Semana de la seguridad 06: rastreadores publicitarios en aplicaciones móviles

La aplicación móvil del timbre inteligente Amazon Ring envía información detallada del usuario a tres compañías a la vez, recolectando información para su posterior orientación publicitaria, así como a la red social de Facebook. Estos son los resultados de un estudio realizado por la Electronic Frontiers Foundation ( noticias , artículo original ). Los resultados del análisis EFF no pueden llamarse un descubrimiento sorprendente: la mayoría de las aplicaciones móviles suministran datos a las redes publicitarias de una forma u otra. De interés es el método de descifrar los datos, así como el tipo de aplicación en estudio. A diferencia de otros escenarios, aquí estamos hablando de trabajar con una cámara de vigilancia personal. Dicha interacción, en teoría, debería ocurrir con un nivel máximo de privacidad.

Pero no. Por ejemplo, la red social de Facebook recibe notificaciones de la aplicación Amazon Ring sobre la apertura de la aplicación, sobre las acciones del usuario, así como datos que pueden identificar al propietario. Estos incluyen el modelo de teléfono inteligente, la configuración de idioma, la resolución de pantalla, el identificador del dispositivo. Facebook procesará todos estos datos incluso si no tiene una cuenta de red social. Esto en sí mismo es un problema interesante: si tiene una cuenta de Facebook, entonces tiene al menos un control mínimo sobre los datos que están directamente asociados con ella. Si no hay una cuenta, entonces no hay control, pero la red social aún sabe algo sobre ti. Aunque no todos los conjuntos de datos enviados a los anunciantes tienen identificadores de usuario únicos (como nombres y apellidos), a menudo esto no es necesario.La combinación de datos de diferentes aplicaciones nos identifica mejor que los pasaportes e informa a los anunciantes sobre tales rasgos y hábitos que nosotros mismos no podemos sospechar.

El análisis de datos se realizó utilizando una herramienta estándar: el paquete de software mitmproxy abierto . El teléfono inteligente utiliza mitmproxy para transferir todos los datos y para descifrar el tráfico https, se instala un certificado raíz en el dispositivo. Otra acción necesaria en tales casos es prohibir la transferencia de datos de todas las aplicaciones, excepto la que se está investigando. La restricción de tráfico se implementó utilizando la aplicación AFWall +que requieren derechos de superusuario en el teléfono inteligente. Sin embargo, incluso tal combinación no fue suficiente: la aplicación Amazon Ring usa sus propios certificados para comunicarse con las redes publicitarias, ignorando las que están instaladas en el sistema. El informe señaló que este enfoque en la situación habitual protege el tráfico de usuarios incluso en un teléfono inteligente parcialmente comprometido, pero complica significativamente los estudios de tráfico "legítimos". Usando el marco Frida , fue posible modificar la aplicación en ejecución para que use un certificado de mitmproxy.

Además de Facebook, la aplicación Amazon Ring envía datos a Branch.io, AppsFlyer y los agregadores de anuncios de Mixpanel. Appsflyer: en particular, recibe información sobre el operador utilizado, varios identificadores de usuario, así como la presencia de un rastreador publicitario para esta empresa, si se instaló previamente en el dispositivo. Lo más interesante es que AppsFlyer también recibe información de los sensores físicos del teléfono inteligente: magnetómetro, acelerómetro y giroscopio. La red MixPanel recibe, según EFF, el máximo de información privada: nombre completo, correo electrónico, dirección, perfil del dispositivo, configuración de la aplicación con los parámetros de las cámaras instaladas y más.

El portavoz de Amazon Ring comentó sobre el estudio de la manera esperada: ¡está bien! La transferencia de datos a un tercero se utiliza para recopilar estadísticas con el objetivo de mejorar aún más la aplicación, midiendo la efectividad de las campañas de marketing. Los servicios a los que se transfieren los datos están obligados contractualmente a usar la información solo según lo permita el desarrollador de la aplicación, y no de ninguna otra manera. ¿Y qué les permite hacer el desarrollador? La Electronic Frontier Foundation se queja de que Amazon Ring no solo recopila información sobre el usuario, sino que realmente no le notifica al respecto. El negocio de muchos gigantes modernos de la industria de TI se basa en la recopilación y el procesamiento de datos del consumidor, y hoy en día se acepta generalmente la práctica de transmitir información del usuario. Amazon Ring no es diferente a otras aplicaciones,que instalamos nosotros mismos o que el fabricante del teléfono descargó antes de enviar el dispositivo al por menor. Solo una revisión de los estándares éticos (y no los acuerdos de usuario), las prácticas generalmente aceptadas para proteger la información del usuario pueden cambiar esta situación. Al menos en el caso de los escenarios más delicados para el usuario, cuando se trata de una cuenta bancaria, contraseñas o sistema de videovigilancia doméstica.

Qué más sucedió:
un nuevo estudio sobre fugas de datos de la memoria caché de los procesadores Intel (publicado antes del cuarto trimestre de 2019) a través de canales de terceros. Los autores del trabajo científico lograron eludir los parches utilizados por Intel para tratar las vulnerabilidades descubiertas previamente. El ataque CacheOut no solo evita el vaciado forzado de caché, sino que también le permite seleccionar con cierto grado de precisión qué información se puede extraer. La vulnerabilidad podría usarse teóricamente para implementar el escenario de "escapar de una máquina virtual", aunque según Intel, la explotación práctica es poco probable. La actualización de microcódigo en los procesadores compatibles cerrará la vulnerabilidad.

Adobe cierraVarias vulnerabilidades en la plataforma de comercio electrónico Magento. Entre ellos hay un problema crítico que permite la inyección de SQL y la ejecución de código arbitrario. Los sistemas basados ​​en Magento sin parches son atacados regularmente para robar datos del sitio o interceptar los detalles de pago de los usuarios en tiempo real.

Cerradovulnerabilidad banal en el servicio de conferencia web Zoom. De manera predeterminada, el acceso a la llamada de conferencia no está protegido por contraseña, y para la conexión solo necesita conocer un identificador de 9 a 11 dígitos. Los investigadores de Check Point Software generaron mil identificadores aleatorios, después de lo cual comenzaron a sustituirlos en solicitudes de servicio. La vulnerabilidad radica en el hecho de que el servidor de Zoom inmediatamente después de la solicitud de conexión informa si el identificador es correcto o no (4% de las ID aleatorias "se acercaron"). Si el identificador es correcto, puede obtener información sobre la reunión (nombres de organizadores y participantes, fecha y hora) y conectarse a ella. El problema se resolvió limitando el número de solicitudes, utilizando contraseñas predeterminadas y limitando la información proporcionada por el servidor en respuesta a la solicitud de un cliente (los suscriptores legítimos todavía no la necesitan).

Google y MozillaLimpie las tiendas de complementos para los navegadores Chrome y Firefox. Desde Chrome, ya sea de forma temporal o permanente, se eliminaron todos los complementos pagados, al menos hasta que se resuelva el problema con extensiones fraudulentas que extorsionan el dinero de los usuarios. Las extensiones que cargan código ejecutable de fuentes externas se han eliminado del catálogo de complementos de Firefox. La distribución incluyó componentes B2B para llamadas de conferencia, un servicio bancario y una extensión para un juego de navegador multiusuario.

Source: https://habr.com/ru/post/undefined/