Кто «стучит» с вашего смартфона
04.02.2014 16:00
... оказался полезней индивидуальных атак. Не удивительно, что американцы и их британские коллеги практиковали его и раньше, ещё во времена простых сотовых телефонов, а за мобильные приложения взялись в тот же год, когда появился первый iPhone.

В истории Эдварда Сноудена очень мало забавных моментов — да и что, вообще говоря, может быть забавного в истории человека, которого за правду прокляла родина и теперь не желает даже разговаривать с ним раньше, чем он признает себя виновным?

Так что вскрывшиеся сегодня ночью факты назвать «забавными» можно тоже только с большой натяжкой, хотя на безнадёжно-мрачном фоне они определённо смотрятся светлым пятном. Как стало известно буквально в последние шесть часов, Агентство национальной безопасности США и его британский партнёр GCHQ следят за владельцами мобильных устройств по всему миру с помощью мобильных же приложений, и в том числе через игрушки вроде суперпопулярной Angry Birds.

То, что мобильные приложения — штука опасная, опытный пользователь понимает интуитивно. Понимает и... ошибается! Рассуждения здесь обычно просты. Как можно быть уверенным, что автор того или иного аппа не встроил в код своей программы «закладку», которая — запускаясь время от времени или постоянно пребывая в оперативной памяти (двадцать лет назад такие поделки называли «резидентными» или попросту «резидентами») — сканирует устройство на предмет интересных сведений или событий, а потом отчитывается «в центр»? Уверенным, конечно, быть нельзя, но практически среди успешных приложений примеры такого «прямого» шпионажа чрезвычайно редки (хорошее имя дороже?).

Однако мобильные приложения всё-таки опасны. Проблема в том, что у каждого аппа имеется доступ к некоторому набору системных функций и персональных сведений, хранящихся на конкретном устройстве — и даже если приложение не использует их само, то, получив разрешение от пользователя на этапе установки, впоследствии может стать косвенным виновником их неоднократной утечки. Чем, собственно говоря, и пользуется АНБ.




Warrior Pride (подробности ниже). Как пошутил кто-то, даже спецслужбы первым делом выпускают версию для iOS, только потом для Android, а о Windows Phone не беспокоятся (слайды из документов).

Возьмите Angry Birds. Поставить её через Google Play или Apple App Store — дело пятиминутное и совершенно бесплатное: зарабатывать авторам приложения помогает размещаемая внутри игры реклама. В процессе инсталляции система (по крайней мере в случае с Android) спросит у вас разрешения позволить программе выполнять некоторые невинные вещи — вроде изменения содержимого памяти, слежки за батареей, управления телефонными вызовами (речь в конце концов о смартфоне, а не о тупой игровой приставке!).

Внимательное изучение списка, впрочем, выявит и несколько сомнительных пунктов. Например, Angry Birds просит доступ к таким данным, как серийный номер устройства и список телефонов вызываемых абонентов, ваше местоположение и учётные записи. Зачем?

Самой ей такого рода сведения пригодятся навряд ли, зато они наверняка пригодятся владельцам рекламного движка, встроенного в игрушку. И легко представить, как они могут быть полезны спецслужбам — скажем, АНБ и GCHQ, которые именно на примере Angry Birds поясняют своим сотрудникам принципы и потенциал сбора персональных данных с мобильных устройств (слайды из секретных образовательных материалов иллюстрируют сегодняшнюю колонку).

Скажу больше: данные, получаемые спецслужбами со смартфонов и планшеток, не ограничиваются скучной системной информацией и контактами. Это широчайший спектр сведений, охватывающий возраст, пол, национальность, даже сексуальную ориентацию пользователя. Но как такое можно узнать, если вы никогда такогосмартфону не сообщали? Что ж, прямо, может быть, и не сообщали, а вот косвенно, через используемые приложения, — наверняка!


Так что приложения или рекламные движки, в них встроенные, проанализировав всю имеющуюся информацию, в состоянии аргументированно предположить (и предполагают!) в том числе и вашу сексуальную ориентацию. А потом — переправить сведения наружу: например, владельцам баннерной сети, чтобы там по составленному профилю для вас подобрали наиболее подходящую рекламу.




Смартфоны с точки зрения АНБ — волшебный подарок! Телефон и компьютер в одном флаконе, да ещё и транслирующий всё наружу (слайд из документов).

Заметьте: ни девелопер, ни рекламщики не сотрудничают с АНБ (так что вряд ли пресс-секретарь Rovio кривит душой, когда отвечает на прямой вопрос отрицательно), да в этом и нет необходимости. Сведения можно перехватить по пути от смартфона в «облако», что АНБ и делает, пользуясь своими многочисленными врезками в интернет-магистрали и телефонный бэкбон. После остаётся лишь провести «обогащение» информационной руды — сопоставив полученные данные с обширной базой метаданных, накопленной агентством, и подшить результат к виртуальному личному делу, которое заведено, похоже, на каждого землянина.

Если честно, в опубликованных сегодня ночью документах не указаны точные масштабы программы по сбору сведений из мобильных приложений (известно лишь, что под надзором десятки миллионов человек), как не указано и то, что именно АНБ в действительности собирает, обрабатывает и хранит: сказано только, что и как может быть собрано.




Однако никто из авторов этой находки (над архивом Сноудена продолжают трудиться десятки, если не сотни людей: журналистов, правозащитников, спецов по компьютерной безопасности и др.) не сомневается, что «пылесос» работает вовсю. Больше того, по состоянию на сегодняшнее утро достоверно известно, что этим Агентство не ограничивается.

Одновременно стало известно о проекте Squeaky Dolphin, предполагающем мониторинг соцсетей в реальном времени (YouTube, Twitter, Facebook, Blogger и др.) ради выяснения намечающихся трендов и упреждающего противодействия. С его помощью, например, можно предвосхищать массовые беспорядки (слайд из документов).

Помимо данных, сочащихся из приложений, оно контролирует запросы к Google Maps, извлекает крупицы сведений из фотографий, отправляемых мобильными пользователями в соцсети (ещё до их публикации), собирает сырую информацию, утекающую с мобильных устройств во время обновления системного софта.

А в наиболее интересных случаях и вовсе организует прямую атаку на конкретные устройства: внедряет (не спрашивайте — как, никто пока не знает) программный шпионский комплекс Warrior Pride, поддерживающий как минимум iOS и Android и позволяющий проворачивать трюки, о которых общественность давно уже судачит, — наподобие тайного включения вроде бы выключенного телефона, скрытой записи с микрофона, доступа ко всем данным и пр.

Похоже, массовый сбор данных, самотёком уходящих с мобильных устройств, оказался полезней индивидуальных атак. Не удивительно, что американцы и их британские коллеги практиковали его и раньше, ещё во времена простых сотовых телефонов, а за мобильные приложения взялись в тот же год, когда появился первый iPhone. Но кто же виноват, что мы, оказывается, живём под ещё одним микроскопом? Получается, не спецслужбы. Виноваты, выходит, разработчики приложений и рекламных движков: это они позволяют данным утекать с устройств, причём утекать незашифрованными.


И, понятное дело, не стоит даже надеяться, что в обозримом будущем эта полноводная река хотя бы обмелеет. Урезать объём персональных сведений, к которым имеют доступ мобильные приложения, значит поставить крест на всей мобильной платформе, да и вряд ли это возможно технически. Что же до АНБ, то, как показывают последние события, даже если на неё надавят родные законодатели и президент, ограничения наблюдения затронут в лучшем случае классические коммуникации (телефон) — и только применительно к американским гражданам.
Евгений Золотов
computerra.ru