安全專家發現兩個巨型智能手機隱私問題
這一週對於智能手機用戶的隱私和安全來說相當令人震驚。具體而言,兩項調查揭示了圍繞智能手機廣告和iOS通知系統存在令人擔憂的隱私問題。
首先,由404 Media進行的深入調查揭示了一家名爲Patternz的公司正在武器化智能手機的廣告投放系統,通過應用程序提取信息,然後將其發送給競拍者。報告將Patternz描述爲“一種祕密的間諜工具,可以通過廣告行業跟蹤數十億手機配置文件”。Patternz在諸如9Gag和一堆熱門來電識別應用程序等熱門應用中使用管道來執行其不正當的工作。據報道,Patternz告訴其客戶,它可以監視幾乎可以運行廣告的任何應用程序。
該公司的首席執行官表示,一旦部署了覆蓋超過50萬個應用程序的工具,手機就會變成“事實上的追蹤手環”。根據一份嚴重的研究論文,它爲超過50億用戶創建配置文件,並將信息通過實時競價(RTB)市場出售給客戶。無論您使用的是iPhone還是Android手機,都可能受到影響。Patternz背後的監控公司ISA從Google和X(以前稱爲Twitter)等RTB玩家那裏收集這些數據。它出售的數據集可以包括人的高度具體的位置(在幾米範圍內準確)以及其運動模式的歷史記錄,甚至是他們會見的人。
龐大的監控網絡
這種工具的存在也引發了關於蘋果大力宣傳的App Tracking Transparency功能效率的質疑,該功能旨在削減此類廣告啓用的跟蹤。網絡安全專家表示,這種工具使政府監視成爲可能,而ISA等公司已經向國家安全機構推廣其服務。這不是巧合。國家安全局負責人承認,國家安全局從數據經紀人那裏購買了美國人的網頁瀏覽數據,繞過了需要令狀的需求。這一震撼性的確認是在俄勒岡州參議員Ron Wyden暫停了國家安全局新任局長Timothy Haugh的提名並要求瞭解該機構在收集美國人的位置和互聯網數據方面的做法之後出現的。 Wyden已經嘗試了三年之久,試圖揭示國家安全局購買美國人的互聯網記錄,他於12月11日收到了現任國家安全局局長Paul Nakasone確認這些購買的信函。路透社首次報道了該信函的詳細內容。
通知也可能不正當
但廣告只是問題的一半。Mysk進行的另一項調查揭示,不良行爲者正在利用iPhone上的推送通知來收集診斷和定製數據傳遞的關鍵數據。每當應用程序收到推送通知時,iOS會短暫地喚醒它,使其有短暫的時間來個性化通知,然後再顯示給用戶。不足爲奇的是,一些以侵入式數據收集習慣而著稱的社交應用程序正在利用推送通知提供的後臺運行時間。開發人員可以巧妙地利用這個漏洞,通過發送推送通知來隨時在後臺執行代碼。許多應用程序正在使用此功能,在後臺運行時祕密發送全面的設備數據,有效地運行設備指紋識別系統。安全公司表示:“許多應用程序在觸發通知後發送設備信息的頻率令人震驚。” 這項調查甚至發現了來自Facebook、TikTok和LinkedIn等大型平臺的可疑行爲。
專家們有什麼說?
解決這個問題的唯一辦法?禁用通知。“最近,對手似乎正在使用可能誘使受害者安裝間諜軟件到他們的設備上的通知彈出窗口和廣告,”全球網絡安全公司Trend Micro的首席執行官Jon Clay告訴Digital Trends。那麼,普通人可以採取什麼措施來避免這種非法監視,它可以傳輸諸如位置和本地數據等身份識別細節?“許多人被引導相信移動設備本身是安全的,” Clay說,並指出安裝廣告攔截器或專門的安全應用程序可能提供某種安全保障。在您的iPhone上發生的事情不會只侷限於您的iPhone上。
“這種性質的攻擊非常陰險且極具警示性,”Appdome安全產品副總裁Alan Bavosa說。他指出,在這種攻擊面前,用戶通常處於無防禦地位,因爲他們根本不知道他們的設備上正在發生什麼。 “用戶可以採取一些小措施,以不使情況惡化,比如從標準應用商店下載應用程序,而不要更改(越獄或刷機)他們的設備,” Bavosa告訴我們。“但這些措施是累加的,而不是治癒的。”
不幸的是,最終責任似乎最終落在用戶身上,這也是一種預防措施。網絡安全專家的一個常見建議是手動查看設置應用程序,並禁用某些應用程序的通知以及可能的設備傳感器。 “一些廣告軟件和間諜軟件可能由官方市場的不良行爲者發佈,僞裝成合法應用程序,”Resecurity首席運營官Shawn Loveland說。“建議不要安裝隨機應用程序或不真正需要的應用程序。”
儘管不良行爲者已經找到了解決辦法,但要求應用程序不跟蹤iPhone用戶活動仍然是明智的步驟。“定期檢查應用程序的權限是個好主意,尤其是與位置和麥克風訪問權限相關的權限,並禁用那些不必要的權限,”安全公司MSP Blueshift的聯合創始人John Chapman建議。今年晚些時候,隨着蘋果準備要求開發人員明確解釋爲什麼需要訪問iPhone上的推送通知和相關的診斷系統,一些解脫將會到來。這不會一次性解決所有問題,但至少是一個不錯的開端。