Теги → приватность
Быстрый переход

Xiaomi отвергла обвинения в излишнем сборе данных, но выпустила обновления для браузеров

Xiaomi прокомментировала обвинения в свой адрес в излишней слежке за владельцами смартфонов. Кроме того, компания выпустила обновления для всех своих браузеров, которые она распространяет через Google Play. В новых версиях добавили переключатель в режиме «Инкогнито». Он даёт возможность пользователям самостоятельно отключить отслеживание их действий и других данных.

Напомним, что сразу несколько крупных западных медиаресурсов со ссылкой на выводы сторонних экспертов по кибербезопасности опубликовали статьи, в которых обвинили компанию Xiaomi в излишнем сборе данных о миллионах пользователей через поставляемые компанией предустановленные на устройства браузеры Mi Browser/Mi Browser Pro и Mint Browser.

Информации о том, что искал пользователь в Сети, по каким ссылкам он переходил и какие сайты посещал, собирались даже в режиме «Инкогнито», что фактически противоречит сути этого режима. Помимо этого, устройства Xiaomi записывали, какие папки открываются, какие экраны переключаются, даже если речь шла о строке состояния и странице настроек аппарата. Все данные отправлялись пакетно на удалённые серверы в Сингапуре и России.

Такие новости, конечно же, вызвали шквал критики в адрес Xiaomi, поэтому компания поспешила оправдаться в своём официальном блоге. Она заявила, что конфиденциальность и безопасность пользователей имеют для неё первостепенное значение. 

Компания сообщила, что собирает только «общие данные по статистике использования», включая «информацию о системе, предпочтения, использование функций пользовательского интерфейса, использование памяти и отчёты о сбоях». Xiaomi подчёркивает, что вся эта информация анонимна, не может быть использована для идентификации личности, а также собирается и передаётся в зашифрованном виде. При этом она указала, что всё делает согласно местному законодательству и исключительно с разрешения самих пользователей.

Шумиху вокруг этой ситуации прокомментировал вице-президент Xiaomi и глава индийского подразделения Xiaomi Ману Кумар Джейн (Manu Kumar Jain). Он заявил, что браузер Mi Browser и все продукты Mi internet на 100 % безопасны.

В любом случае пользователям предлагается обновить браузеры Mi Browser/Mi Browser Pro и Mint Browser до версий 12.1.4 и  3.4.3 соответственно. 

Uber разрабатывает технологию, которая заставит водителей носить медицинские маски

Uber, чтобы адаптироваться к новой реальности, обусловленной пандемией COVID-19, решила применить технологический подход. Компания подтвердила CNN Business, что уже требует носить медицинские маски или аналогичную защиту для лица как от водителей, так и от пассажиров в таких странах, как США. Более того, уже разрабатывается технология, призванная контролировать, соблюдают ли водители эти правила.

Mario Tama / Getty Images

Mario Tama / Getty Images

Пока не сообщается, как будет работать технология, хотя в Uber уже есть функция проверки личности в реальном времени, которая периодически запрашивает у водителей автопортрет. Информатор CNN добавил, что Uber ищет разные способы, чтобы заставить водителей носить маски, хотя вопросы конфиденциальности явно усложняют эту задачу.

Uber уже поставляет маски и дезинфицирующие средства водителям, и эта новая политика может иметь жизненно важное значение, если компания надеется оживить свой бизнес в условиях, когда правительства снимают ограничения на перемещения по городам. Службы заказа такси сильно пострадали после введения карантинных мер, закрытия магазинов, а также из-за страхов перед поездками в тесном пространстве чужого автомобиля — всё это привело к тому, что люди стали неохотно перемещаться на такси. Маски не только уменьшают вероятность заражения, но и повышают доверие между водителями и пассажирами.

Недавно Lyft уволила более 1000 сотрудников, чтобы приспособиться к финансовым реалиям пандемии. Более того, The Information утверждает, что Uber тоже планирует уволить примерно 20 % своих сотрудников. Подобное сокращение рабочих мест может помочь компаниям пережить на какое-то время спад, но этого может быть недостаточно, если потенциальные клиенты останутся напуганными.

Специалист по безопасности — о смартфонах Xiaomi: «Это бэкдор с функциями телефона» [Обновлено]

Издание Reuters выпустило статью-предупреждение относительно того, что китайский гигант Xiaomi записывает личные данные миллионов людей об их активностях в Сети, а также об использовании устройства. «Это бэкдор с функциональностью телефона», — заявил полушутя Габи Кирлиг (Gabi Cirlig) о своём новом смартфоне Xiaomi.

Budrul Chukrut/SOPA Images/LightRocket

Budrul Chukrut/SOPA Images/LightRocket

Этот опытный исследователь в области кибербезопасности поговорил с журналистами Forbes после того, как обнаружил, что его смартфон Redmi Note 8 следит за всем, что он делает. Эти данные затем отправлялись на удалённые серверы, размещённые у другого китайского технологического гиганта Alibaba, которые, вероятно, арендует Xiaomi.

Господин Кирлиг обнаружил, что отслеживались тревожные объёмы сведений о его поведении, в то время как одновременно собирались различные виды данных с устройства — специалист был напуган тем, что сведения о его личности и частной жизни были полностью известны китайской компании.

Когда он просматривал веб-сайты в браузере Xiaomi, установленном по умолчанию на устройстве, последний записывал все посещённые сайты, включая запросы поисковых систем, будь то Google или ориентированная на конфиденциальность DuckDuckGo, также записывались все элементы, которые просматривались в новостной ленте оболочки Xiaomi. Причём вся эта слежка работала даже когда использовался режим «инкогнито».

Устройство записывало, какие папки открываются, какие экраны переключаются, даже если речь идёт о строке состояния и странице настроек аппарата. Все данные отправлялись пакетно на удалённые серверы в Сингапуре и России, хотя веб-домены серверов были зарегистрированы в Пекине.

По просьбе Forbes другой исследователь кибербезопасности Эндрю Тирни (Andrew Tierney) провёл собственное расследование. Он также обнаружил, что браузеры, поставляемые Xiaomi в Google Play, — Mi Browser Pro и Mint Browser — собирают одни и те же данные. Согласно статистике Google Play, вместе они были установлены более 15 миллионов раз, то есть затронуты могут быть миллионы устройств.

Проблемы, как считает господин Кирлиг, относятся к гораздо большему количеству моделей. Он загрузил прошивки для других телефонов Xiaomi, включая Xiaomi Mi 10, Xiaomi Redmi K20 и Xiaomi Mi MIX 3, после чего подтвердил, что они используют идентичный браузер и, вероятно, отличаются теми же проблемами с конфиденциальностью.

Похоже, возникают сложности и с тем, как Xiaomi передаёт данные на свои серверы. Хотя китайская компания утверждает, что данные шифруются, Габи Кирлиг обнаружил, что может быстро увидеть то, что было загружено с его устройства, потому что для «шифрования» используется простейший алгоритм base64. Потребовалось всего несколько секунд, чтобы преобразовать пакеты данных в читаемые фрагменты информации. Также он предупредил: «Моё главное опасение относительно конфиденциальности заключается в том, что данные, отправляемые на удалённые серверы, очень легко соотносятся с конкретным пользователем».

В ответ на выводы указанных специалистов представитель Xiaomi сообщил, что заявления об исследованиях не соответствуют действительности, а конфиденциальность и безопасность имеют первостепенное значение, при этом компания строго соблюдает и полностью соответствует местным законам и нормам в отношении вопросов личных данных пользователей. Но представитель при этом подтвердил, что данные о просмотрах собираются, утверждая, что информация анонимна и не привязана к какой-либо личности, а пользователи дают согласие на такое отслеживание.

Но, как отмечают Габи Кирлиг и Эндрю Тирни, на сервер отправлялись сведения не только о посещённых веб-сайтах или поиске в Интернете: Xiaomi также собирает данные о телефоне, в том числе уникальные номера для идентификации конкретного устройства и версии Android. Такие метаданные можно при желании легко соотнести с реальным человеком за экраном.

Представитель Xiaomi также отверг утверждения, что данные о просмотрах записываются в режиме инкогнито. Однако специалисты по безопасности в своих независимых тестах обнаружили, что их поведение в Сети отправляет на удалённые серверы независимо от того, в каком режиме работает браузер, предоставив как фотографии, так и видео в качестве доказательства.

Когда журналисты Forbes предоставили Xiaomi видео, в котором показано, как поиск в Google и посещение сайтов отправлялись на удалённые серверы даже в режиме инкогнито, представитель компании продолжил отрицать, что информация записывается: «Это видео демонстрирует сбор анонимных данных о просмотрах, что является одним из наиболее распространённых решений, принятых интернет-компаниями для улучшения общего окружения в браузере посредством анализа информации, не идентифицирующей личность».

Однако специалисты по безопасности считают, что поведение браузера Xiaomi куда агрессивнее, чем других популярных браузеров вроде Google Chrome или Apple Safari: последние не записывают поведение браузера, включая URL-адреса, без явного согласия пользователя и в режиме приватного просмотра.

Кроме того, в своём исследовании господин Кирлиг обнаружил, что предустановленный на смартфоны Xiaomi музыкальный проигрыватель собирает информацию о привычках прослушивания: какие песни воспроизводятся и когда.

Габи Кирлиг также подозревает, что Xiaomi следит за использованием ПО, поскольку каждый раз, когда он открывает приложения, небольшая информация отправляется на удалённый сервер. Другой анонимный исследователь, на которого ссылается Forbes, заявил, что также регистрировал, как телефоны китайской компании собирают подобные данные. Xiaomi не дала комментариев по этому поводу.

Сообщается, что данные отправляются китайской аналитической компании Sensors Analytics (также известна как Sensors Data), которая была основана в 2015 году и занимается глубоким анализом поведения пользователей и предоставлением профессиональных консультационных услуг. Её инструменты помогают клиентам исследовать скрытые данные с помощью изучения ключевых моделей поведения. Представитель Xiaomi подтвердил связь со стартапом: «Хотя Sensors Analytics предоставляет решение для анализа данных для Xiaomi, собранные анонимные данные хранятся на собственных серверах Xiaomi и не будут переданы Sensors Analytics или любым другим сторонним компаниям».

[Обновлено] Пресс-служба Xiaomi поделилась с нами официальным комментарием по поводу новости: «В компании Xiaomi с разочарованием восприняли недавнюю статью в издании Forbes. В материале имеет место неверное понимание нашей позиции, связанной с принципами безопасности и защиты личных данных. Защищённость данных наших пользователей и безопасность использования интернета входят в число основных приоритетов для Xiaomi. Мы убеждены в том, что строго соблюдаем и выполняем все требования местных законов и правил. Мы уже обратились к Forbes и дали свои пояснения относительно возникшего досадного непонимания».

Microsoft прекратит инвестировать в фирмы по распознаванию лиц после скандала с израильской AnyVision

Microsoft заявила, что больше не будет инвестировать в сторонние компании, занимающиеся технологиями распознавания лиц, после скандала вокруг её вложений в израильский стартап AnyVision. По словам критиков и правозащитников, AnyVision активно применяла своё ПО для слежки за палестинцами на Западном берегу реки Иордан в пользу израильского правительства.

Brian Stauffer / NBC News

Brian Stauffer / NBC News

Теперь Microsoft заявила, что независимое расследование, проведённое бывшим генеральным прокурором США Эриком Холдером (Eric Holder) и его командой из международной юридической фирмы Covington & Burling, показало, что технология AnyVision ранее не применялась и сейчас не используется в программе массового наблюдения на Западном берегу. В противном случае это бы нарушало обязательства по этическому использованию технологии распознавания лиц, которые вязала на себя AnyVision при получении инвестиций от Microsoft.

Несмотря на это, Microsoft заявила, что отказывается от вложений в AnyVision и больше не будет делать миноритарные вклады в любые сторонние фирмы, занимающиеся распознаванием лиц. Программный гигант объяснил это сложностями контроля миноритарных акционеров за компаниями.

«Благодаря глобальному изменению своей инвестиционной политики, направленному на прекращение миноритарных инвестиций в компании, продающие технологии распознавания лиц, Microsoft перешла к коммерческим отношениям, которые дают Microsoft больше контроля и надзора над использованием чувствительных технологий», — написала компания среди прочего.

The Verge

The Verge

Хотя Microsoft отказывается от финансирования фирм по распознаванию лиц, у неё всё ещё остаётся собственная аналогичная технология, реализованная через платформу облачных вычислений Azure. API Face позволяет любому разработчику встроить распознавание лиц в свои приложения для беспроблемного и надёжного взаимодействия с пользователем. Однако в прошлом году президент и главный юрисконсульт компании Брэд Смит (Brad Smith) заявил, что Microsoft никогда не будет продавать распознавание лиц в целях наблюдения и не будет предоставлять доступ правоохранительным органам к этой технологии из-за опасений нарушения прав людей.

Но означает ли новая инвестиционная позиция Microsoft, что она всё ещё может поглощать или становиться мажоритарным акционером в компаниях, занимающихся распознаванием лиц, пока неясно.

Австралия предъявила иск Facebook по делу Cambridge Analytica

Австралийский регулятор, занимающийся вопросами защиты конфиденциальности граждан, подал иск против Facebook, обвинив социальную сеть в том, что она поделилась личными данными более 300 тысяч человек без их согласия с политическим консультантом Cambridge Analytica.

Reuters / Dado Ruvic

Reuters / Dado Ruvic

В иске в Федеральный суд австралийский комиссар по вопросам информации обвинил Facebook в нарушении закона о конфиденциальности путём раскрытия информации о 311 127 пользователях для политического профилирования через опросник в социальной сети «Это ваша цифровая жизнь».

«Дизайн платформы Facebook создан так, что пользователи не могли осуществлять разумный выбор и контролировать процесс раскрытия их личной информации», — заявила комиссар по вопросам информации Анджелина Фальк (Angelene Falk).

Иск требует выплаты компенсации (размер не указан). Причём регулятор отмечает, что за каждое нарушение закона о конфиденциальности может быть назначено максимальное наказание в размере 1,7 млн австралийских долларов ($1,1 млн). Так что максимальная сумма штрафа за 311 тысяч нарушений может простираться до абсурдных $362 млрд.

В июле прошлого года Федеральная комиссия по торговле США оштрафовала Facebook на $5 млрд после проверки того же опроса, собиравшего личные данные пользователей с 2014 по 2015 год. В целом же Facebook обвинена в ненадлежащем обмене информацией, принадлежащей 87 миллионам пользователей по всему миру, с помощью инструмента опроса ныне несуществующей британской фирмы Cambridge Analytica. В число клиентов консультанта входила команда, занимавшаяся предвыборной кампанией президента США Дональда Трампа (Donald Trump) в 2016 году.

Через несколько месяцев после избрания Трампа Cambridge Analytica зарегистрировала бизнес в Австралии, но её услугами так и не воспользовалась ни одна из политических партий. В ходе судебного разбирательства в Австралии комиссар по информации заявил, что Facebook не знает точного характера данных, которыми социальная сеть поделилась с Cambridge Analytica, но при этом не предприняла разумных шагов для защиты конфиденциальности пользователей. «В результате личная информация пострадавших граждан Австралии подверглась риску разглашения, монетизации и использования в целях политического профилирования, — говорится в заявлении суда. — Эти нарушения представляют собой серьёзные и/или неоднократные вмешательства в частную жизнь пострадавших лиц в Австралии».

Иск против Clearview AI получил групповой статус, компании грозит штраф вслед за Facebook за распознавание лиц

Всего две недели назад Facebook согласилась выплатить $550 млн для урегулирования коллективного иска жителей штата Иллинойс, которые обвинили компанию в незаконном сборе и хранении биометрических данных. Теперь спорный стартап Clearview AI, который признал, что собирает и анализирует данные миллионов людей, является целью нового группового судебного процесса, ссылающегося на подобные нарушения.

Stegerphoto / Getty Images

Stegerphoto / Getty Images

Clearview AI набрала обороты: бизнес-модель, по-видимому, основана на массовом злоупотреблении публичными данными из Twitter, Facebook, Instagram и других открытых источников. Если лицо пользователя видно веб-поисковику или общедоступному API, Clearview либо уже заполучило его, либо стремится получить, чтобы передать на анализ с помощью систем распознавания лиц.

Есть лишь одна проблема: это незаконно в Иллинойсе, и игнорировать положение можно только на свой страх и риск, как уже выяснила Facebook. 

Мы уже писали, что против Clearview AI в январе был подан одиночный иск, но человек при поддержке одного из сенаторов добивался приданию делу статуса коллективной жалобы.

В иске, поданном на днях уже от имени нескольких граждан Иллинойса утверждается, что Clearview AI активно собирала, хранила и использовала биометрические данные истцов, как и биометрические данные большинства жителей Иллинойса, причём без уведомления людей, без получения их письменного согласия или без публикации правил хранения данных. Мало того, эти биометрические данные были использованы многими правоохранительными органами, в том числе в самом Иллинойсе.

Все это, как утверждается, нарушает Закон о конфиденциальности биометрической информации от 2008 года, который оказался удивительно дальновидным и устойчивым к попыткам индустрии (в том числе, по-видимому, Facebook, когда она защищалась в суде), изменить его.

Судебный иск (поданный в Нью-Йорке, где базируется Clearview) находится на самой ранней стадии, однако повестки уже были направлены в Clearview и CDW Government, посреднику по продаже услуг и правоохранительным органам. Невозможно сказать, как всё обернётся в этот раз, но успех дела Facebook и сходство двух случаев (по сути, автоматическое и тайное использование фотографий с помощью механизма распознавания лиц) предполагают, что шансы на успех у истцов имеются. Сумму штрафа, впрочем, предугадать невозможно.

Полиция округа Ховард в США надеется повысить эффективность с помощью дронов

Отдел полиции округа Ховард (HCPD) американского штата Миссури объявил в пресс-релизе, что будет тестировать применение беспилотников в течение года. Эта новость появилась после того, как в ноябре прошлого года рабочая группа рекомендовала отделу полиции купить три беспилотника для полевых испытаний.

В течение следующего года HCPD начнёт полевые испытания, и 10 его сотрудников будут при необходимости применять дроны во время выполнения повседневных обязанностей. 10 офицеров уже прошли обучение в течение восьми недель и теперь являются пилотами, имеющими сертификат Part 107.

Департамент полиции обещает следовать принципам, установленным Американским союзом гражданских свобод (ACLU), чтобы дроны приносили пользу, не нарушая частную жизнь граждан. Беспилотники должны применяться в случаях, когда жизнь и безопасность находятся под угрозой, а также когда есть основания полагать, что использование дрона поможет собрать доказательства, касающиеся преступной деятельности. Другой вариант использования предусматривает в некоторых случаях предварительное получение от судьи ордера на обыск.

«Это ещё один шаг вперёд в нашем стремлении повысить безопасность жителей, — сказала начальница полиции Лиза Майерс (Lisa Myers). — По мере развития технологий наше ведомство будет продолжать развиваться, дабы гарантировать, что мы предоставляем наиболее эффективные способы защиты общества. Дроны могут помочь в поисково-спасательных операциях и предоставлять информацию в режиме реального времени в потенциально опасных кризисных случаях».

Изображения и видео, снятые беспилотниками, не будут храниться, если только не предполагается, что в них есть доказательства, имеющие отношение к ведущемуся расследованию, проявлению преступной деятельности или текущему уголовному процессу.

Глава округа Ховард Кэлвин Болл (Calvin Ball) заявил, что рад видеть начало продвижения программы беспилотников после нескольких месяцев предварительных оценок и планирования — он надеется, что внедрение новой технологии позволит HCPD действовать эффективнее. Сообщается, что используемые дроны чем-то похожи на серию DJI Matrice 200, хотя точные модели не называются.

Приложение Clearview AI для распознавания лиц судят за посягательство на свободы

На приложение Clearview AI для распознавания лиц, используемого правоохранительными органами США для выявления подозреваемых и других людей, подали в суд. ПО находится под огнем критики после недавнего расследования New York Times в отношении компании-разработчика. Приложение идентифицирует людей, сравнивая фотографии с базой данных изображений, скопированных из социальных сетей и других сайтов, а затем продаёт информацию правоохранительным органам.

«Поведение ответчика Clearview, как утверждается в настоящем документе, олицетворяет собой коварное посягательство на свободы людей», — говорится в жалобе. В иске, поданном в Окружной суд США Северного округа штата Иллинойс, также утверждается, что Clearview AI действовала из чисто корыстных побуждений и представляет угрозу гражданским свободам.

«Без получения какого-либо согласия и без уведомления ответчик Clearview AI использовал Интернет для скрытого сбора информации о миллионах американских граждан, скачав примерно три миллиарда фотографий, без каких-либо оснований подозревать кого-либо из них в том, что он когда-либо делал что-то плохое, — утверждается в жалобе. — Clearview использовал алгоритмы искусственного интеллекта для сканирования геометрии лица каждого человека, изображённого на фотографиях, — этот метод нарушает множество законов о конфиденциальности».

Иск был подан пока одним человеком в Иллинойсе, но он добивается перевода дела в групповой статус. Жалоба требует взыскания убытков, удаления записей и судебного запрета на продолжение деятельности Clearview AI. Судебный процесс поддерживает сенатор-демократ Эдвард Марки (Edward Markey), который заявил, что приложение Clearview может создавать пугающие риски для конфиденциальности граждан.

Более 50 организаций просят Google взять под контроль предустановку приложений на устройства с Android

Десятки правозащитных организаций направили открытое письмо в адрес генерального директора Google и Alphabet Сундара Пичаи (Sundar Pichai) с просьбой изменить политику, регламентирующую предварительную установку приложений на устройства, которые работают под управлением Android, чтобы пользователи могли самостоятельно удалять загруженное производителем ПО.

Правозащитные организации обеспокоены тем, что предварительно устанавливаемые приложения могут использоваться недобросовестными производителями для сбора данных о пользователях и слежки за ними. Поскольку такие приложения поставляются «из коробки» и зачастую имеют привилегированные разрешения, пользователи не могут самостоятельно удалить их с устройства.

В письме говорится о том, что производители предустановленных приложений прикрываются брендом Play Protect, говорящим о том, что ПО проходит проверку Google. Однако проведённое исследование показало, что до 91 % предварительно устанавливаемых приложений нельзя найти в фирменном магазине цифрового контента Play Store. Это может говорить о том, что до попадания на пользовательские устройства эти приложения не проходят проверку, которая обязательна для ПО, публикуемого в Play Store.

Авторы письма считают, что предустановленные приложения представляют наибольшую опасность для владельцев недорогих устройств. В сообщении отмечается, что «конфиденциальность не должна быть роскошью, доступной только тем, кто может позволить себе купить дорогой смартфон».

Подписавшиеся под письмом организации, в том числе Privacy International, просят генерального директора Google ввести соответствующие нормы для производителей, сделав более жёсткими правила для предварительно устанавливаемого ПО. В частности, авторы письма считают, что пользователи должны иметь возможность самостоятельного удаления с устройств любых приложений, а также фоновых служб, которые функционируют, даже если программа закрыта. Кроме того, предварительно устанавливаемые приложения должны проходить полноценную проверку, аналогичную той, что проводится в отношении ПО, публикуемого в Play Store.

Павел Дуров обрушился с критикой на WhatsApp и порекомендовал удалить приложение со смартфонов

В мае этого года небезызвестный Павел Дуров обрушился с критикой на конкурирующий с Telegram и принадлежащий Facebook мессенджер WhatsApp, заявив среди прочего, что диктаторы ценят последний WhatsApp за уязвимости. Теперь в своём канале он снова написал обличительное письмо. Начал он с того, что его мрачные прогнозы относительно уязвимости подтверждаются, а недавно в WhatsApp обнаружился очередной бэкдор. Как и предыдущий, этот новый бэкдор в WhatsApp делал все данные на смартфоне пользователя уязвимыми для хакеров и государственных учреждений. Всё, что нужно было сделать взломщику для этого — отправить жертве видео.

«WhatsApp не только не может защитить ваши сообщения — это приложение постоянно используется в качестве троянского коня для слежки за фотографиями и сообщениями, не относящимися к нему. Зачем разработчикам это делать? Дело в том, что Facebook была частью программы слежки задолго до того, как приобрела WhatsApp. Наивно думать, что компания изменит свою политику после поглощения, что стало ещё более очевидным после признания основателя WhatsApp относительно продажи мессенджера Facebook: „Я продал конфиденциальность своих пользователей“», — подчеркнул господин Дуров.

Создатель Telegram убеждён, что Facebook после последнего открытого бэкдора постаралась сбить общественность с толку, заявив, что у неё нет доказательств, была ли уязвимость использована хакерами. Также он напомнил, что WhatsApp не шифрует сообщения и мультимедийные файлы, пересылая их на серверы Google и Apple. Павел Дуров добавил: «Будьте уверены, что уязвимость безопасности такого масштаба непременно использовалась — так же, как предыдущий бэкдор WhatsApp использовался против правозащитников и журналистов, достаточно наивных, чтобы быть пользователями WhatsApp. В сентябре сообщалось, что данные, полученные в результате использования таких бэкдоров в WhatsApp, в настоящее время американские спецслужбы передают другим странам».

Руководитель назвал WhatsApp приманкой для людей, всё ещё доверяющих Facebook в 2019 году, после целого ряда скандалов. По его словам, разработчики популярного мессенджера не могут случайно на регулярной основе каждые несколько месяцев внедрять всё новые критические уязвимости безопасности во все свои приложения. В качестве сравнения он привёл Telegram — приложение, по его словам, сходно с WhatsApp по сложности, но в течение шести лет с момента запуска не попадало ни в один скандал подобного уровня.

В завершение господин Дуров порекомендовал всем конечным пользователям WhatsApp, не желающим, чтобы все их фотографии и сообщения стали общедоступными в один прекрасный момент, удалить этот мессенджер со своего смартфона.

Ошибка приложений камеры в Android позволяет записывать видео без разрешения

Приложения Android могут предоставлять различные свои функции вроде возможности делать снимки другим приложениями на устройстве, но это требует получения необходимых разрешений. Исследователи из Checkmarx в координации с Google и Samsung раскрыли информацию об уязвимости, которая позволяла приложениям делать снимки, записывать видео и определять местоположение устройства, даже если у них нет на это разрешений. Известно, что уязвимость, известная как CVE-2019-2234, затрагивает все приложения Google Camera и Samsung Camera до июля 2019 года.

Проанализировав приложение камеры в Google Pixel, исследователи Checkmarx обнаружили многочисленные функции, которые можно объединить, чтобы манипулировать камерой устройства, делать снимки и записывать видео. Обычно приложение должно иметь разрешения android.permission.CAMERA, android.permission.RECORD_AUDIO, android.permission.ACCESS_FINE_LOCATION и android.permission.ACCESS_COARSE_LOCATION для записи видео, фотографирования или доступа к местоположению устройства.

Специалисты Checkmarx обнаружили, что приложения, имеющие разрешение просто на хранение данных (оно даёт ПО доступ к накопителю устройства и карте памяти) с помощью открытых функций приложения «Камера» могут осуществлять съёмку фото и видео без получения дополнительных разрешений.

«Вредоносное приложение, работающее на смартфоне Android, которое может считывать данные с карты SD, не только имеет доступ к прошлым фотографиям и видео, но и с помощью этой новой методологии атаки может быть направлено на инициирование (снятие) новых фотографий и видео по запросу. Но это ещё не всё. Так как метаданные GPS обычно встраиваются в фотографии, злоумышленник может воспользоваться этим фактом, чтобы также определить местонахождение пользователя, сделав фотографию или видео и проанализировав соответствующие данные EXIF», — написали специалисты.

Это большая проблема, поскольку очень многие приложения регулярно запрашивают разрешение на доступ к накопителю — например, игры, потоковые службы и даже приложения с прогнозом погоды. Согласно отчёту Checkmarx, это разрешение является наиболее распространённым на платформе Google Android: «Существует большое количество приложений с законными вариантами использования, которые запрашивают доступ к этому хранилищу, но не проявляют особого интереса к фотографиям или видео. Фактически это одно из самых распространённых запрашиваемых разрешений».

Что ещё хуже, исследователи создали работающее приложение, которое маркируется под приложение погоды, но тихо отправляет записи изображений, видео и телефонных звонков обратно на демонстрационный сервер, в том числе по удалённому запросу. В общем, уязвимость весьма опасна, поскольку она позволяет обычным приложениям, не имеющим особых разрешений, следующее:

  • делать снимки и видеоролики, даже если телефон заблокирован или экран выключен;
  • получать данные о местоположении GPS из сохранённых фотографий;
  • слушать двусторонние разговоры, даже когда записывается видео и фотографии;
  • выключать звук затвора камеры, чтобы жертва не слышала съёмку;
  • передавать старые видео и фотографии, хранящиеся на карте памяти.

Checkmarx раскрыла эту уязвимость Android 4 июля 2019 года, а к 23 июля Google пометила эту уязвимость высоким приоритетом. 1 августа компания подтвердила подозрения исследователей о том, что уязвимость затронула приложения камер других производителей смартфонов Android, и выпустила заплатку CVE-2019-2234. По словам Google, эта уязвимость в приложении «Камера» была исправлена ​​в июле 2019 года с помощью обновления в Google Play Store, и заплатки были выпущены для других поставщиков. Всем пользователям настоятельно рекомендуется перейти на последнюю версию Android и убедиться, что используется обновлённое приложение «Камера».

Голосовые записи с умных колонок Echo Dot станут уликой в деле об убийстве

Полиция снова прибегла к возможности использовать голосовые записи Alexa в рамках расследования. Правоохранители в Халландейл-Бич (штат Флорида) использовали ордер на обыск, чтобы собрать записи Alexa из двух портативных колонок Echo Dot по делу об убийстве. Впрочем, на этот раз органы правопорядка уже не ждут большого объёма полезной информации.

Следователи хотят знать, не уловили ли случайно умные динамики стычку между Адамом и Сильвией Криспо (Adam and Silvia Crespo) в июле. Адам утверждает, что его жена умерла от колотого ранения в грудную клетку в результате несчастного случая, но детективы хотят знать, предшествовала ли этому ссора между супругами. При множественных возгласах и криках алгоритм вполне может ошибочно среагировать на голосовую команду и сохранить в архиве короткую запись.

В отличие от первого убийства в Арканзасе, полиция Халландейла не ожидает полной аудиозаписи. В ордере на обыск указано, что полицейские получили записи Amazon Echo с голосовыми командами Alexa. По всей видимости, они надеются, что кто-то из участников инцидента мог случайно вызвать работу голосового помощника. При этом адвокат Адама Криспо, Кристофер О'Тул (Christopher O'Toole) рад, что к делу приобщены записи Alexa, поскольку полагает, что это поддержит версию событий его клиента.

Как и ранее, Amazon в своем заявлении подчеркнула, что не передаёт информацию о клиентах, если это не предписано юридически обоснованным и обязательным для исполнения решением суда, а также противостоит чрезмерным или иным неуместным запросам.

Полиция вряд ли готова проигнорировать эти материалы, особенно если улик недостаточно. Но на фоне возрастающей популярности умных колонок, приходит всё большее понимание их ограничений. Более того, некоторые пользователи следят за своими данными. Например, владелец Alexa может удалить сделанные за день голосовые записи. Хотя многие люди не нуждаются в таких действиях, есть вероятность, что любые соответствующие архивы исчезнут, прежде чем полиция сможет их прослушать. А для последней, возможно, останется лишь сам факт удаления записей в определённое время, что тоже может служить косвенной уликой.

Adobe раскрыла информацию о 7,5 млн учётных записях Creative Cloud

Подписчикам Adobe Creative Cloud лучше быть очень бдительными в отношении попыток фишинга. По крайней мере, ресурс Comparitech в сотрудничестве с исследователем безопасности Бобом Дьяченко (Bob Diachenko) рассказали, что почти 7,5 миллионов учётных записей пользователей Adobe Creative Cloud были доступны всем, у кого есть веб-браузер. В эту раскрытую информацию вошли адреса электронной почты и различная информация об аккаунте.

Как именно информация была обнаружена, не детализируется, но господин Дьяченко смог собрать адреса электронной почты; даты создания аккаунта; используемые продукты Adobe; статус подписки; информацию о том, является ли пользователь сотрудником Adobe; идентификаторы участников; время с момента последнего входа в систему; страну проживания и текущий статус оплаты скомпрометированных учётных записей.

К счастью, никакой платёжной информации или паролей в руки злоумышленников не попало, но перечисленные данные можно использовать для создания очень реалистичных попыток фишинга по телефону или электронной почте для дальнейшего получения информации финансового характера или паролей от пользователей.

По сообщению Comparitech, господин Дьяченко уведомил Adobe об открытых данных 19 октября 2019 года, и в течение дня Adobe защитила базу данных. Неизвестно, как информация оставалась в открытом доступе и получал ли кто-либо доступ к ней, но специалист полагает, что она использовалась злоумышленниками минимум в течение недели.

Это не первая утечка данных Adobe. В октябре 2013 года была ещё более масштабная проблема с безопасностью, затронувшая минимум 38 миллионов пользователей, три миллиона зашифрованных данных кредитных карты и неизвестное количество учётных данных. Исходный код для Adobe Photoshop, Acrobat, ColdFusion и ColdFusion Builder также был украден в результате взлома.

Китайское приложение, продвигаемое компартией, включает бэкдор с доступом к личным данным

Похоже, коммунистическая партия Китая имеет доступ ко всем данным на более чем 100 млн смартфонах Android благодаря бэкдору, встроенному в новое идеологическое приложение, которое правительство активно продвигало в этом году. Проверка кода приложения со стороны немецких специалистов из компании Cure53 по заказу Фонда открытых технологий (ФОТ) показала, что ПО позволяет властям получать сообщения и фотографии с телефонов пользователей, просматривать их контакты и историю посещений Сети, а также активировать аудиозапись. Инициатива ФОТ финансируется правительством США в рамках радио «Свободная Азия».

Люди с патриотическими надписями «Улыбки для Китая» и «Моя китайская мечта» рядом с инсталляцией «Я люблю Китай» в Пекине (Ng Han Guan/AP)

Люди с патриотическими надписями «Улыбки для Китая» и «Моя китайская мечта» рядом с инсталляцией «Я люблю Китай» в Пекине (Ng Han Guan/AP)

«Коммунистическая партия Китая, по сути, имеет доступ к данным более 100 миллионов пользователей, — сказала директор по технологиям Фонда открытых технологий Сара Аун (Sarah Aoun). — Эта инициатива исходит напрямую от центрального правительства, которое расширяет свои наблюдения за повседневной жизнью граждан».

Си Цзиньпин сажает дерево — фотография из приложения «Изучение Великой нации» (Justin Chin/Bloomberg News)

Си Цзиньпин сажает дерево — фотография из приложения «Изучение Великой нации» (Justin Chin/Bloomberg News)

Партия, возглавляемая председателем Си Цзиньпином (Xi Jinping), в январе запустила приложение под названием «Изучение Великой нации». Название — каламбур, потому что на китайском слово «изучать» производится как «сюэси» и включает в себя фамилию лидера страны. Приложение содержит новостные статьи и видео, многие из которых посвящены деятельности господина Си или его идеологии «Мышление Си Цзиньпина». Оно также поощряет чувство конкуренции: пользователи получают очки за чтение статей и их комментирование, имеется таблица лидеров, показывающая, как пользователи проходят опросы.

Люди фотографируют инсталляцию в Шанхае (AP)

Люди фотографируют инсталляцию в Шанхае (AP)

Приложение было названо высокотехнологичным эквивалентом знаменитой Красной книжечки Мао Цзэдуна (Mao Zedong) и было запущено в рамках кампании по укреплению идеологического контроля Коммунистической партии над китайским населением. Оно быстро стало самым загружаемым приложением в Китае. В апреле государственные средства массовой информации опубликовали самые последние доступные данные о том, что в нём зарегистрировано более 100 млн пользователей.

Портрет председателя Си перед видео с ним же во время речи на параде в честь 70-летия компартии Китая (Mark Schiefelbein/AP)

Портрет председателя Си перед видео с ним же во время речи на параде в честь 70-летия компартии Китая (Mark Schiefelbein/AP)

Kaspersky Security Cloud для Android получил расширенные функции защиты приватности

«Лаборатория Касперского» выпустила обновлённую версию решения Kaspersky Security Cloud для Android, предназначенного для комплексной защиты пользователей мобильных устройств от цифровых угроз.

Особенностью новой версии программы стали расширенные механизмы защиты приватности, дополнившиеся функцией «Проверка разрешений». С её помощью владелец Android-гаджета может получить сведения обо всех потенциально опасных разрешениях, которые есть у установленного софта. Под опасными разрешениями подразумеваются те, которые позволяют управлять настройками системы либо могут поставить под угрозу сохранность личных данных пользователя, в том числе списка контактов, сведений о местонахождении, SMS, доступа к веб-камере и микрофону и др.

«Согласно нашему опросу, почти половина владельцев смартфонов обеспокоена тем, какие данные собирают о них приложения. Вот почему мы добавили в наше решение Kaspersky Security Cloud возможность в едином окне видеть все опасные разрешения и узнавать о сопряжённых с ними рисках», — отмечают в «Лаборатории Касперского». Благодаря новой функции пользователь может своевременно оценивать все риски и на основе этой информации принимать решение о том, нужно ли ограничивать список действий, доступных приложениям.

Kaspersky Security Cloud для Android доступен для скачивания в Play Маркете. Для работы с защитным решением необходимо оформить годовую подписку: Personal (на три или пять устройств, одна учётная запись) или Family с функцией родительского контроля (до 20 устройств и учётных записей).

window-new
Soft
Hard
Тренды 🔥