken, zegt Rogers dat het een groter probleem is. "Overheidsorganisaties zijn in staat om infrastructuur te benutten op een manier die niemand anders kan. Een slechterik kan een verzameling gegevens krijgen, maar regeringen kunnen zich over het hele internet verspreiden."
Het verzenden van gegevensstromen naar adverteerders is niet altijd beter dan ze te laten onderscheppen door de NSA. Botezatu wees erop dat zodra gegevens uw apparaat verlaten, u er geen controle meer over hebt. "Die adverteerders bevinden zich mogelijk op een plaats waar er geen wetgeving is die uw gegevens beschermt, en niemand kan garanderen dat de informatie op die servers beveiligd of onbereikbaar is voor hackers."
Wie is de schuldige
In veel gevallen is de ontwikkelaar van de app mogelijk niet eens op de hoogte van welke informatie door adverteerders wordt opgezogen. Of als die informatie is gecodeerd.
Rogers zegt dat het grootste deel van het probleem een misvatting van de sector is over wat gegevens gevoelig maakt. Sommige apps, legde hij uit, nemen slechts een klein beetje informatie - zoals een seksuele voorkeur in een dating-app of een deel van een postcode in een andere app - zonder zorgen. Adverteerders zien deze informatie niet als gevoelig, omdat ze u alleen niet veel vertellen. Maar nu kunnen organisaties zoals de NSA gegevens van honderden apps tegelijk onderscheppen en de punten verbinden. "Overheidsorganisaties kunnen dat allemaal correleren en een volledig profiel opbouwen", aldus Rogers.
Er zijn ook problemen met de software-ontwikkelingskits die adverteerders gebruiken om deze informatie te verzamelen. Botezatu legde uit dat hoewel er miljoenen apps zijn op alle mobiele marktplaatsen, het aantal SDK's voor advertenties erg klein is. "Er zijn ongeveer 100 die alle applicaties op Google Play voeden", legt hij uit. "Als u een compromis sluit, compromitteert u een volledig scala aan toepassingen en bereikt u veel meer klanten."
Klanten (jij en ik) spelen hier ook een rol in, omdat we door onze telefoons worden gewaarschuwd dat deze informatie wordt verzameld. Wanneer u bijvoorbeeld een app downloadt van Google Play, stemt u ermee in de app toegang te geven tot een reeks machtigingen. Dit is informatie waartoe de app toegang heeft en acties die het kan uitvoeren. "Als Angry Birds je locatie gebruikt, kun je ervan uitgaan dat het op de een of andere manier wordt gebruikt voor reclame, " aldus Rogers.
Hoe veilig te blijven
Voor mensen zoals wij zijn er maar weinig opties om te beperken wie onze informatie ziet. Op de iPhone kunt u adverteerders dwingen toegang te krijgen tot een 'advertentie-ID' die u op elk gewenst moment kunt vernieuwen - waarmee u beperkt hoe compleet een profiel kan worden opgebouwd. Met iOS kunt u ook gedetailleerde machtigingen verlenen voor informatie. U kunt toegang tot uw locatie verlenen en deze later uitschakelen via het menu Instellingen.
Helaas is Android achtergebleven met korrelige machtigingen. Hoewel Google kort een configuratiescherm heeft geïntroduceerd waarmee u machtigingen kunt in- en uitschakelen, werd het snel verwijderd. Dit betekent dat veel gebruikers moeten kiezen tussen beveiliging en spelen met de nieuwste app. "Als ik een toepassing zie die meer gegevens probeert te verzamelen dan nodig is, kies ik voor een andere app met vergelijkbare functies", aldus Botezatu.
Gebruikers kunnen ook beveiligingssoftware installeren die kan helpen app-machtigingen te controleren. Lookout zegt dat hun beveiligingsapp deze informatie gaat markeren en de Clueful-app van Bitdefender kan u helpen beslissen of een app te veel vraagt.
Rogers geeft toe dat "de gebruiker ver verwijderd is van wat een app-ontwikkelaar met zijn adverteerders wil doen." Hij beval echter wel aan dat gebruikers eisen dat app-ontwikkelaars documentatie verstrekken zoals privacy- en openbaarmakingsbeleid.
Het is helaas de taak van ontwikkelaars en adverteerders om alle gebruikersinformatie als gevoelig te behandelen en te coderen vanaf het moment dat deze uw telefoon verlaat tot wanneer deze op hun servers staat. Consumenten moeten ondertussen slimme beslissingen nemen over welke apps ze installeren en ontwikkelaars actief verantwoordelijk houden. "We horen elke dag dat er nieuwe dingen worden bespioneerd, maar in dit geval is er in elk geval een eenvoudige oplossing", aldus Rogers.
