Get best of the week

安全周06:移动应用中的广告跟踪器

Amazon Ring智能门铃移动应用程序立即将详细的用户信息发送给三家公司,收集信息以用于随后的广告定位以及Facebook社交网络。这些是电子前沿基金会进行的一项研究的结果(新闻,原始文章)。 EFF分析的结果不能被称为令人震惊的发现:大多数移动应用程序都以一种或另一种方式向广告网络提供数据。感兴趣的是解密数据的方法以及正在研究的应用程序的类型。与其他任何情况不同,这里我们谈论的是使用个人监控摄像头。从理论上讲,这种交互应以最大程度的隐私进行。


但不是。例如,Facebook社交网络从Amazon Ring应用程序接收有关该应用程序的打开,用户操作以及可以识别所有者的数据的通知。其中包括智能手机型号,语言设置,屏幕分辨率,设备标识符。即使您没有社交网络帐户,Facebook也会处理所有这些数据。这本身就是一个有趣的问题:如果您拥有一个Facebook帐户,那么您对与其直接关联的数据至少具有最小的控制权。如果没有帐户,那么就没有控制权,但是社交网络仍然对您有所了解。尽管并非所有发送给广告商的数据集都有唯一的标识符(例如名字和姓氏)用户标识符,但这通常不是必需的。来自不同应用程序的数据组合比护照能更好地识别我们,并告知广告商我们自己可能不会怀疑的特征和习惯。

使用标准工具-开放的mitmproxy软件包进行数据分析。智能手机使用mitmproxy传输所有数据,并解密https流量,设备上安装了根证书。在这种情况下,另一种必要的措施是禁止从所有应用程序中传输数据,但被调查的应用程序除外。使用AFWall +应用程序实施了流量限制要求在智能手机上具有超级用户权限。但是,即使是这样的组合也是不够的:Amazon Ring应用程序使用其自己的证书与广告网络进行通信,而忽略了系统上已安装的证书。该报告指出,即使在部分受损的智能手机上,这种方法在通常情况下也可以保护用户流量,但会使“合法”流量研究复杂化。使用Frida框架,可以修改正在运行的应用程序,以便它使用来自mitmproxy的证书。


除Facebook外,Amazon Ring应用程序还将数据发送到Branch.io,AppsFlyer和Mixpanel广告聚合器。 Appsflyer-尤其是接收有关所用运营商,多个用户标识符以及该公司的广告跟踪器(如果先前已预先安装在设备上)的信息。最有趣的是,AppsFlyer还从智能手机的物理传感器(磁力计,加速度计和陀螺仪)接收信息。根据EFF,MixPanel网络接收最多的私人信息:全名,电子邮件,地址,设备配置文件,带有已安装摄像机参数的应用程序设置等。


Amazon Ring发言人以预期的方式评论了这项研究:很好!数据传输到第三方用于收集统计信息,目的是进一步改善应用程序,衡量营销活动的有效性。根据合同,向其传输数据的服务仅在应用程序开发人员允许的情况下有义务使用信息,而不能以任何其他方式使用。开发人员允许他们做什么?电子前沿基金会抱怨说,Amazon Ring不仅会收集有关用户的信息,而且不会真正将其通知给用户。 IT行业的许多现代巨头的业务都是建立在消费者数据的收集和处理之上的,如今,传输用户信息的做法已被普遍接受。 Amazon Ring与其他应用没有什么不同,我们会自行安装或手机制造商下载,然后再将其零售。只有修订道德标准(而不是用户协议),保护用户信息的公认做法才能改变这种情况。至少对于用户而言,在最敏感的情况下-涉及银行帐户,密码或家庭视频监控系统。

还发生了什么:一项关于通过第三方渠道从英特尔处理器缓存(2019年第四季度之前发布)中泄漏数据的
研究。这项科学工作的作者设法规避了英特尔用于处理先前发现的漏洞的补丁。 CacheOut攻击不仅绕过强制缓存刷新,而且还允许您以一定的精度选择可以提取哪些信息。从理论上讲,该漏洞可用于实现“从虚拟机中逃生”的方案,尽管据英特尔称,实际利用的可能性不大。漏洞将通过在支持的处理器中进行微代码更新来关闭。

Adobe 关闭电子商务平台Magento中的几个漏洞。其中一个关键问题是允许SQL注入和任意代码执行。定期攻击未打补丁的基于Magento的系统,以便从站点窃取数据或实时拦截用户的付款明细。

关闭Web会议缩放服务中的明显漏洞。默认情况下,对电话会议的访问不受密码保护,对于连接,您只需要知道9-11位数字的标识符即可。 Check Point Software的研究人员生成了1000个随机标识符,之后他们开始将其替换为服务请求。漏洞在于,连接请求后立即缩放服务器报告标识符是否正确(“接近”随机ID的4%)。如果标识符正确,则可以获取有关会议的信息(组织者和参与者的名称,日期和时间)并进行连接。通过限制请求数量,使用默认密码以及限制服务器响应客户请求提供的信息(合法订户实际上仍然不需要),解决了该问题。

Google和Mozilla干净的Chrome和Firefox浏览器附加商店。从Chrome中临时或永久删除所有付费附件-至少直到解决欺诈性扩展程序勒索用户钱的问题为止。从外部源加载可执行代码的扩展已从Firefox附加组件目录中删除。该发行版包括用于电话会议的B2B组件,一项银行服务以及一个用于多用户浏览器游戏的扩展。

Source: https://habr.com/ru/post/undefined/

More articles:


All Articles