Почему смартфон знает о нас больше, чем родные и чем это угрожает

Сегодня мы не мыслим жизни без смартфона и Интернета. А вместе с тем — не можем обойтись без приложений, которые знают о нас все. Сколько шагов проходим в день, как много калорий сжигаем, что читаем и смотрим, где бываем, когда ложимся спать. Это кажется удобным, пока мы не знаем, что по другую сторону баррикад есть злоумышленники. Они взламывают сервера и приложения, которым мы предоставляем информацию о себе, устраивают кибератаки, создают цифровые портреты пользователей и получают доступ к финансовым счетам. Звучит зловеще? Тем не менее, об этом нужно знать каждому, кто пользуется мобильным телефоном.

Что такое персональные данные?

Персональными данными называют любую личную и корпоративную информацию, сведения о финансовом счёте (в особенности, подразумевается доступ к онлайн-банкингу), а также любые факты жизни, которые человек не желает разглашать. При этом, по действующему законодательству, каждый имеет право знать, кем и в каких целях используются персональных данных. А в случае, если выявлено, что личная информация попала в чьи-то руки, человек по закону имеет право узнать, какие конкретно данные стали доступны общественности. И решить, какую информацию он бы хотел держать в секрете.

Как мы передаём персональные данные?

Как бы удивительно это ни звучало, мы делимся персональной информацией постоянно — и даже не подозреваем, с кем. Как именно это происходит?

• мы устанавливаем приложения и, не читая положения и условия пользования, соглашаемся на обработку персональных данных;
• забываем регулярно обновлять приложения и программное обеспечение, либо пользуемся нелицензионным антивирусом;
• используем недостаточно надёжные пароли, не меняем их — либо пользуемся старыми, давно забытыми нами паролями, которые, увы, могут быть распознаны киберпреступниками;
• постоянно держим включённым Bluetooth и не отключаем из сети так называемый Интернет вещей;
• загружаем файлы из непроверенным источников;
• не проверяем регулярно коммерческие аккаунты, в которых совершаем покупки, либо переходит по ссылкам, предлагающим большие скидки за шоппинг, не понимая, что это уловка мошенников, и нас ожидает не экономия средств, а, напротив, потеря денег.

Зачем мы это делаем?

Приложения просят у нас разрешения получить доступ — и зачастую информация, которую мы предоставляем, превышает необходимую. Например, фото-редактор захочет получить доступ к медийным файлам, и это очевидно. Но вряд ли стоит разрешать доступ к контактам.

Или, допустим, приложение Uber не сможет работать, не получив доступ к локации клиента. В то же время, обладая такой информацией, водители могут «наблюдать» за перемещением хозяина смартфона и после окончания поездки. За это отвечает функция Trip Related Data. Кстати, речь идёт не только об автомобилях. на официальном сайте утверждается: «В некоторых случаях мы обязаны передавать данные о поездках Uber в муниципальные и федеральные органы власти, а также в местные транспортные службы. Чтобы соблюсти эти требования, мы собираем данные о местоположении и времени поездок на велосипедах и самокатах».

Что происходит дальше?

Предположим, наши персональные данные хранятся в приложении онлайн-школы, специализирующейся на изучении английского. Сервер взломали хакеры, и произошла утечка информации — электронная почта и прочие сведения, доступ к которым был для приложения открыт, попадает в чужие руки. И как злоумышленники этим воспользуется, никому не известно.

Кстати, если вы хотите проверить, не случалось ли подобное с вашим электронным ящиком, воспользуйтесь одним из порталов типа Have I Been Pwned. Лично я, введя свои емэйлы, обнаружила, что два из них в ходе хакерской атаки на сервер, через который произошла утечка информации.

Как защищать персональные данные?

Если вопрос лежит в компетенции Европейского Союза, можно обратиться в международный суд и оперировать к некоторым законам:

• Европейская конвенция о защите физических лиц при автоматизированной обработке персональных данных (1981) — согласно закону, персональная информация может быть доступна правительству и частным компания только по решению суда;
• Закон о конфиденциальности электронной коммуникации (1986) — при подписывании договоров, банки и финансовые организации обязаны спрашивать у клиентов разрешение на доступ к персональным данным;
• Закон Грэмма-Лича-Блайли (1999) регулирует процесс управления данными финансовыми институциями и строжайше запрещает использовать персональную информацию для дискриминации по любому признаку;
• Закон о защите конфиденциальности детей в Интернете (2010) — онлайн-провайдеры не имеют права собирать и сохранять персональную информацию, касающуюся детей, без согласия их родителей или опекунов;
• Общий регламент по защите данных (2016) — тот самый нашумевший GDPR: каждый имеет право узнать, какую конкретно персональную информацию получили приложения или компании, после этого решив, оставляться ли эти данные в открытом доступе или требовать их изъятия из базы.

Заметим, что в случае, если нарушение прав человека, связанное с кражей персональных данных, относят к общенациональному вопросу, нужно обращаться в суд, специальную инстанцию или правительственный орган национального значения.

Несмотря на принятое законодательство, на сегодняшний день защита персональных данных имеет столько «лазеек» для нарушения закона, что по состоянию на май 2020 статистика неутешительна. Так, 79% опрошенных в ходе исследования, проведённого Pew Research Center, выражают обеспокоенность тем, что компании собирают их данные. При этом, 64% встревожены тем, что персональными данными интересуется государство. 81% респондентов чувствуют себя незащищенными и неспособными защищать свои данные. А 46%, по информации Salesforce, говорят о том, что утратили контроль над личной информацией.

Почему так происходит?

Большой Брат следит за нами

В некоторых случаях возникает кризисная ситуация, в которой государство считает правомерным вмешаться в личное пространство граждан. При этом некоторые люди обычно поддерживают принятые решения и добровольно сообщают свои данные, а другие жалуются на то, что попраны их права. Например, весной в Австралии правительство

утверждало, что если большинство людей загрузил приложение COVIDSafe, режим самоизоляции пройдёт быстрее, и жизнь скорее войдёт в привычное русло. Первыми возмутились академические институции. Так, Сиднейский университет совместно с изданием The Conversation публично заявили, что приложения по сбору медицинской информации нарушают права человека.

А речь шла вот о чем.

В конце апреля более 5.87 миллионов жителей Австралии скачали приложение COVIDSafe, созданное для того, чтобы представителям сферы здравоохранения было проще найти, с кем контактировал человек, обнаруживший у себя COVID.

Сбор информации происходит по следующему принципу. Приложение собирает анонимные id, используя Bluetooth, и в зону внимания попадают те, кто находятся в непосредственной близости от заболевшего, причём время пребывания рядом с больным человеком - не менее пятнадцати минут назад. Людям предписывают постоянно держать Bluetooth включённым - выключать разрешать лишь тогда, когда вы приходите домой.

В то же время, включая Bluetooth, вы позволяет считывать персональные данные также и другим приложениям, так что использование COVIDSafe не настолько безопасно, как хотелось бы.

Говоря о вторжении в личное пространство, стоит заметить, что оно обосновано, в связи с угрозой массовой вспышки эпидемии COVID. Однако мировая общественность продолжает возражать против использования подобных приложений. Так, The Guardian удалось доказать, что медицинская онлайн-система My Health Record не выполняет международные требования в сфере кибербезопасности, несмотря на то, что в неё инвестировали 1,5 млрд долларов. Хотя система была признана эффективной, правительство не смогло гарантировать, что доступ к персональным медицинским данным личности является легальным.

База данных собирала клиническую информацию о пациентах Австралии с 2012 года, но в 2020 вышла из оборота, по требованию служб по информационной безопасности.

Дело в том, что в системе были найдены некоторые проблемы, связанные с программным обеспечением, которые провоцировали утечку информации.

В то же время, медицинские приложения — не единственные системы, которые стоит винить в пренебрежении персональными данными. Здесь нужно сказать, что в целом концепция смарт-сити, подключающая каждого к глобальной сети, позволяет упростить многие процессы - но и может потенциально нанести вред жителям «оцифрованных» городов.

Например, более сотни правительственных инстанций получили доступ к информации, собранные через смарт-карту Opal, которой пользуются завсегдатаи общественного транспорта в Южном Уэльсе.

Ещё в прошлом году исследователи из Международного института компьютерных технологий (ICSI) проанализировали работу 24 000 приложений, работающих на Android. И пришли к выводу: 70% из них «воруют» персональные данные. Это происходит таким образом: постоянный ID отправляется в компании, которые затем получают возможность следить за передвижением и тем, какие ещё приложения используются.

Попав в руки к хакерам, данная информация расскажет о человеке все — сколько калорий он потребляет за день, как много километров проходит, где бывает, сколько часов спит и так далее.

При этом, исследователи сообщили сотрудникам Google о проблемах, которые были обнаружены, но ответа так и не получили. 

Что касается на первый взгляд безобидных travel-приложений, исследователи из организации по решениям в области мобильной безопасности Zimperium протестировали тридцать лучших мобильных приложений, предоставляющих информацию о полетах, отелях, прокате авто - и выяснили, что персональные данные пользователей совершенно не защищены.

В частности, 100% iOS приложений, которые мы загружаем из GooglePlay, не прошли тест кибербезопасности

В случае с приложениями на Android дела обстоят немного лучше — указанные тесты провалили 45%. Но все же 97% имеют проблемы, влияющие на утечку информации.

Как сохранить конфиденциальность?

Возникает резонный вопрос, может ли человек на локальном уровне защитить персональные данные, если большинство мобильных приложений передаёт данные третьим лицам?

Разумеется, да. Для начала, нужно внимательно читать правила пользования, которые предлагают нам сайты и предложения. Хотя большинство Интернет-пользователей пропускают их, именно там содержится информация о том, какие персональные данные попадут в другие компании — следовательно, таргетированная реклама какого рода покажут ваши гаджеты. По итогу прочитанного, именно вы решаете, хотите передавать информацию или нет.

И ещё несколько практических рекомендаций:

• Даже если смартфон позволяет вам загружать программы не из собственного ресурса, это делать не следует.
• Обычно приложения просят дать доступ к вашим файлам, камере и GPS, а также к контактам и информации профиля. Хотя невозможно пользоваться смартфоном, не предоставив доступ приложениям, не нужно давать разрешение всем опциям.
• Не забывайте об антивирусах — кроме того, важно с некоторой периодичностью обновлять программное обеспечение.
• Установите блокировку экрана на вашем телефоне. Если вы потеряете телефон, без защиты экрана вор получит доступ ко всем данным - персональным профилям, фотографиям, аккаунтам в социальных сетях, приложениям для шоппинга.

Для тех, кто хочет знать больше

• Кибервойны на продажу: как Hacking Team сделала Remote Control System оружием и товаром
• Гид начинающего параноика: несколько советов по информационной безопасности
• Украинский хакер, который стал секретным оружием, а потом худшим кошмаром ФБР
• Большой брат не уследит: как в мире научились обманывать системы распознавания лиц
• Как уводят биткоины в Даркнете: мошенники использовали модифицированный браузер Tor, украв десятки тысяч долларов