Sicherheitswoche 06: Werbe-Tracker in mobilen Anwendungen

Die mobile Klingelanwendung von Amazon Ring sendet detaillierte Benutzerinformationen gleichzeitig an drei Unternehmen und sammelt Informationen für die spätere Ausrichtung der Werbung sowie an das soziale Netzwerk von Facebook. Dies sind die Ergebnisse einer Studie , die von der Electronic Frontier Foundation ( Nachrichten , ursprüngliche Artikel ). Die Ergebnisse der EFF-Analyse können nicht als schockierende Entdeckung bezeichnet werden: Die meisten mobilen Anwendungen liefern Daten auf die eine oder andere Weise an Werbenetzwerke. Interessant ist die Methode zur Entschlüsselung der Daten sowie die Art der untersuchten Anwendung. Im Gegensatz zu anderen Szenarien handelt es sich hier um die Arbeit mit einer persönlichen Überwachungskamera. Eine solche Interaktion sollte theoretisch mit einem Höchstmaß an Privatsphäre stattfinden.

Aber nein. Beispielsweise erhält das soziale Netzwerk von Facebook Benachrichtigungen von der Amazon Ring-Anwendung über das Öffnen der Anwendung, über Benutzeraktionen sowie Daten, die den Eigentümer identifizieren können. Dazu gehören das Smartphone-Modell, Spracheinstellungen, Bildschirmauflösung und Gerätekennung. Facebook verarbeitet all diese Daten, auch wenn Sie kein Konto in einem sozialen Netzwerk haben. Dies ist an sich schon ein interessantes Problem: Wenn Sie ein Facebook-Konto haben, haben Sie zumindest eine minimale Kontrolle über die Daten, die direkt damit verbunden sind. Wenn es kein Konto gibt, gibt es keine Kontrolle, aber das soziale Netzwerk weiß immer noch etwas über Sie. Obwohl nicht alle an Werbetreibende gesendeten Datensätze eindeutige Kennungen (z. B. Vor- und Nachnamen) haben, ist dies häufig nicht erforderlich.Die Kombination von Daten aus verschiedenen Anwendungen identifiziert uns besser als Pässe und informiert Werbetreibende über solche Merkmale und Gewohnheiten, die wir möglicherweise nicht selbst vermuten.

Die Datenanalyse wurde mit einem Standardtool durchgeführt - dem Open Mitmproxy- Softwarepaket . Das Smartphone verwendet Mitmproxy, um alle Daten zu übertragen und um den https-Verkehr zu entschlüsseln. Auf dem Gerät ist ein Stammzertifikat installiert. Eine weitere notwendige Maßnahme in solchen Fällen besteht darin, die Übertragung von Daten aus allen Anträgen mit Ausnahme des untersuchten Antrags zu verbieten. Die Verkehrsbeschränkung wurde mit der AFWall + -Anwendung implementiertSuperuser-Rechte auf dem Smartphone erforderlich. Selbst eine solche Kombination reichte jedoch nicht aus: Die Amazon Ring-Anwendung verwendet ihre eigenen Zertifikate für die Kommunikation mit Werbenetzwerken und ignoriert die auf dem System installierten Zertifikate. In dem Bericht wurde festgestellt, dass dieser Ansatz in der üblichen Situation den Benutzerverkehr selbst auf einem teilweise gefährdeten Smartphone schützt, die "legitimen" Verkehrsstudien jedoch erheblich verkompliziert. Mit dem Frida- Framework konnte die ausgeführte Anwendung so geändert werden, dass ein Zertifikat von mitmproxy verwendet wird.

Zusätzlich zu Facebook sendet die Amazon Ring-App Daten an die Anzeigenaggregatoren Branch.io, AppsFlyer und Mixpanel. Appsflyer - erhält insbesondere Informationen über den verwendeten Dienstanbieter, mehrere Benutzer-IDs sowie das Vorhandensein eines Werbe-Trackers für dieses Unternehmen, sofern dieser zuvor auf dem Gerät vorinstalliert war. Am interessantesten ist, dass AppsFlyer auch Informationen von den physischen Sensoren des Smartphones erhält: Magnetometer, Beschleunigungsmesser und Gyroskop. Das MixPanel-Netzwerk empfängt laut EFF das Maximum an privaten Informationen: vollständiger Name, E-Mail, Adresse, Geräteprofil, Anwendungseinstellungen mit den Parametern der installierten Kameras und mehr.

Der Sprecher von Amazon Ring kommentierte die Studie wie erwartet: Das ist in Ordnung! Die Datenübertragung an Dritte wird zur Erfassung von Statistiken verwendet, um die Anwendung weiter zu verbessern und die Wirksamkeit von Marketingkampagnen zu messen. Dienste, an die Daten übertragen werden, sind vertraglich verpflichtet, die Informationen nur so zu verwenden, wie dies vom Anwendungsentwickler gestattet wird, und nicht auf andere Weise. Und was erlaubt der Entwickler ihnen zu tun? Die Electronic Frontier Foundation beschwert sich darüber, dass Amazon Ring nicht nur Informationen über den Benutzer sammelt, sondern ihn auch nicht wirklich darüber informiert. Das Geschäft vieler moderner Giganten der IT-Branche basiert auf der Erfassung und Verarbeitung von Verbraucherdaten, und heutzutage wird die Praxis der Übertragung von Benutzerinformationen allgemein akzeptiert. Amazon Ring unterscheidet sich nicht von anderen Apps.die wir selbst installieren oder die der Telefonhersteller heruntergeladen hat, bevor wir das Gerät im Einzelhandel versenden. Nur eine Überarbeitung ethischer Standards (und nicht von Benutzervereinbarungen), allgemein anerkannte Praktiken zum Schutz von Benutzerinformationen, kann diese Situation ändern. Zumindest bei den sensibelsten Szenarien für den Benutzer - wenn es um ein Bankkonto, Passwörter oder ein Heimvideoüberwachungssystem geht.

Was noch passiert ist:
Eine neue Studie zu Datenlecks aus dem Cache von Intel-Prozessoren (veröffentlicht vor dem vierten Quartal 2019) über Kanäle von Drittanbietern. Den Autoren der wissenschaftlichen Arbeit gelang es, die Patches zu umgehen, die Intel zur Behebung zuvor entdeckter Sicherheitslücken verwendet. Der CacheOut-Angriff umgeht nicht nur das erzwungene Leeren des Cache, sondern ermöglicht es Ihnen auch, mit einer gewissen Genauigkeit auszuwählen, welche Informationen extrahiert werden können. Die Sicherheitsanfälligkeit könnte theoretisch verwendet werden, um das Szenario „Flucht aus einer virtuellen Maschine“ zu implementieren, obwohl laut Intel eine praktische Ausnutzung unwahrscheinlich ist. Die Sicherheitsanfälligkeit wird durch die Aktualisierung des Mikrocodes in unterstützten Prozessoren geschlossen.

Adobe wird geschlossenMehrere Schwachstellen in der E-Commerce-Plattform Magento. Darunter befindet sich ein kritisches Problem, das die SQL-Injection und die Ausführung von beliebigem Code ermöglicht. Nicht gepatchte Magento-basierte Systeme werden regelmäßig angegriffen, um Daten von der Website zu stehlen oder Zahlungsdetails von Benutzern in Echtzeit abzufangen.

Geschlossenbanale Sicherheitslücke im Dienst für Webkonferenzen Zoom. Standardmäßig ist der Zugriff auf die Telefonkonferenz nicht durch ein Kennwort geschützt. Für die Verbindung müssen Sie nur eine Kennung mit 9 bis 11 Ziffern kennen. Die Forscher von Check Point Software haben tausend zufällige Identifikatoren generiert und diese dann in Serviceanfragen eingesetzt. Die Sicherheitsanfälligkeit liegt in der Tatsache, dass der Zoom-Server unmittelbar nach der Verbindungsanforderung meldet, ob die Kennung korrekt ist oder nicht (4% der zufälligen IDs "angesprochen"). Wenn die Kennung korrekt ist, können Sie Informationen über das Meeting abrufen (Namen der Organisatoren und Teilnehmer, Datum und Uhrzeit) und eine Verbindung herstellen. Das Problem wurde gelöst, indem die Anzahl der Anforderungen unter Verwendung von Standardkennwörtern und die vom Server als Antwort auf die Anforderung eines Clients angegebenen Informationen begrenzt wurden (dies wird für legitime Abonnenten immer noch nicht wirklich benötigt).

Google und MozillaBereinigen Sie Add-On-Stores für Chrome- und Firefox-Browser. In Chrome wurden entweder vorübergehend oder dauerhaft alle kostenpflichtigen Add-Ons entfernt - zumindest bis das Problem mit betrügerischen Erweiterungen, die Geld von Nutzern erpressen, behoben ist. Erweiterungen, die ausführbaren Code aus externen Quellen laden, wurden aus dem Firefox-Add-On-Katalog entfernt. Die Distribution umfasste B2B-Komponenten für Telefonkonferenzen, einen Bankdienst und eine Erweiterung für ein Mehrbenutzer-Browsergame.

Source: https://habr.com/ru/post/undefined/