КЕЙС Специалисты финской компании F-Secure, занимающейся вопросами ИБ, в качестве эксперимента создали публичную точку доступа, среди условий использования которой было такое: «В обмен на доступ к Wi-Fi-сети пользователь отказывается от своего первенца или любимого домашнего животного». За короткое время отображения этой страницы шесть человек, не читая данный документ, согласились с этим условием ради доступа к интернету[1032].
Доступ приложений к профилям Apple и Google
Еще одна неочевидная угроза связана с доступом к аккаунтам Google и Apple. По аналогии с социальными сетями (вход через Facebook или «ВКонтакте») службы и приложения, в том числе и на мобильных устройствах, позволяют авторизоваться с помощью идентификаторов Apple и Google. В этом случае приложение или сервис (сайт), на котором осуществлена аутентификация, получает доступ к информации, сохраненной в профиле Google или Apple.
В профиле Google это может быть основная информация, такая как имя, адрес электронной почты и фотография. Также приложения/службы могут просматривать и копировать другие данные, например список контактов, фотографии/видеозаписи из «Google Фото», плейлисты на YouTube и т. д. Некоторые сайты и приложения могут редактировать, загружать и создавать контент, например видеоредактор может монтировать и загружать видео на YouTube, а планировщик – создавать новые события в «Google Календаре». Службы и приложения с полным доступом к аккаунту Google могут просматривать, копировать, редактировать и удалять практически любые данные в аккаунте, а также добавлять новые сведения (при этом им запрещено менять пароль, удалять аккаунт и использовать Google Pay для транзакций).
Учитывая, что в аккаунте может содержаться конфиденциальная информация, прежде чем предоставить доступ к нему сайту или приложению, следует ознакомиться с уведомлением об их политике конфиденциальности, в котором указано, как будут использоваться и защищаться данные. Особенно это касается служб и приложений, запрашивающих доступ к электронным письмам Gmail, фотографиям в Google Фото, документам в «Google Диск», информации о событиях в «Google Календаре» и телефонам и адресам в «Google Контактах»[1033].
Apple
При авторизации с помощью функции «Вход с Apple» конфиденциальность соблюдается строже. При таком методе аутентификации служба или приложение получает только имя или реальный адрес электронной почты пользователя, или случайно сгенерированный – наподобие dpdcnf87nu@privaterelay.appleid.com. В последнем случае все сообщения, отправленные разработчиком приложения или сайта, автоматически перенаправляются на реальный адрес электронной почты пользователя[1034].
Иногда может понадобиться изменить список приложений и сайтов, на которых осуществлена аутентификация с помощью Google или Apple, например при удалении неиспользуемых или подозрительных программ. Как это сделать, мы расскажем в конце этой главы, в разделе, посвященном защите мобильных устройств.
Своевременное закрытие брешей, обнаруженных в системах защиты, крайне важный фактор обеспечения безопасности при использовании мобильных устройств. Хотя выпуск актуальных патчей – прерогатива производителей устройств, пользователю тоже стоит заботиться о безопасности, выбирая девайсы с наилучшей поддержкой. К примеру, большинство устройств под управлением ОС iOS и iPadOS практически не имеют проблем с установкой обновлений благодаря долгому сроку технической поддержки (не менее 5 лет[1035]). Риск хищения данных возрастает для старых устройств, поддержка которых прекращена. Лишь немногие производители оперативно выпускают патчи для обеспечения безопасности Android-девайсов, в частности это Nokia и разработчик ОС Android компания Google, производящая устройства Pixel. Обновлений для других моделей, даже флагманских (не говоря о бюджетных), можно ждать месяцами, а то и вовсе не получить их. Например, по данным 2019 г., довольно популярные в России производители Huawei, Oppo и Vivo выпускали собственные обновления спустя 7 месяцев после релиза[1036]. К тому же техническая поддержка устройств под управлением операционной системы Android часто длится год-два, а затем производитель прекращает обновлять «устаревшие» модели (например, исходя из маркетинговых соображений[1037]).
Хотя более новые версии мобильных операционных систем и обеспечивают более высокий уровень защиты данных пользователя, даже в современных версиях iOS и Android выявляются уязвимости. Например, в iOS 13 был обнаружен баг, позволяющий посредством голосового управления просмотреть адресную книгу на заблокированном смартфоне[1038]. А для устройств под управлением операционной системы Android существует инструмент FRP Bypass, снимающий блокировку Google Factory Reset Protection. В некоторых случаях злоумышленник может получить доступ к данным, хранящимся на устройстве, без сброса всех настроек (hard reset) с помощью только лишь защищенной паролем SIM-карты[1039]. Примером дистанционных атак может служить взлом с помощью SMS-сообщения, содержащего настройки для перенаправления интернет-трафика с телефона через прокси-сервер злоумышленников. Так как установить фишинговую природу такого SMS-сообщения невозможно, жертва считает его подлинным, отправленным оператором сотовой связи и принимает настройки, разрешая тем самым «прослушку». Потенциально опасность угрожает множеству устройств под управлением операционной системы Android, в частности Sony[1040],[1041]. Также в коде Android существует уязвимость, актуальная для версий Android с 8-й по 10-ю. Если на устройстве не установлены патчи безопасности, злоумышленник может получить дистанционный контроль над ним и даже полностью взломать. В зоне риска оказались такие смартфоны, как Google Pixel 2, Huawei P20, Xiaomi Redmi 5A, Xiaomi Redmi Note 5, Xiaomi A1, Moto Z3, Oreo LG, Samsung Galaxy S7, Samsung Galaxy S8, Samsung Galaxy S9. По словам сотрудников компании Google, данным эксплойтом пользуется для слежки израильская компания NSO Group, которая разрабатывает шпионское программное обеспечение[1042].
NSO Group известна такими разработками для взлома устройств под управлением операционной системы iOS и Android, как Pegasus и Chrysaor. В 2016 г. шпионская утилита Pegasus использовала цепочку из трех 0-day-уязвимостей в iOS и компрометировала iOS полностью, по сути, осуществляя удаленный джейлбрейк устройства. Для активации вредоносного кода пользователю достаточно было перейти по ссылке, после чего злоумышленники могли перехватывать все телефонные вызовы, текстовые сообщения, записи в адресной книге, все данные из Skype, WhatsApp, Viber, WeChat, Telegram и т. п.[1043] Chrysaor, в свою очередь, разрабатывалась для операционной системы Android с целью похищения данных о нажатии на клавиши, изображении на экране, телефонных звонках и сообщениях, в том числе в мессенджерах и т. п.[1044]
Что Google и Apple знают о нас?
Вы можете скачать всю информацию, которую собрали о вас и ваших устройствах компании Google и Apple.
Компания Google предлагает скачать архивы с данными по адресу https://takeout.google.com/?hl=ru. В этих архивах хранятся:
■ записи и информация об участии в «Google Группах»;
■ ответы, данные в рамках опросов и исследований Google Research;
■ файлы, сохраненные в хранилище «Google Диск»;
■ открытые и завершенные задачи;
■ данные из игр, в том числе о достижениях и набранных очках, из Google Play;
■ текст и документы, загруженные для перевода в службе Google «Переводчик»;
■ геоданные из истории местоположений (данные о посещенных местах и вычисленных маршрутах);
■ события, отмеченные в календаре;
■ маршруты и расписания, отмеченные пользователем места и оставленные им отзывы, сведения о предпочитаемых им товарах и заведениях (в том числе общественного питания), загруженные пользователем фотографии, заданные ему о посещенных местах вопросы и данные им ответы, профили электромобиля, а также собственные карты пользователя в службе Google «Карты»;
■ данные о курсах, пройденных пользователем в службе Google «Класс»; записи пользователя, выполненные им задания и списки учащихся из этого веб-сервиса;
■ веб-страницы, изображения и прикрепленные файлы с сайтов, созданных в рамках проекта Google «Сайты»;
■ контакты и их изображения, добавленные пользователем и сохраненные из сервисов Google, например Gmail;
■ данные о действиях, выполненных в различных службах Google, а также связанные с этими действиями изображения и аудиофайлы;
■ сведения о покупках и бронировании, сделанных при помощи служб Google «Поиск», «Карты» и «Ассистент»;
■ все письма и прикрепленные к ним файлы из аккаунта Gmail;
■ информация об устройствах, комнатах, домах и истории из приложения Google Home;
■ информация об устройствах Android: данные о производительности, сетевых подключениях, версиях ПО и идентификаторы устройств и аккаунтов;
■ данные автозаполнения форм, закладки, история и другие настройки браузера Chrome;
■ отчеты о ежедневной активности, собранные с помощью фитнес-приложения Google Fit;