Почему смартфон знает о нас больше, чем родные и чем это угрожает

Автор: Анастасия Шкуро, 13 июня 2020, 09:00
Почему смартфон знает о нас больше, чем родные и чем это угрожает

Сегодня мы не мыслим жизни без смартфона и Интернета. А вместе с тем — не можем обойтись без приложений, которые знают о нас все. Сколько шагов проходим в день, как много калорий сжигаем, что читаем и смотрим, где бываем, когда ложимся спать. Это кажется удобным, пока мы не знаем, что по другую сторону баррикад есть злоумышленники. Они взламывают сервера и приложения, которым мы предоставляем информацию о себе, устраивают кибератаки, создают цифровые портреты пользователей и получают доступ к финансовым счетам. Звучит зловеще? Тем не менее, об этом нужно знать каждому, кто пользуется мобильным телефоном.

Что такое персональные данные?

Персональными данными называют любую личную и корпоративную информацию, сведения о финансовом счёте (в особенности, подразумевается доступ к онлайн-банкингу), а также любые факты жизни, которые человек не желает разглашать. При этом, по действующему законодательству, каждый имеет право знать, кем и в каких целях используются персональных данных. А в случае, если выявлено, что личная информация попала в чьи-то руки, человек по закону имеет право узнать, какие конкретно данные стали доступны общественности. И решить, какую информацию он бы хотел держать в секрете.

Как мы передаём персональные данные?

Как бы удивительно это ни звучало, мы делимся персональной информацией постоянно — и даже не подозреваем, с кем. Как именно это происходит?

  • мы устанавливаем приложения и, не читая положения и условия пользования, соглашаемся на обработку персональных данных;
  • забываем регулярно обновлять приложения и программное обеспечение, либо пользуемся нелицензионным антивирусом;
  • используем недостаточно надёжные пароли, не меняем их — либо пользуемся старыми, давно забытыми нами паролями, которые, увы, могут быть распознаны киберпреступниками;
  • постоянно держим включённым Bluetooth и не отключаем из сети так называемый Интернет вещей;
  • загружаем файлы из непроверенным источников;
  • не проверяем регулярно коммерческие аккаунты, в которых совершаем покупки, либо переходит по ссылкам, предлагающим большие скидки за шоппинг, не понимая, что это уловка мошенников, и нас ожидает не экономия средств, а, напротив, потеря денег.

Зачем мы это делаем?

Приложения просят у нас разрешения получить доступ — и зачастую информация, которую мы предоставляем, превышает необходимую. Например, фото-редактор захочет получить доступ к медийным файлам, и это очевидно. Но вряд ли стоит разрешать доступ к контактам.

Или, допустим, приложение Uber не сможет работать, не получив доступ к локации клиента. В то же время, обладая такой информацией, водители могут «наблюдать» за перемещением хозяина смартфона и после окончания поездки. За это отвечает функция Trip Related Data. Кстати, речь идёт не только об автомобилях. на официальном сайте утверждается: «В некоторых случаях мы обязаны передавать данные о поездках Uber в муниципальные и федеральные органы власти, а также в местные транспортные службы. Чтобы соблюсти эти требования, мы собираем данные о местоположении и времени поездок на велосипедах и самокатах».

Что происходит дальше?

Предположим, наши персональные данные хранятся в приложении онлайн-школы, специализирующейся на изучении английского. Сервер взломали хакеры, и произошла утечка информации — электронная почта и прочие сведения, доступ к которым был для приложения открыт, попадает в чужие руки. И как злоумышленники этим воспользуется, никому не известно.

Кстати, если вы хотите проверить, не случалось ли подобное с вашим электронным ящиком, воспользуйтесь одним из порталов типа Have I Been Pwned. Лично я, введя свои емэйлы, обнаружила, что два из них в ходе хакерской атаки на сервер, через который произошла утечка информации.

Как защищать персональные данные?

Если вопрос лежит в компетенции Европейского Союза, можно обратиться в международный суд и оперировать к некоторым законам:

Заметим, что в случае, если нарушение прав человека, связанное с кражей персональных данных, относят к общенациональному вопросу, нужно обращаться в суд, специальную инстанцию или правительственный орган национального значения.

Несмотря на принятое законодательство, на сегодняшний день защита персональных данных имеет столько «лазеек» для нарушения закона, что по состоянию на май 2020 статистика неутешительна. Так, 79% опрошенных в ходе исследования, проведённого Pew Research Center, выражают обеспокоенность тем, что компании собирают их данные. При этом, 64% встревожены тем, что персональными данными интересуется государство. 81% респондентов чувствуют себя незащищенными и неспособными защищать свои данные. А 46%, по информации Salesforce, говорят о том, что утратили контроль над личной информацией.

Почему так происходит?

Большой Брат следит за нами

В некоторых случаях возникает кризисная ситуация, в которой государство считает правомерным вмешаться в личное пространство граждан. При этом некоторые люди обычно поддерживают принятые решения и добровольно сообщают свои данные, а другие жалуются на то, что попраны их права. Например, весной в Австралии правительство

утверждало, что если большинство людей загрузил приложение COVIDSafe, режим самоизоляции пройдёт быстрее, и жизнь скорее войдёт в привычное русло. Первыми возмутились академические институции. Так, Сиднейский университет совместно с изданием The Conversation публично заявили, что приложения по сбору медицинской информации нарушают права человека.

А речь шла вот о чем.

В конце апреля более 5.87 миллионов жителей Австралии скачали приложение COVIDSafe, созданное для того, чтобы представителям сферы здравоохранения было проще найти, с кем контактировал человек, обнаруживший у себя COVID.

Сбор информации происходит по следующему принципу. Приложение собирает анонимные id, используя Bluetooth, и в зону внимания попадают те, кто находятся в непосредственной близости от заболевшего, причём время пребывания рядом с больным человеком - не менее пятнадцати минут назад. Людям предписывают постоянно держать Bluetooth включённым - выключать разрешать лишь тогда, когда вы приходите домой.

В то же время, включая Bluetooth, вы позволяет считывать персональные данные также и другим приложениям, так что использование COVIDSafe не настолько безопасно, как хотелось бы.

Говоря о вторжении в личное пространство, стоит заметить, что оно обосновано, в связи с угрозой массовой вспышки эпидемии COVID. Однако мировая общественность продолжает возражать против использования подобных приложений. Так, The Guardian удалось доказать, что медицинская онлайн-система My Health Record не выполняет международные требования в сфере кибербезопасности, несмотря на то, что в неё инвестировали 1,5 млрд долларов. Хотя система была признана эффективной, правительство не смогло гарантировать, что доступ к персональным медицинским данным личности является легальным.

База данных собирала клиническую информацию о пациентах Австралии с 2012 года, но в 2020 вышла из оборота, по требованию служб по информационной безопасности.

Дело в том, что в системе были найдены некоторые проблемы, связанные с программным обеспечением, которые провоцировали утечку информации.

В то же время, медицинские приложения — не единственные системы, которые стоит винить в пренебрежении персональными данными. Здесь нужно сказать, что в целом концепция смарт-сити, подключающая каждого к глобальной сети, позволяет упростить многие процессы - но и может потенциально нанести вред жителям «оцифрованных» городов.

Например, более сотни правительственных инстанций получили доступ к информации, собранные через смарт-карту Opal, которой пользуются завсегдатаи общественного транспорта в Южном Уэльсе.

Ещё в прошлом году исследователи из Международного института компьютерных технологий (ICSI) проанализировали работу 24 000 приложений, работающих на Android. И пришли к выводу: 70% из них «воруют» персональные данные. Это происходит таким образом: постоянный ID отправляется в компании, которые затем получают возможность следить за передвижением и тем, какие ещё приложения используются.

Попав в руки к хакерам, данная информация расскажет о человеке все — сколько калорий он потребляет за день, как много километров проходит, где бывает, сколько часов спит и так далее.

При этом, исследователи сообщили сотрудникам Google о проблемах, которые были обнаружены, но ответа так и не получили. 

Что касается на первый взгляд безобидных travel-приложений, исследователи из организации по решениям в области мобильной безопасности Zimperium протестировали тридцать лучших мобильных приложений, предоставляющих информацию о полетах, отелях, прокате авто - и выяснили, что персональные данные пользователей совершенно не защищены.

В частности, 100% iOS приложений, которые мы загружаем из GooglePlay, не прошли тест кибербезопасности

В случае с приложениями на Android дела обстоят немного лучше — указанные тесты провалили 45%. Но все же 97% имеют проблемы, влияющие на утечку информации.

Как сохранить конфиденциальность?

Возникает резонный вопрос, может ли человек на локальном уровне защитить персональные данные, если большинство мобильных приложений передаёт данные третьим лицам?

Разумеется, да. Для начала, нужно внимательно читать правила пользования, которые предлагают нам сайты и предложения. Хотя большинство Интернет-пользователей пропускают их, именно там содержится информация о том, какие персональные данные попадут в другие компании — следовательно, таргетированная реклама какого рода покажут ваши гаджеты. По итогу прочитанного, именно вы решаете, хотите передавать информацию или нет.

Следующее правило — заходя на сайты с недостоверным содержанием, не забывайте пользоваться средствами онлайн-защиты, например, VPN.

И ещё несколько практических рекомендаций:

  • Даже если смартфон позволяет вам загружать программы не из собственного ресурса, это делать не следует.
  • Обычно приложения просят дать доступ к вашим файлам, камере и GPS, а также к контактам и информации профиля. Хотя невозможно пользоваться смартфоном, не предоставив доступ приложениям, не нужно давать разрешение всем опциям.
  • Не забывайте об антивирусах — кроме того, важно с некоторой периодичностью обновлять программное обеспечение.
  • Установите блокировку экрана на вашем телефоне. Если вы потеряете телефон, без защиты экрана вор получит доступ ко всем данным - персональным профилям, фотографиям, аккаунтам в социальных сетях, приложениям для шоппинга.

Для тех, кто хочет знать больше

Подписывайтесь на наш нескучный канал в Telegram, чтобы ничего не пропустить.

Поделиться

Ваш комментарий
3 комментария
s_ta_s старожил (261 комментарий)
13 июня 2020 г. 15:38:28 #

Наличие серого вещества в межушном пространстве ничто не заменит.

В положениях об использовании у всех приложений примерно одно и то же самое: бла-бла-бла разработчик не несет ответственности за вред, причиненный данным приложением бла-бла-бла ваши данные могут быть использованы как угодно разработчику...

Вместо ссылок на всякие акты про защиту персональных данных (интересно, многие ли читатели этой статьи в случае утечки персональных данных накатают заявление в прокуратуру, что им ответят при приеме заявления и какой будет конечный результат?) можно было бы посоветовать отрубить доступ в Интернет всем приложениям, кому он не нужен для работы (средствами системы или через программу-фаерволл), также запретить доступ к геолокации всем камерам, браузерам и прочим гуглоассистентам, не включать GPS когда не пользуешься навигацией, ставить приложения только из проверенных источников предварительно читая отзывы других пользователей (в Маркете тоже хватает всякого Г, иногда надежнее скачать приложение с 4pda где всякую слежку повырезали сами пользователи), не оставлять на смартфоне данных (фото, видео, конфеденциальные документы и т.д.) попадание которых вследствие кражи ( в т.ч. физической кражи смартфона) может нанести существенный вред, использовать пароли (графический ключ можно вычислить по следам на экране) или отпечаток пальца для разблокировки смартфона и шифрование карты памяти.

Ответить
s_ta_s
0
Ackme старожил (159 комментариев)
15 июня 2020 г. 8:48:43 #

Грамотный комментарий. Приятно такие читать. Однако гугл все равно получит ваши данные если вы пользуетесь андроид устройством. И даже если вы выключили доступ к геолокации и саму геолокацию, все равно гугл получает информацию о вашем передвижении. Плюс даже если вы физически модуль gps вытащите из смартфона, вас можно отслеживать по триангуляции от вышек связи. Хотя точность будет меньше. Если не хотите терять свои личные данные, пользуйтесь кнопочным телефоном. А так на каждого человека уже существует цифровой профиль. Даже со включенным vpn и режимом инкогнито в браузере например, пользователя довольно легко идентифицировать. По его активности в сети, по размеру окна браузера, по количеству и содержанию открытых вкладок, по скорости кликов мышки и печатанью клавиатуры и так далее. Есть огромное количество маркеров, с помощью которых определяют кто вы, и дальше добавляют ваши данные к уже существующему электронному профилю. И здесь никакие уловки не помогут. Но. Такие профили доступны только крупным корпорациям. Таким как гугл, майкрософт, яндекс и так далее. Более мелкие организации собирают данные из открытых профилей в соцсетях, из их приложений которыми вы пользуетесь. И от таких организаций уже можно защититься, если хотя бы сделать свои профили закрытыми и проделать фокусы из статьи и комментария выше. Вывод. Паника насчет потери личных данных вполне обоснована. Однако все кто эти данные собирает, предпочитают не делиться этими данными с третьими лицами. А делать выводы и прогнозы на основе этих данных. И уже ими можно делиться с третьими лицами. Потому что данные можно продать один раз а выводы и прогнозы много раз. Поэтому излишне впадать в панику тоже не стоит.

Ответить
Ackme
0
Ackme старожил (159 комментариев)
15 июня 2020 г. 9:00:16 #

Хочу немного дополнить статью. А вы знали, что в поисковике яндекса можно найти человека по фотографии? Там же можно увидеть сайты, где вы вносили свои личные данные. Например отзовик, фрилансер, фейсбук и так далее. И оттуда зайти на ваш профиль, посмотреть как вы на этих сайтах наследили. Отдельно нужно сказать что на данный момент толкового законодательства по защите персональных данных не существует. Однако по просьбе человека, чьи данные попали в сеть, организация обычно убирает доступ к вашим данным через их ресурс. Обращаю внимание. Сами данные остаются. Закрывается только доступ к этим данным.

Ответить
Ackme
0