비디오: This is Хорошо - Пока мамы нет дома. (ОтО)\\ (십월 2024)
1 월 말, 유출 된 문서에 따르면 NSA 및 기타 국가 스파이 조직은 스마트 폰에서 정보를 얻는 데 어려움을 겪고 있습니다. 그러나 버그를 설치하는 대신, 그들은 이미 알고있는 모든 것을 배우기 위해 이미 휴대 전화에있는 앱을 활용했습니다.
화난 새가 말해
보고서에 따르면 스파이 조직은 정보를 수집하기 위해 이른바 "누설 앱"을 찾고 있다고합니다. 룩 아웃의 교장 보안 연구원 인 마크 로저스 (Marc Rogers)는 "모바일 위협 월요일 (Mobile Threat Monday)"기사에서 자주 사용하는 용어로 "암호화없이 민감한 정보를 전달하는 모든 앱"으로 정의합니다.
이 정의에는 Android 및 iOS 앱 스토어 모두에서 사용할 수있는 많은 앱이 포함되어 있다는 사실에 놀랄 것입니다. 이러한 앱 중 많은 앱이 타사 광고 플랫폼을 사용하여 앱으로 수익을 창출하기 때문입니다. Flappy Bird처럼 앱에서 바로 광고를 볼 수 있습니다. 개발자는 컷을 받고 무료로 게임을받습니다.
그러나 광고가 보이지 않더라도 앱 개발자는 종종 광고주와 기기에 대한 정보를 조용히 수집하는 광고주의 코드를 포함합니다. 광고주가 광고를보다 효과적으로 타겟팅 할 수 있도록이 정보를 수집하고 해부합니다. 비트 디펜더의 수석 전자 위협 전문가 Bogdan Botezatu는“누군가에 대한 정보가 많을수록 마케팅 프로필이 더 정확해질 것입니다.
Lookout의 Rogers는 "광고주에게있어 무엇을 입을 것인지 예측하는 데 금이있다"고 설명했다. 관심 분야에 더 가깝거나 해당 지역에서 사용 가능한 제품 및 서비스 일 수 있습니다. 예를 들어 오사카에 살았다면 아마도 시카고에서 싼 차를 배우는 데 관심이 없을 것입니다.
광고주와 마케팅 담당자는 일반적으로 식별 가능한 정보를 따릅니다. 즉, 기기를 사용자에게 연결하는 방법입니다. 기기의 EMEI 번호, Apple ID 또는 다른 식별자가 있지만 이메일과 전화 번호는 특히 중요합니다. 광고주는이 정보를 사용하여 같은 사람이 다른 앱을 다운로드했는지 확인하고 다른 기기에서 사용되는 방식을 모을 수 있습니다. 다른 광고주는 더욱 적극적이며 위치 정보 등을 얻으려고 노력합니다.
광범위한 광고주 SDK 정보의 예를 제공하기 위해 Botezatu는 이러한 정보를 Bitdefender에서 프로파일 한 Android 원격 액세스 트로이 목마와 비교했습니다. 피해자의 전화에 설치되면 공격자가 연락처를 훔치고 브라우저 기록에 액세스하고 피해자를 추적 할 수 있도록 공격자를 완전히 제어 할 수 있습니다. "대부분의 사람들은 내가 마이크를 켤 수 있음을 보여줄 때 AndroRAT에 부정적으로 반응합니다."라고 그는 말했다. "그러나 그것은 대부분의 광고 SDK에서 일어나는 일입니다."
NSA가 인터셉트 된 앱 정보를 사용하는 대상이 무엇인지는 확실하지 않지만, 이질적인 정보로부터 개인에 대한 상세 프로필을 작성하는 광고주와 유사 할 수 있습니다. 물론 다른 방법으로도 사용할 수 있습니다. 보테 자투는 시위대가 압제적인 정부에 대항하여 거리에서 폭동을 일으킨 시나리오를 상상한다. 이 가상 정부가 광고주가 수집 한 위치 정보에 자유롭게 액세스 할 수 있다면 누가 폭동에 빠졌는지 파악하고 보복을 위해 자신 또는 가족을 대상으로 할 수 있습니다.
새는 파이프
Rogers가 말했듯이 앱은 암호화없이 정보를 보내려고 할 때만 유출됩니다. 불행히도, 많은 사람들이 휴대 전화의 앱에서 광고주의 서버로 흐르는 정보를 암호화하지 않기로 결정했습니다. Botezatu는“라우터 또는 네트워크에서 청취하는 사람은 누구나 앱 데이터를 스누핑하고 복사 할 수 있습니다.
로저스는 스파이와 대행사가 라우터와 Wi-Fi 네트워크에서 스누핑을하는 것을 보았지만 더 큰 문제라고 말합니다. "정부 조직은 다른 사람이 할 수없는 방식으로 인프라를 활용할 수있는 위치에 있습니다. 나쁜 사람은 데이터를 얻을 수 있지만 정부는 인터넷 전체를 걸 수 있습니다."
많은 양의 데이터를 광고주에게 보내는 것이 NSA에 의해 가로채는 것보다 항상 좋은 것은 아닙니다. Botezatu는 일단 데이터가 장치를 떠나면 제어 할 수 없다고 지적했습니다. "이러한 광고주는 귀하의 데이터를 보호하는 법률이없는 곳에있을 수 있으며 아무도 해당 서버의 정보가 해커에 의해 보호되거나 도달 할 수 없다고 보장 할 수 없습니다."
누가 비난을
대부분의 경우 앱 개발자는 광고주가 어떤 정보를 빨아들이는지 알지 못할 수도 있습니다. 또는 해당 정보가 암호화 된 경우.
로저스는 문제의 큰 부분은 데이터를 민감하게 만드는 것에 대한 업계의 오해라고 말합니다. 그는 일부 앱은 데이트 앱의 성적 취향이나 다른 앱의 우편 번호 일부와 같은 약간의 정보 만 고려할 뿐이라고 설명했다. 광고주는이 정보만으로는 많은 정보를 제공하지 않으므로 민감한 정보로 간주하지 않습니다. 그러나 이제 NSA와 같은 조직은 한 번에 수백 개의 앱에서 데이터를 가로 채어 점을 연결할 수 있습니다. 로저스는“정부 조직은 모든 것을 상호 연관시키고 완전한 프로파일을 구축 할 수있다.
광고주가이 정보를 수집하기 위해 사용하는 소프트웨어 개발 키트에 문제가 있습니다. Botezatu는 모든 모바일 마켓 플레이스에 수백만 개의 앱이 있지만 광고 SDK의 수는 매우 적다고 설명했습니다. "Google Play의 모든 응용 프로그램에는 약 100 개의 전원이 공급됩니다." "만약 하나를 훼손하면 모든 범위의 애플리케이션을 타협하고 더 많은 고객에게 다가 갈 수 있습니다."
우리는 실제로 전화로이 정보를 수집하고 있다는 경고를 받기 때문에 고객 (귀하의 본인)도 이에 참여합니다. 예를 들어 Google Play에서 앱을 다운로드하면 앱에 다양한 권한을 부여하는 데 동의합니다. 앱이 액세스 할 수있는 정보와 수행 할 수있는 작업입니다. 로저스는 "앵그리 버드가 당신의 위치를 사용한다면 어떻게 든 광고를하고 있다고 가정 할 수있다"고 말했다.
안전을 유지하는 방법
우리 같은 사람들에게는 정보를 보는 사람을 제한하는 옵션이 거의 없습니다. iPhone에서는 광고주가 "광고 ID"에 액세스하도록하여 언제든지 새로 고칠 수 있으며 프로필 구성 방법을 제한 할 수 있습니다. iOS는 또한 정보에 대한 세부적인 권한을 제공합니다. 위치에 대한 액세스를 허용 한 다음 나중에 설정 메뉴에서 끌 수 있습니다.
안타깝게도 Android는 세분화 된 권한으로 뒤쳐져 있습니다. Google은 권한을 설정하거나 해제 할 수있는 제어판을 간략하게 소개했지만 빠르게 제거되었습니다. 이것은 많은 사용자들이 보안과 최신 앱으로 게임을하는 것을 선택해야한다는 것을 의미합니다. Botezatu는“필요한 것보다 많은 데이터를 수집하려고하는 응용 프로그램을 볼 때 비슷한 기능을 가진 다른 응용 프로그램을 선택합니다.
사용자는 앱 권한을 모니터링하는 데 도움이되는 보안 소프트웨어를 설치할 수도 있습니다. Lookout은 보안 앱이이 정보를 강조하기 시작할 것이라고 Bitdefender의 Clueful 앱을 통해 앱이 너무 많이 요구하는지 여부를 결정할 수 있다고 말합니다.
Rogers는 "사용자는 앱 개발자가 광고주와 동의 한 것으로부터 멀리 떨어져 있습니다." 그러나 사용자는 앱 개발자가 개인 정보 보호 및 공개 정책과 같은 문서를 제공하도록 요구하는 것이 좋습니다.
슬프게도 개발자와 광고주는 모든 사용자 정보를 민감한 것으로 취급하기 시작하고 전화를 떠날 때부터 서버에 앉아있을 때까지 암호화해야합니다. 한편, 소비자는 어떤 앱을 설치하고 개발자가 적극적으로 책임을 져야하는지 현명하게 결정해야합니다. 로저스는 "우리는 매일 새로운 것들이 감시되고 있다는 소식을 듣고 있지만 적어도이 경우에는 쉬운 해결책이있다"고 말했다.
