Security Week 03: 2019 — год приватности

Security Week 03: 2019 — год приватности


Ладно, может и не весь 2019 год, и вообще предсказания — штука сложная и неблагодарная . После громкого заголовка выскажемся точнее: важные новости начала января почти все так или иначе посвящены приватности. В 2018 году вопросы ценности данных, собираемых с клиентов сетевых сервисов, а также проблемы бесконтрольного использования этих данных впервые начали обсуждаться широко. Виной тому стал скандал с социальной сетью Facebook и массовым сбором данных пользователей соцсети даже не самим Фейсбуком, а какими-то непонятными левыми фирмами, с последующим широким применением, в том числе и на выборах.

Специалистам и тем, кто в теме, давно уже было понятно: интернет-гигантам известно про нас почти все. Где мы находимся, о чем мечтаем, сколько зарабатываем, чем болеем, сколько стоим в пробках, за кого голосуем на выборах, из чего на праздники был салат. Более широкое обсуждение темы и, возможно, более серьезное давление на компании, собирающие информацию, — это в целом неплохая штука. Она может привести к окончанию своеобразной эпохи Дикого Запада на рынке данных. Главное, чтобы в погоне за приватностью не пострадало качество сервисов, тоже зависящее от персональных данных пользователей.

38f1e7a8562957ce98430a1eaa041039.png
Тем временем компании начинают использовать приватность как конкурентное преимущество. По крайней мере те, кто может себе это позволить без обвинений еще и в недобросовестной рекламе. На прошедшей в начале января в Лас-Вегасе выставке CES компания Apple рекламировала свои объективно неплохие позиции по неприкосновенности данных пользователей iPhone: что происходит на вашем телефоне, остается на вашем телефоне. Проблема в том, что одними только настройками операционной системы защититься не получится. Лучше всего это показано в журналистском расследовании, опубликованном на сайте Motherboard (краткое содержание на русском — здесь ).

cc4ffc953232d43eea754fe45c92d614.png
Автор статьи, журналист Джозеф Кокс, нашел частного детектива… Хотя нет, наверное, это слишком приличный термин. В статье его называют охотником за головами — в общем, найден был человек, который за деньги разыскивает должников или людей, скрывающихся от полиции, или вообще кого угодно, если за это платят. Ему было выдано 300 долларов и номер мобильного телефона. В обмен на деньги охотник за головами прислал скриншот из Google Maps, указывающий расположение владельца мобильника с точностью до квартала.

По американским законам такая деятельность не то чтобы запрещена: сотовым операторам позволяется передавать данные о расположении клиентов специализированным организациям. В эти организации, в свою очередь, обращаются кредитные агентства, автодилеры, в общем, все те, кому важно удостовериться, что человек, берущий кредит или покупающий машину, говорит правду. Ключевым моментом является явное согласие владельца контракта на отслеживание, которое в случае, описанном в статье Motherboard, дано не было. Представители сотовых операторов и крупных провайдеров персональных данных в итоге свалили вину на относительно мелкое агентство, которое перепродавало данные всем интересующимся и готовым платить.

Резонанс у статьи был нешуточный, даже до обсуждений в американском конгрессе дело дошло (смотрите твит выше). С таким рефреном: как же так, это же ведь кого угодно можно отследить! Ну дааа. Еще одно дело о нежелательной слежке за пользователями дошло до суда: в Лос-Анджелесе подали иск ( новость ) против компании The Weather Channel. Изначально это был действительно канал о погоде, теперь это скорее поставщик сводок о температурах и осадках на смартфоны, разработчик рекламной платформы, а с 2016 года компания еще и входит в состав IBM.

В иске против компании утверждается, что она собирала данные о местоположении пользователей мобильного приложения (аудитория в 45 миллионов человек) с целью извлечения прибыли. На этом моменте в дайджест заходит Капитан Очевидность и грустно кивает головой: а какая там еще могла быть цель? Логика иска такая: пользователям сообщалось, что геолокация позволяет более точно предсказывать погоду. На самом деле для прогноза погоды такая точность не требуется, тем более не обязательно собирать данные, когда приложением никто не пользуется, в том числе и ночью. А данные все равно собирали, и это даже не сотовые сети: тут точность выше. Данные затем передавались в IBM и третьим лицам для использования в рекламе. Представители компании, естественно, все отрицают и настаивают на правомерном сборе и обработке информации. Скорее всего, так и есть. Если иск не утонет в юридической демагогии, будет интересно.

В самом конце декабря на конференции 35С3 исследователи из организации Privacy International рассказали, как Facebook собирает данные даже тех пользователей, которые соцсетью не пользуются ( новость , отчет организации). В исследованные приложения для Android (включая очень популярные, например Yelp или Shazam) внедрен SDK Facebook, через который данные и передаются в соцсеть. Удивительно, правда? Если вас расстроили прошлогодние откровения о том, как ваши данные используются соцсетью, и вы решили удалить Facebook с телефона, у меня плохие новости: соцсеть все равно про вас много знает.

В исследовании приводятся интересные примеры. Так, электронная версия Библии передавала в соцсеть номер главы и стиха, которые просматривал пользователь. Стандартный набор данных, передаваемых всеми приложениями: статистика использования аппа, тип устройства, неточная геолокация на основе языка и часовой зоны. Но дело даже не в этом: полезную в рекламных целях информацию можно извлечь просто из характеристик приложения — одни помогали рассчитывать менструальные циклы, другие — искать работу. Из 34 исследованных приложений 61% отправляли данные в Facebook постоянно, при каждом открытии программы на смартфоне.

Таким образом, Facebook получает данные даже о тех людях, кто либо вовсе не имеет учетной записи в соцсети, либо не устанавливает соответствующие приложения на смартфон. В помещение снова заходит Капитан и непонимающе смотрит: а как вы думали, так же работают все рекламные сети. Разработчики не просто так включают код Facebook в свои программы, а для получения прибыли. Цифровая экономика конца второго десятилетия двадцать первого века питается персональными данными. Ничего личного, просто бизнес.

Что с этим делать, зависит от вашего личного отношения к проблеме. Можно и ничего не делать: за исключением крайних случаев (вроде описанного в статье Motherboard) сбор данных не означает, что где-то в условном Гугле или Фейсбуке лежит папочка с вашим личным делом, именем и фамилией. Эффективность использования этих данных пока достаточно низкая — это можно понять по качеству показываемой вам рекламы. Качество сервисов ведь тоже зависит от собираемых данных, и во многих случаях мы не против, чтобы сетевые сервисы становились лучше. Просто хотелось бы иметь выбор, какие именно данные передавать, и возможность разрешать или запрещать компаниям сбор и хранение информации. А такой выбор есть не всегда.

Если вы параноик, то будет нелегко. Интересные примеры обеспечения приватности в эпоху тотальной цифровой прозрачности приводятся в сообществе /r/privacy на Reddit. В частности, использование iPhone со строгими настройками передачи данных, с обязательным VPN, с ограниченным набором приложений (для каждого внимательно прочитать условия использования и заявление о приватности). Это простой способ, есть посложнее: Android-смартфон c альтернативной прошивкой LineageOS, безсервисов Google, установка приложений вручную. До недавнего времени приватность ассоциировалась в основном с анонимностью: типа вам нужно в Интернете делать какие-то темные дела. Теперь отношение меняется, и приватность становится «требованием нормального человека». И это хорошо: если есть спрос — значит, будет и предложение.

Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского». Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом.
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!