Semana da Segurança 06: rastreadores de publicidade em aplicativos móveis

O aplicativo móvel de campainha inteligente Amazon Ring envia informações detalhadas do usuário para três empresas ao mesmo tempo, coletando informações para segmentação de publicidade subseqüente, bem como para a rede social do Facebook. Estes são os resultados de um estudo realizado pela Electronic Frontiers Foundation ( notícia , artigo original ). Os resultados da análise da EFF não podem ser chamados de uma descoberta chocante: a maioria dos aplicativos móveis fornece dados para redes de anúncios de uma maneira ou de outra. De interesse é o método de descriptografar os dados, bem como o tipo de aplicativo em estudo. Diferentemente de outros cenários, aqui estamos falando sobre como trabalhar com uma câmera de vigilância pessoal. Essa interação, em teoria, deve ocorrer com um nível máximo de privacidade.

Mas não. Por exemplo, a rede social do Facebook recebe notificações do aplicativo Amazon Ring sobre a abertura do aplicativo, sobre ações do usuário e dados que podem identificar o proprietário. Isso inclui o modelo do smartphone, configurações de idioma, resolução da tela e identificador do dispositivo. O Facebook processará todos esses dados, mesmo se você não tiver uma conta de rede social. Isso por si só é um problema interessante: se você tem uma conta no Facebook, tem pelo menos controle mínimo sobre os dados diretamente associados a ela. Se não houver uma conta, não haverá controle, mas a rede social ainda sabe algo sobre você. Embora nem todos os conjuntos de dados enviados aos anunciantes tenham identificadores exclusivos (como nome e sobrenome), isso geralmente não é necessário.A combinação de dados de diferentes aplicativos nos identifica melhor do que os passaportes e informa os anunciantes sobre essas características e hábitos que nós mesmos não podemos suspeitar.

A análise dos dados foi realizada usando uma ferramenta padrão - o pacote de software mitmproxy aberto . O smartphone usa mitmproxy para transferir todos os dados e, para descriptografar o tráfego https, um certificado raiz está instalado no dispositivo. Outra ação necessária nesses casos é proibir a transferência de dados de todos os aplicativos, exceto o que está sendo investigado. A restrição de tráfego foi implementada usando o aplicativo AFWall +exigindo direitos de superusuário no smartphone. No entanto, mesmo essa combinação não foi suficiente: o aplicativo Amazon Ring usa seus próprios certificados para se comunicar com redes de anúncios, ignorando os que estão instalados no sistema. O relatório observou que essa abordagem na situação usual protege o tráfego do usuário, mesmo em um smartphone parcialmente comprometido, mas complica significativamente os estudos de tráfego "legítimos". Usando a estrutura Frida , foi possível modificar o aplicativo em execução para que ele use um certificado do mitmproxy.

Além do Facebook, o aplicativo Amazon Ring envia dados para os agregadores de anúncios Branch.io, AppsFlyer e Mixpanel. O Appsflyer - em particular, recebe informações sobre a operadora usada, vários identificadores de usuários, bem como a presença de um rastreador de publicidade para esta empresa, se já tiver sido pré-instalado no dispositivo. O mais interessante é que o AppsFlyer também recebe informações dos sensores físicos do smartphone: magnetômetro, acelerômetro e giroscópio. A rede MixPanel recebe, de acordo com a EFF, o máximo de informações privadas: nome completo, email, endereço, perfil do dispositivo, configurações do aplicativo com os parâmetros das câmeras instaladas e muito mais.

O porta-voz da Amazon Ring comentou o estudo da maneira esperada: tudo bem! A transferência de dados para terceiros é usada para coletar estatísticas com o objetivo de melhorar ainda mais o aplicativo, medindo a eficácia das campanhas de marketing. Os serviços para os quais os dados são transferidos são contratualmente obrigados a usar as informações somente quando permitidas pelo desenvolvedor do aplicativo, e não de qualquer outra maneira. E o que o desenvolvedor permite que eles façam? A Electronic Frontier Foundation reclama que o Amazon Ring não apenas coleta informações sobre o usuário, mas também não o notifica sobre isso. Os negócios de muitos gigantes modernos da indústria de TI se baseiam na coleta e no processamento de dados do consumidor, e hoje a prática de transmissão de informações do usuário é geralmente aceita. O Amazon Ring não é diferente de outros aplicativos,que nós mesmos instalamos ou que o fabricante do telefone baixou antes de enviar o dispositivo no varejo. Somente uma revisão dos padrões éticos (e não dos acordos do usuário), práticas geralmente aceitas para proteger as informações do usuário, pode mudar essa situação. Pelo menos no caso dos cenários mais sensíveis para o usuário - quando se trata de uma conta bancária, senhas ou sistema de vigilância por vídeo doméstico.

O que mais aconteceu:
Um novo estudo sobre vazamentos de dados do cache dos processadores Intel (lançado antes do quarto trimestre de 2019) através de canais de terceiros. Os autores do trabalho científico conseguiram contornar os patches usados ​​pela Intel para lidar com vulnerabilidades descobertas anteriormente. O ataque CacheOut não apenas ignora a descarga forçada do cache, mas também permite selecionar com um certo grau de precisão quais informações podem ser extraídas. Teoricamente, a vulnerabilidade pode ser usada para implementar o cenário "fuga de uma máquina virtual", embora, de acordo com a Intel, a exploração prática seja improvável. A vulnerabilidade será fechada pela atualização de microcódigo nos processadores suportados.

Adobe fechaVárias vulnerabilidades na plataforma de comércio eletrônico Magento. Entre eles está um problema crítico que permite a injeção de SQL e a execução arbitrária de códigos. Sistemas baseados em Magento não corrigidos são regularmente atacados para roubar dados do site ou interceptar detalhes de pagamento dos usuários em tempo real.

Fechadasvulnerabilidade banal no serviço de webconferência Zoom. Por padrão, o acesso à chamada em conferência não é protegido por senha e, para conexão, você precisa conhecer apenas um identificador de 9 a 11 dígitos. Pesquisadores da Check Point Software geraram mil identificadores aleatórios, após o que começaram a substituí-los em solicitações de serviço. A vulnerabilidade está no fato de o servidor Zoom imediatamente após a solicitação de conexão relatar se o identificador está correto ou não (4% dos IDs aleatórios "foram abordados"). Se o identificador estiver correto, você poderá obter informações sobre a reunião (nomes dos organizadores e participantes, data e hora) e conectar-se a ela. O problema foi resolvido limitando o número de solicitações, usando senhas padrão e limitando as informações fornecidas pelo servidor em resposta à solicitação de um cliente (assinantes legítimos ainda não precisam disso).

Google e Mozillalojas completas limpas para navegadores Chrome e Firefox. No Chrome, removeu temporária ou permanentemente todos os complementos pagos - pelo menos até que o problema com extensões fraudulentas que extorquem dinheiro dos usuários seja resolvido. As extensões que carregam código executável de fontes externas foram removidas do catálogo de complementos do Firefox. A distribuição incluiu componentes B2B para teleconferências, um serviço bancário e uma extensão para um jogo de navegador multiusuário.

Source: https://habr.com/ru/post/undefined/