Security Week 06: trackers publicitaires dans les applications mobiles

L'application mobile de sonnette intelligente Amazon Ring envoie des informations détaillées sur les utilisateurs à trois entreprises à la fois, collectant des informations pour un ciblage publicitaire ultérieur, ainsi que sur le réseau social Facebook. Ce sont les résultats d'une étude menée par l'Electronic Frontiers Foundation ( actualités , article original ). Les résultats de l'analyse EFF ne peuvent pas être qualifiés de découverte choquante: la majorité des applications mobiles fournissent des données aux réseaux publicitaires d'une manière ou d'une autre. La méthode de décryptage des données ainsi que le type d'application à l'étude sont intéressants. Contrairement à tout autre scénario, nous parlons ici de travailler avec une caméra de surveillance personnelle. Une telle interaction, en théorie, devrait se produire avec un niveau maximum de confidentialité.

Mais non. Par exemple, le réseau social Facebook reçoit des notifications de l'application Amazon Ring sur l'ouverture de l'application, sur les actions des utilisateurs, ainsi que des données permettant d'identifier le propriétaire. Il s'agit notamment du modèle de smartphone, des paramètres de langue, de la résolution d'écran, de l'identifiant de l'appareil. Facebook traitera toutes ces données même si vous n'avez pas de compte de réseau social. C'est en soi un problème intéressant: si vous avez un compte Facebook, vous avez au moins un contrôle minimal sur les données qui lui sont directement associées. S'il n'y a pas de compte, alors il n'y a pas de contrôle, mais le réseau social sait toujours quelque chose sur vous. Bien que tous les ensembles de données envoyés aux annonceurs n'aient pas d'identifiants uniques (tels que prénom et nom), ce n'est souvent pas nécessaire.La combinaison de données provenant de différentes applications nous identifie mieux que les passeports et informe les annonceurs de ces traits et habitudes que nous-mêmes ne soupçonnons pas.

L'analyse des données a été effectuée à l'aide d'un outil standard - le progiciel ouvert mitmproxy . Le smartphone utilise mitmproxy pour transférer toutes les données et pour décrypter le trafic https, un certificat racine est installé sur l'appareil. Une autre mesure nécessaire dans de tels cas est d'interdire le transfert de données de toutes les applications, sauf celle qui fait l'objet de l'enquête. La restriction du trafic a été implémentée à l'aide de l'application AFWall +nécessitant des droits de superutilisateur sur le smartphone. Cependant, même une telle combinaison n'était pas suffisante: l'application Amazon Ring utilise ses propres certificats pour communiquer avec les réseaux publicitaires, en ignorant ceux qui sont installés sur le système. Le rapport a noté que cette approche dans la situation habituelle protège le trafic des utilisateurs même sur un smartphone partiellement compromis, mais complique considérablement les études de trafic "légitimes". En utilisant le framework Frida , il a été possible de modifier l'application en cours d'exécution afin qu'elle utilise un certificat de mitmproxy.

En plus de Facebook, l'application Amazon Ring envoie des données aux agrégateurs d'annonces Branch.io, AppsFlyer et Mixpanel. Appsflyer - en particulier, reçoit des informations sur le transporteur utilisé, plusieurs identifiants d'utilisateurs, ainsi que la présence d'un tracker publicitaire pour cette société, s'il était préalablement préinstallé sur l'appareil. Plus intéressant encore, AppsFlyer reçoit également des informations des capteurs physiques du smartphone: magnétomètre, accéléromètre et gyroscope. Le réseau MixPanel reçoit, selon l'EFF, le maximum d'informations privées: nom complet, adresse e-mail, adresse, profil de l'appareil, paramètres d'application avec les paramètres des caméras installées et plus encore.

Le porte-parole d'Amazon Ring a commenté l'étude de la manière attendue: ça va! Le transfert de données à un tiers est utilisé pour collecter des statistiques dans le but d'améliorer encore l'application, de mesurer l'efficacité des campagnes marketing. Les services vers lesquels les données sont transférées sont contractuellement tenus d'utiliser les informations uniquement dans la mesure où elles sont autorisées par le développeur de l'application, et en aucune autre manière. Et que leur permet le développeur? L'Electronic Frontier Foundation se plaint qu'Amazon Ring non seulement recueille des informations sur l'utilisateur, mais ne le notifie pas vraiment à ce sujet. L'activité de nombreux géants modernes de l'industrie informatique repose sur la collecte et le traitement des données des consommateurs, et aujourd'hui la pratique de la transmission d'informations sur les utilisateurs est généralement acceptée. Amazon Ring n'est pas différent des autres applications,que nous installons nous-mêmes ou que le fabricant du téléphone a téléchargé avant d'envoyer l'appareil au détail. Seule une révision des normes éthiques (et non des accords avec les utilisateurs), des pratiques généralement acceptées pour protéger les informations des utilisateurs, peut changer cette situation. Au moins dans le cas des scénarios les plus sensibles pour l'utilisateur - lorsqu'il s'agit d'un compte bancaire, de mots de passe ou d'un système de vidéosurveillance à domicile.

Quoi d'autre s'est produit:
une nouvelle étude sur les fuites de données du cache des processeurs Intel (publiée avant le quatrième trimestre de 2019) via des canaux tiers. Les auteurs des travaux scientifiques ont réussi à contourner les correctifs utilisés par Intel pour faire face aux vulnérabilités découvertes précédemment. L'attaque CacheOut contourne non seulement le vidage forcé du cache, mais vous permet également de sélectionner avec un certain degré de précision les informations qui peuvent être extraites. La vulnérabilité pourrait théoriquement être utilisée pour implémenter le scénario «échapper à une machine virtuelle», bien que selon Intel, une exploitation pratique soit peu probable. La vulnérabilité sera corrigée par la mise à jour du microcode dans les processeurs pris en charge.

Adobe fermePlusieurs vulnérabilités dans la plateforme de commerce électronique Magento. Parmi eux se trouve un problème critique qui permet l'injection SQL et l'exécution de code arbitraire. Les systèmes non corrigés basés sur Magento sont régulièrement attaqués afin de voler des données du site ou d'intercepter les détails de paiement des utilisateurs en temps réel.

Fermévulnérabilité banale dans le service de conférence Web Zoom. Par défaut, l'accès à la conférence téléphonique n'est pas protégé par mot de passe et pour la connexion, vous devez uniquement connaître un identifiant de 9 à 11 chiffres. Les chercheurs de Check Point Software ont généré un millier d'identificateurs aléatoires, après quoi ils ont commencé à les remplacer par des demandes de service. La vulnérabilité réside dans le fait que le serveur Zoom immédiatement après la demande de connexion signale si l'identifiant est correct ou non (4% des identifiants aléatoires "approchés"). Si l'identifiant est correct, vous pouvez obtenir des informations sur la réunion (noms des organisateurs et des participants, date et heure) et vous y connecter. Le problème a été résolu en limitant le nombre de demandes, en utilisant des mots de passe par défaut et en limitant les informations fournies par le serveur en réponse à la demande d'un client (les abonnés légitimes n'en ont toujours pas vraiment besoin).

Google et Mozillades modules complémentaires propres pour les navigateurs Chrome et Firefox. De Chrome, vous avez supprimé temporairement ou définitivement tous les modules complémentaires payants - au moins jusqu'à ce que le problème des extensions frauduleuses extorquant de l'argent aux utilisateurs soit résolu. Les extensions qui chargent du code exécutable à partir de sources externes ont été supprimées du catalogue des modules complémentaires de Firefox. La distribution comprenait des composants B2B pour les conférences téléphoniques, un service bancaire et une extension pour un jeu par navigateur multi-utilisateurs.

Source: https://habr.com/ru/post/undefined/