Minggu Keamanan 06: pelacak iklan di aplikasi seluler

Aplikasi mobile bel pintu pintar Amazon Ring mengirimkan informasi pengguna terperinci ke tiga perusahaan sekaligus, mengumpulkan informasi untuk penargetan iklan berikutnya, serta ke jejaring sosial Facebook. Ini adalah hasil penelitian yang dilakukan oleh Electronic Frontiers Foundation ( berita , artikel asli ). Hasil analisis EFF tidak dapat disebut penemuan yang mengejutkan: sebagian besar aplikasi seluler memasok data ke jaringan iklan dengan satu atau lain cara. Yang menarik adalah metode mendekripsi data, serta jenis aplikasi yang diteliti. Tidak seperti skenario lain, di sini kita berbicara tentang bekerja dengan kamera pengintai pribadi. Interaksi seperti itu, secara teori, harus terjadi dengan tingkat privasi maksimum.

Tapi tidak. Misalnya, jejaring sosial Facebook menerima pemberitahuan dari aplikasi Amazon Ring tentang pembukaan aplikasi, tentang tindakan pengguna, serta data yang dapat mengidentifikasi pemilik. Ini termasuk model ponsel cerdas, pengaturan bahasa, resolusi layar, pengenal perangkat. Facebook akan memproses semua data ini bahkan jika Anda tidak memiliki akun jejaring sosial. Ini sendiri merupakan masalah yang menarik: jika Anda memiliki akun Facebook, maka Anda memiliki setidaknya kendali minimal atas data yang terkait langsung dengannya. Jika tidak ada akun, maka tidak ada kontrol, tetapi jejaring sosial masih tahu sesuatu tentang Anda. Meskipun tidak semua set data yang dikirim ke pengiklan memiliki pengidentifikasi unik (seperti nama depan dan belakang) pengidentifikasi pengguna, ini seringkali tidak diperlukan.Kombinasi data dari berbagai aplikasi mengidentifikasi kami lebih baik daripada paspor dan memberi tahu pengiklan tentang sifat dan kebiasaan yang mungkin tidak kami duga.

Analisis data dilakukan dengan menggunakan alat standar - paket perangkat lunak mitmproxy terbuka . Smartphone menggunakan mitmproxy untuk mentransfer semua data, dan untuk mendekripsi lalu lintas https, sertifikat root diinstal pada perangkat. Tindakan lain yang diperlukan dalam kasus tersebut adalah melarang transfer data dari semua aplikasi kecuali yang sedang diselidiki. Pembatasan lalu lintas diimplementasikan menggunakan aplikasi AFWall +membutuhkan hak pengguna super pada smartphone. Namun, kombinasi semacam itu tidak cukup: aplikasi Amazon Ring menggunakan sertifikatnya sendiri untuk berkomunikasi dengan jaringan iklan, mengabaikan yang diinstal pada sistem. Laporan tersebut mencatat bahwa pendekatan ini dalam situasi biasa melindungi lalu lintas pengguna bahkan pada smartphone yang sebagiannya dikompromikan, tetapi secara signifikan mempersulit studi lalu lintas yang "sah". Menggunakan kerangka kerja Frida , dimungkinkan untuk memodifikasi aplikasi yang berjalan sehingga menggunakan sertifikat dari mitmproxy.

Selain Facebook, aplikasi Amazon Ring mengirimkan data ke Branch.io, AppsFlyer, dan agregator iklan Mixpanel. Appsflyer - khususnya, menerima informasi tentang operator yang digunakan, beberapa pengidentifikasi pengguna, serta keberadaan pelacak iklan untuk perusahaan ini, jika sebelumnya sudah diinstal pada perangkat. Yang paling menarik, AppsFlyer juga menerima informasi dari sensor fisik smartphone: magnetometer, akselerometer, dan giroskop. Jaringan MixPanel menerima, menurut EFF, informasi pribadi maksimum: nama lengkap, email, alamat, profil perangkat, pengaturan aplikasi dengan parameter kamera yang diinstal dan banyak lagi.

Juru bicara Amazon Ring mengomentari penelitian dengan cara yang diharapkan: tidak apa-apa! Transfer data ke pihak ketiga digunakan untuk mengumpulkan statistik dengan tujuan lebih meningkatkan aplikasi, mengukur efektivitas kampanye pemasaran. Layanan yang datanya ditransfer secara kontrak berkewajiban untuk menggunakan informasi hanya sebagaimana mereka diizinkan oleh pengembang aplikasi, dan tidak dengan cara lain apa pun. Dan apa yang memungkinkan pengembang lakukan? Electronic Frontier Foundation mengeluh bahwa Amazon Ring tidak hanya mengumpulkan informasi tentang pengguna, tetapi juga tidak benar-benar memberi tahu dia tentang hal itu. Bisnis banyak raksasa modern dari industri TI dibangun di atas pengumpulan dan pemrosesan data konsumen, dan hari ini praktik transmisi informasi pengguna secara umum diterima. Amazon Ring tidak berbeda dengan aplikasi lain,yang kami pasang sendiri atau yang produsen telepon unduh sebelum mengirim perangkat secara eceran. Hanya revisi standar etika (dan bukan perjanjian pengguna), praktik yang diterima secara umum untuk melindungi informasi pengguna dapat mengubah situasi ini. Setidaknya dalam kasus skenario yang paling sensitif bagi pengguna - ketika datang ke rekening bank, kata sandi atau sistem pengawasan video rumah.

Apa lagi yang terjadi:
Sebuah studi baru tentang kebocoran data dari cache prosesor Intel (dirilis sebelum kuartal keempat 2019) melalui saluran pihak ketiga. Para penulis karya ilmiah berhasil menghindari tambalan yang digunakan oleh Intel untuk menangani kerentanan yang ditemukan sebelumnya. Serangan CacheOut tidak hanya memintas pembilasan cache paksa, tetapi juga memungkinkan Anda memilih dengan tingkat akurasi tertentu informasi apa yang dapat diekstrak. Kerentanan secara teoritis dapat digunakan untuk mengimplementasikan skenario "melarikan diri dari mesin virtual", meskipun menurut Intel, eksploitasi praktis tidak mungkin. Kerentanan akan ditutup oleh pembaruan mikrokode dalam prosesor yang didukung.

Adobe ditutupBeberapa kerentanan dalam platform e-commerce Magento. Di antara mereka adalah masalah kritis yang memungkinkan injeksi SQL dan eksekusi kode arbitrer. Sistem berbasis Magento yang tidak ditambal secara teratur diserang untuk mencuri data dari situs atau memotong rincian pembayaran dari pengguna secara real time.

Tutupkerentanan dangkal dalam layanan untuk konferensi web Zoom. Secara default, akses ke panggilan konferensi tidak dilindungi kata sandi, dan untuk koneksi Anda hanya perlu mengetahui pengenal 9–11 digit. Para peneliti di Check Point Software menghasilkan seribu pengidentifikasi acak, setelah itu mereka mulai menggantinya dengan permintaan layanan. Kerentanan terletak pada kenyataan bahwa server Zoom segera setelah permintaan koneksi melaporkan apakah pengidentifikasi benar atau tidak (4% dari ID acak "didekati"). Jika pengenalnya benar, Anda dapat memperoleh informasi tentang pertemuan (nama penyelenggara dan peserta, tanggal dan waktu) dan terhubung dengannya. Masalahnya diselesaikan dengan membatasi jumlah permintaan, menggunakan kata sandi default, dan membatasi informasi yang diberikan oleh server sebagai tanggapan terhadap permintaan klien (pelanggan yang sah masih tidak benar-benar membutuhkannya).

Google dan Mozillabersihkan add-on store untuk browser Chrome dan Firefox. Dari Chrome, baik sementara atau permanen menghapus semua add-on berbayar - setidaknya sampai masalah dengan ekstensi palsu memeras uang dari pengguna diselesaikan. Ekstensi yang memuat kode yang dapat dieksekusi dari sumber eksternal telah dihapus dari katalog add-on Firefox. Distribusi termasuk komponen B2B untuk panggilan konferensi, satu layanan perbankan, dan ekstensi untuk game browser multi-pengguna.

Source: https://habr.com/ru/post/undefined/