أسبوع الأمن 06: أجهزة تتبع الإعلانات في تطبيقات الجوال

يرسل تطبيق جرس الباب الذكي من Amazon Ring معلومات المستخدم التفصيلية إلى ثلاث شركات في وقت واحد ، ويجمع المعلومات للاستهداف الإعلاني اللاحق ، وكذلك إلى شبكة Facebook الاجتماعية. هذه هي نتائج دراسة أجرتها مؤسسة الحدود الإلكترونية ( أخبار ، مقالة أصلية ). لا يمكن أن يطلق على نتائج تحليل EFF اكتشافًا صادمًا: توفر غالبية تطبيقات الجوال البيانات لشبكات الإعلانات بطريقة أو بأخرى. الفائدة هي طريقة فك تشفير البيانات ، وكذلك نوع التطبيق قيد الدراسة. على عكس أي سيناريوهات أخرى ، نتحدث هنا عن العمل مع كاميرا مراقبة شخصية. مثل هذا التفاعل ، من الناحية النظرية ، يجب أن يحدث بأقصى مستوى من الخصوصية.

لكن لا. على سبيل المثال ، تتلقى شبكة Facebook الاجتماعية إشعارات من تطبيق Amazon Ring حول فتح التطبيق ، وحول إجراءات المستخدم ، بالإضافة إلى البيانات التي يمكن أن تحدد المالك. تتضمن طراز الهاتف الذكي وإعدادات اللغة ودقة الشاشة ومعرف الجهاز. سيقوم Facebook بمعالجة كل هذه البيانات حتى إذا لم يكن لديك حساب على شبكة اجتماعية. هذا في حد ذاته مشكلة مثيرة للاهتمام: إذا كان لديك حساب على Facebook ، فأنت على الأقل لديك الحد الأدنى من التحكم في البيانات المرتبطة مباشرة به. إذا لم يكن هناك حساب ، فلا توجد سيطرة ، ولكن الشبكة الاجتماعية لا تزال تعرف شيئًا عنك. على الرغم من أن ليس كل مجموعات البيانات المرسلة إلى المعلنين تحتوي على معرفات مستخدم فريدة (مثل الاسم الأول واسم العائلة) ، إلا أن هذا ليس مطلوبًا في كثير من الأحيان.إن الجمع بين البيانات من التطبيقات المختلفة يحددنا بشكل أفضل من جوازات السفر ويبلغ المعلنين عن هذه السمات والعادات التي قد لا نشك في أنفسنا.

تم إجراء تحليل البيانات باستخدام أداة قياسية - حزمة البرمجيات mitmproxy المفتوحة . يستخدم الهاتف الذكي mitmproxy لنقل جميع البيانات وفك تشفير حركة مرور https ، يتم تثبيت شهادة الجذر على الجهاز. إجراء آخر ضروري في مثل هذه الحالات هو حظر نقل البيانات من جميع التطبيقات باستثناء التطبيق قيد التحقيق. تم تنفيذ تقييد حركة المرور باستخدام تطبيق AFWall +تتطلب حقوق مستخدم مميز على الهاتف الذكي. ومع ذلك ، حتى هذا المزيج لم يكن كافيًا: يستخدم تطبيق Amazon Ring شهاداته الخاصة للتواصل مع شبكات الإعلانات ، متجاهلاً تلك التي تم تثبيتها على النظام. وأشار التقرير إلى أن هذا النهج في الوضع المعتاد يحمي حركة المستخدم حتى على الهاتف الذكي المخترق جزئيًا ، ولكنه يعقد بشكل كبير دراسات حركة المرور "الشرعية". باستخدام إطار عمل Frida ، كان من الممكن تعديل التطبيق قيد التشغيل بحيث يستخدم شهادة من mitmproxy.

بالإضافة إلى Facebook ، يرسل تطبيق Amazon Ring البيانات إلى مجمعي الإعلانات Branch.io و AppsFlyer و Mixpanel. Appsflyer - على وجه الخصوص ، يتلقى معلومات حول الناقل المستخدم ، والعديد من معرفات المستخدم ، بالإضافة إلى وجود متتبع إعلاني لهذه الشركة ، إذا كان مثبتًا مسبقًا على الجهاز. والأكثر إثارة للاهتمام هو أن AppsFlyer يتلقى أيضًا معلومات من أجهزة الاستشعار الفيزيائية للهاتف الذكي: مقياس المغناطيسية ومقياس التسارع والجيروسكوب. تتلقى شبكة MixPanel ، وفقًا لـ EFF ، الحد الأقصى من المعلومات الخاصة: الاسم الكامل والبريد الإلكتروني والعنوان وملف تعريف الجهاز وإعدادات التطبيق مع معلمات الكاميرات المثبتة والمزيد.

وعلق المتحدث باسم أمازون رينغ على الدراسة بالطريقة المتوقعة: فلا بأس! يتم استخدام نقل البيانات إلى جهة خارجية لجمع الإحصاءات بهدف زيادة تحسين التطبيق ، وقياس فعالية الحملات التسويقية. الخدمات التي يتم نقل البيانات إليها ملزمة بموجب العقد باستخدام المعلومات فقط كما هو مسموح به من قبل مطور التطبيق ، وليس بأي طريقة أخرى. وما الذي يسمح لهم المطور بذلك؟ تشكو مؤسسة Electronic Frontier Foundation من أن Amazon Ring لا تقوم فقط بجمع معلومات حول المستخدم ، ولكنها أيضًا لا تبلغه بذلك. الأعمال التجارية للعديد من عمالقة صناعة تكنولوجيا المعلومات الحديثة مبنية على جمع ومعالجة بيانات المستهلكين ، واليوم أصبحت ممارسة إرسال معلومات المستخدم مقبولة بشكل عام. لا يختلف Amazon Ring عن التطبيقات الأخرى ،التي نقوم بتثبيتها بأنفسنا أو التي قامت الشركة المصنعة للهاتف بتنزيلها قبل إرسال الجهاز للبيع بالتجزئة. فقط مراجعة المعايير الأخلاقية (وليس اتفاقيات المستخدم) ، والممارسات المقبولة بشكل عام لحماية معلومات المستخدم يمكن أن تغير هذا الوضع. على الأقل في حالة أكثر السيناريوهات حساسية للمستخدم - عندما يتعلق الأمر بحساب مصرفي أو كلمات مرور أو نظام مراقبة بالفيديو المنزلي.

ماذا حدث أيضًا: دراسة
جديدة حول تسريبات البيانات من ذاكرة التخزين المؤقت لمعالجات Intel (التي تم إصدارها قبل الربع الرابع من عام 2019) عبر قنوات الجهات الخارجية. تمكن مؤلفو العمل العلمي من التحايل على التصحيحات التي تستخدمها Intel للتعامل مع الثغرات المكتشفة سابقًا. لا يتجاوز هجوم CacheOut مسح ذاكرة التخزين المؤقت القسري فحسب ، بل يسمح لك أيضًا بتحديد درجة معينة من المعلومات التي يمكن استخراجها. يمكن استخدام الثغرة نظريًا لتنفيذ سيناريو "الهروب من آلة افتراضية" ، على الرغم من أنه وفقًا لشركة Intel ، فإن الاستغلال العملي غير مرجح. سيتم إغلاق الثغرة الأمنية عن طريق تحديث الرمز الصغير في المعالجات المدعومة. يغلق Adobe

العديد من نقاط الضعف في منصة التجارة الإلكترونية Magento. من بينها مشكلة خطيرة تسمح بإدخال SQL وتنفيذ التعليمات البرمجية التعسفية. تتم مهاجمة الأنظمة المستندة إلى Magento بشكل غير منتظم من أجل سرقة البيانات من الموقع أو اعتراض تفاصيل الدفع من المستخدمين في الوقت الفعلي.

مغلقثغرة عادية في خدمة مؤتمرات الويب Zoom. بشكل افتراضي ، لا يعد الوصول إلى المكالمة الجماعية محميًا بكلمة مرور ، وللاتصال تحتاج إلى معرفة معرف من 9 إلى 11 رقمًا فقط. أنشأ الباحثون في Check Point Software آلاف المعرّفات العشوائية ، وبعد ذلك بدأوا في استبدالها في طلبات الخدمة. تكمن الثغرة في حقيقة أن خادم Zoom مباشرة بعد طلب الاتصال يبلغ عما إذا كان المعرف صحيحًا أم لا (4٪ من المعرفات العشوائية "تم الاقتراب"). إذا كان المعرف صحيحًا ، يمكنك الحصول على معلومات حول الاجتماع (أسماء المنظمين والمشاركين والتاريخ والوقت) والاتصال به. تم حل المشكلة عن طريق تحديد عدد الطلبات ، واستخدام كلمات المرور الافتراضية ، والحد من المعلومات المقدمة من الخادم استجابة لطلب العميل (لا يزال المشتركون الشرعيون لا يحتاجون إليها حقًا).

جوجل وموزيلاتنظيف المتاجر الإضافية لمتصفحي Chrome و Firefox. من Chrome ، إما إزالة جميع الإضافات المدفوعة بشكل مؤقت أو دائم - على الأقل حتى يتم حل المشكلة المتعلقة بالامتدادات الاحتيالية التي تبتز الأموال من المستخدمين. تمت إزالة الإضافات التي تحمل تعليمات برمجية قابلة للتنفيذ من مصادر خارجية من كتالوج إضافات فايرفوكس. وشمل التوزيع مكونات B2B للمكالمات الجماعية ، وخدمة مصرفية واحدة ، وملحق للعبة متصفح متعددة المستخدمين.

Source: https://habr.com/ru/post/undefined/