Теги → слежка
Быстрый переход

Google заблокировала плагин, который собирал для продажи данные о местоположении пользователей Android

Google запретила использование инструмента отслеживания, разработанного компанией SafeGraph, которая продавала данные о местоположении пользователей Android для картографирования COVID-19 и других целей. SafeGraph — одна из нескольких компаний, собирающих записи о геолокации с помощью плагинов в Android-приложениях, а затем передающих их своим клиентам, среди которых The New York Times и центры по контролю за заболеваниями.

theverge.com

theverge.com

В июне Google сообщила разработчикам ПО, что они должны удалить из своих продуктов плагины SafeGraph в течение семи дней. Блокировка продукта SafeGraph последовала за более ранними мерами Google по борьбе с плагинами для определения местоположения пользователей. В декабре 2020 года Google и Apple запретили использование аналогичного сервиса под названием X-Mode Social, среди клиентов которого были, как сообщается, даже военные США. Свою политику по поводу SafeGraph компания Apple пока не прокомментировала.

theverge.com

theverge.com

Предполагается, что данные, собираемые и продаваемые SafeGraph, анонимны, но, как сообщают эксперты, наборы данных о местоположении часто могут раскрывать подробности о людях, несмотря на их деперсонализацию. Власти США одобрили действия Google по борьбе с сервисами типа SafeGraph, но заявили, что ей и Apple необходимо разработать реальный план защиты конфиденциальности своих клиентов, а не просто играть с приложениями, которые продают конфиденциальные данные пользователей.

Павел Дуров оказался среди потенциальных целей шпионской программы Pegasus

Телефонный номер основателя соцсети «ВКонтакте» и мессенджера Telegram Павла Дурова фигурировал в списке потенциальных целей, за которыми велась слежка с помощью программного обеспечения Pegasus. Согласно имеющимся данным, упомянутое шпионское ПО, созданное израильской NSO Group, используется правительствами некоторых стран для слежки за журналистами и правозащитниками. Об этом пишет издание The Guardian со ссылкой на данные расследования Pegasus Project.

Основатель мессенджера Telegram Павел Дуров / Изображение: Getty Images

Основатель мессенджера Telegram Павел Дуров / Изображение: Getty Images

Источник выделяет Павла Дурова среди множества людей, которые также попали в список потенциальных целей для слежки, поскольку он является создателем мессенджера Telegram. Сервис пользуется популярностью по всему миру и позволяет пользователям обмениваться зашифрованными сообщениями и создавать каналы для быстрого распространения информации. В сообщении отмечается, что в настоящее время пользовательская аудитория Telegram составляет более 500 млн человек по всему миру.  

Согласно имеющимся данным, телефон Дурова попал в список для слежки с помощью Pegasus в 2018 году, когда бизнесмен переехал жить в ОАЭ. Павел Дуров не обязательно был объектом слежки, несмотря на то, что его номер присутствует в списке компании. Так это или нет сейчас трудно сказать, поскольку для поиска следов пребывания Pegasus на смартфоне необходимо проведение соответствующей криминалистической экспертизы. Представитель NSO Group напрямую не ответил, была ли организована слежка за Дуровым, отметив лишь, что «любое утверждение о том, что каждый номер из списка обязательно связан с целью Pegasus является ошибочным и ложным».

В рамках проведённого недавно расследования журналисты из нескольких изданий совместно с некоммерческими организациями и ИБ-специалистами выяснили, что ПО Pegasus может получить доступ практически ко всем данным, хранящимся в памяти смартфона жертвы. Использование якобы надёжных мессенджеров вроде Telegram или WhatsApp не может защитить от следящей программы NSO Group. Помимо прочего, расследование показало, что власти некоторых стран используют Pegasus для слежки за журналистами и правозащитниками, тогда как NSO Group ранее заявляла, что её ПО предназначено для борьбы с терроризмом, торговлей наркотиками и другими видами преступной деятельности.

Дополнено:

Согласно данным Forbes, полученным от собственного источника, близкого к администрации Telegram, информация о том, что Дуров оказался в списке для слежки, была у команды мессенджера ещё в 2018 году. На вопрос о возможной уязвимости Telegram перед шпионским софтом он подчеркнул, что Pegasus использует бэкдоры в операционных системах, и «в этом случае речь идёт об уязвимости всех смартфонов со всем их содержимым, безотносительно данных отдельных приложений».

Китайского производителя умных телевизоров обвинили в шпионаже за пользователями

Китайского производителя техники Skyworth заподозрили в шпионаже за своими пользователями через умные телевизоры. Предположительно, устройства компании отслеживают подключения любых устройств к сети Wi-Fi и передают данные о них. Об этом пишет Radio Free Asia.

Gadgets Africa

Gadgets Africa

Шпионскую активность обнаружили владельцы телевизоров Skyworth. Исследователи утверждают, что для этого в телевизорах установлено специальное программное обеспечение Gozen Data. Оно собирало IP-адреса, MAC-адреса и имена устройств подключённых к Wi-Fi, и передавало их на платформу gz-data.com.

Журналисты и исследователи утверждают, что китайские власти используют сбор данных для контроля и наблюдения за гражданами. «Правительство усиливает контроль за данными граждан для идеологического продвижения. Они хотят определять доступ людей к новостям и информации», — заявил юрист из Шаньси по фамилии Сун.

Представители Skyworth заявили, что используют сбор данных исключительно в коммерческих целях, а не для шпионажа за гражданами. Кроме этого, по их словам, у пользователей спрашивают согласие на обработку данных.

В последнее время власти Китая стремительно развивают технологии по слежке за гражданами. Согласно данным государственных СМИ, только в 2018 году под контролем правительства находилось более 20 миллионов видеокамер в общественных местах. Согласно недавним сообщениям журналистов, в них начали применять ИИ, способный верно определить пол, возраст и сформулировать описание внешней одежды.

В московском метро запустят новую систему слежки за пассажирами с системой распознавания лиц

Московские власти потратят 932 миллиона рублей на запуск новой системы мультимедийных экранов, оснащённых камерами с функцией распознавания лиц. Об этом пишет «Коммерсантъ», обнаруживший проект на сайте госзакупок. Всего планируется установить 316 новых экранов на 85 станциях метро. 

Сергей Ведяшкин, АГН «Москва»

Сергей Ведяшкин, АГН «Москва»

Согласно документам, систему планируют использовать для транслирования рекламы и наблюдения за пассажирами. Представители ГУП «Московский метрополитен» утверждают, что проект необходим для информирования пассажиров в экстренных ситуациях и оповещении их о различных изменениях в работе организации. В предприятии также подчеркнули, что камеры в экранах «не предназначены для распознавания лиц и поиска конкретных людей».

Несмотря на утверждение представителей метрополитена, в техническом задании отдельно отмечено, что камеры должны быть оснащены автофокусом и системой «детектирования лиц». Также они обязаны транслировать изображение в разрешении Full HD и уметь распознавать «быстрое движение», «пересечение линии» и «праздношатания».

Во время съёмки данные не будут передавать в центр обработки данных (ЦОД) — все вычисления будут происходить в самой камере. Для этого её оснастят оперативной памятью объёмом 2 Гбайта и жёстким диском на 4 Гбайта.

Эксперты считают, что новую систему будут использовать для анализа поведения людей. По их словам, это необходимо для оперативного реагирования на опасные ситуации. Глава юридической практики «Роскомсвободы» Саркис Дарбинян предположил, что собранные сведения могут передавать рекламным компаниям, которые будут их использовать в маркетинговых целях.

Записи разговоров утекают из Clubhouse, хотя пользователи ожидают конфиденциальности

Ещё в декабре прошлого года приложение для аудиочатов Clubhouse было популярно только в узких кругах. Сервис дебютировал в марте прошлого года, когда мир захлестнула пандемия коронавируса и большинство людей были вынуждены оставаться дома. В последние несколько недель популярность приложения резко возросла, не в последнюю очередь благодаря тому, что на платформе появились Илон Маск и Марк Цукерберг. Но теперь конфиденциальность и безопасность сервиса подверглась сомнению.

thestar.com

thestar.com

Создатели приложения заявляют, что оно не записывает обсуждения, но это не означает, что пользователи сервиса не могут записывать происходящее в чат-комнатах самостоятельно. Само приложение такой возможности не имеет, но гарантировать, что разговоры в Clubhouse остаются конфиденциальны, его разработчики не могут. О том, что пользователям удаётся без проблем записывать происходящее в чат-комнатах, стало известно после того, как к властям Китая попала запись выступления гонконгско-американской тележурналистки Мелиссы Чан (Melissa Chan).

thestar.com

thestar.com

После утечки данных Чан призвала пользователей Clubhouse, проживающих в странах, где ущемляется свобода слова, быть осторожнее при использовании сервиса, поскольку любые разговоры могут быть записаны и переданы властям. К тому же выяснилось, что приложение работает с китайской компанией Agora, чтобы обеспечить реализацию аудиотехнологий в реальном времени. Представитель Agora заявил, что компания не хранит никаких данных о конечных пользователях и добавил, что её клиенты обычно шифруют пользовательские данные. Однако нужно понимать, что Agora вынуждена подчиняться китайским законам.

Стоит отметить, что пользователи без труда обходят и другое ограничение, согласно которому в одном чате не может участвовать более пяти тысяч человек. Сотрудники и основатели Clubhouse пока никак не прокомментировали ситуацию.

После скандала Microsoft удалила имена сотрудников из своего инструмента слежения за продуктивностью

Недавно мы писали о появлении в Office 365 жутковатого инструмента «Оценка продуктивности» (Productivity Score), который отслеживает 73 параметра при работе сотрудников и предоставляет администраторам сводку в удобной и наглядной форме. Это вызвало справедливую критику, и теперь Microsoft попыталась развеять опасения относительно слежки, удалив имена отдельных сотрудников из инструмента.

Olivier Douliery / Getty Images

Olivier Douliery / Getty Images

Аналитика для оценки собственной продуктивности давно присутствует в пакете Office в виде инструмента под названием MyAnalytics. Есть и другие инструменты аналитики — например, Outlook может оценивать, насколько хорошо группа взаимодействует. Ответвление этой службы, известное как Microsoft Productivity Score, измеряет, насколько хорошо корпоративные сотрудники используют различные функции Office 365.

Однако проблема последнего инструмента состояла в том, что оценки были привязаны к именам отдельных сотрудников. Сочетание термина «оценка продуктивности» и индивидуальных имён побудило некоторых задуматься, не является ли это особой формой слежки, с помощью которой работодатели могут шпионить и оказывать давление на своих подчинённых.

Во-первых, Microsoft заявила, что удалит имена отдельных пользователей из инструмента. «В дальнейшем показатели коммуникации, встреч, совместной работы над контентом, совместной работы и мобильности в Productivity Score будут агрегировать данные только на уровне организации, обеспечивая чёткую оценку использования ключевых функций на уровне организации, — сказал корпоративный вице-президент Microsoft 365 Джаред Спатаро (Jared Spataro). — Никто в организации не сможет использовать показатель продуктивности для доступа к данным о том, как отдельный пользователь использует приложения и службы Microsoft 365».

Во-вторых, Microsoft пообещала обновить пользовательский интерфейс оценки продуктивности, чтобы показать, что он призван отразить глубину использования организацией тех или иных технологий, а не поведение отдельного пользователя. Господин Спатаро сказал, что Microsoft не собиралась усиливать тревогу сотрудников. «Мы всегда стремимся найти правильный баланс, но если и когда мы что-то упустим, то внимательно выслушиваем критику и вносим соответствующие коррективы», — написал он.

Microsoft запатентовала технологию оценки эффективности совещаний

Не так давно Microsoft представила технологию «Оценка продуктивности» (Productivity Score), с помощью которой руководители могут следить за тем, как сотрудники используют набор инструментов Microsoft. Оказалось, что у компании есть более масштабные планы по внедрению технологий наблюдения за сотрудниками для максимизации производительности организаций.

Об этом говорят патентные заявки, которые недавно подала Microsoft для регистрации. В них описывается система получения и прогнозирования «общих показателей качества» совещаний, для формирования которых собираются и обрабатываются разные данные, в том числе мимика участников совещаний, язык тела, температура в помещении, время дня, количество присутствующих людей и др.

Сама система формируется из программных и аппаратных решений, в том числе камер и специальных датчиков, которые необходимы для сбора максимального количества данных во время совещания. После этого собранные данные анализируются вычислительной системой, которая создаёт отчёт с подробной информацией по каждому отдельному участнику совещания. Кроме того, система будет давать рекомендации, которые могли бы способствовать повышению продуктивности, например, проводить совещание в другое время или в другом месте, изменить состав участников и др.

«Поскольку обычные компьютеризированные системы планирования не учитывают реального контекста, пользователи могут не знать, что они планируют неоптимальные совещания, а это может привести к проведению собраний, которые в лучшем случае окажутся непродуктивными», — говорится в патентной заявке Microsoft. Также отмечается, что «многие организации страдают от чрезмерно продолжительных, малопосещаемых и повторяющихся совещаний, которые можно было бы изменить или избежать, если бы была доступна дополнительная информация о качестве проводимых собраний».

Стоит отметить, что зарегистрированные патенты ещё не говорят о том, что Microsoft реализует на практике систему оценки эффективности совещаний. Представители компании пока воздерживаются от комментариев по данному вопросу.

Новый жутковатый инструмент Microsoft оценивает работников, следя за 73 параметрами на рабочем месте

В этом месяце Microsoft представила новый инструмент «Оценка продуктивности» (Productivity Score), который в игровой форме позволяет руководителям отслеживать, как их сотрудники используют набор инструментов Microsoft. Для кого-то это звучит как оживший оруэлловский кошмар о Большом Брате и тотальной слежке, и среди таковых есть эксперты по конфиденциальности — они критикуют компанию за то, что она делает нормальной слежку на рабочем месте.

Oli Scarff / AFP / Getty Images

Oli Scarff / AFP / Getty Images

Когда Microsoft впервые анонсировала эту функциональность в октябре, компания описывала её как способ предоставить работодателям идеи, меняющие принципы работы сотрудников. С этой целью инструмент собирает данные о поведении каждого сотрудника по 73 параметрам и предоставляет начальникам удобный анализ в конце каждого месяца.

Показатели включают в себя информацию о том, как часто работник включает веб-камеру во время виртуальных встреч, как часто он отправляет электронные письма (и сколько те содержат символов @), регулярно ли они вносят свой вклад в общие документы или групповые чаты, а также сообщает о количестве дней, в течение которых они использовали такие инструменты Microsoft, как Word, Excel, Skype, Outlook или Teams за последний месяц. И это лишь некоторые из отслеживаемых параметров. Microsoft сообщает о всех способах наблюдения за людьми с помощью своего офисного пакета в документации, хотя найти информацию трудновато — для этого нужно покопаться в десятках веб-страниц. Причём эти данные даже можно отправить в Microsoft, чтобы сравнить с показателями других компаний.

Корпоративный вице-президент Microsoft 365 Джаред Спатаро (Jared Spataro) указал в своём блоге, что эта функция, которая без лишнего шума была запущена 17 ноября, не является инструментом для мониторинга работы и что Microsoft включила несколько мер безопасности, чтобы показать свою приверженность принципам конфиденциальности. Например, оценка продуктивности каждого сотрудника суммируется за 28-дневный период, и существуют средства управления конфиденциальностью, позволяющие анонимизировать эти данные или полностью удалить их.

Конечно, Спатаро благоразумно не упоминает, что только администратор, он же босс, может получить доступ к этим элементам управления в первую очередь, что вряд ли устроит работника, обоснованно обеспокоенного относительно потенциального вторжения в его частную жизнь. В заявлении для Guardian представитель Microsoft повторил эти тезисы, добавив, что инструменты использовать не обязательно (впрочем, вряд ли многие начальники предоставят сотрудникам право отказаться).

Olivier Douliery / Getty Images

Olivier Douliery / Getty Images

«Оценка продуктивности — это возможность, позволяющая ИТ-администраторам получить представление об использовании технологий и инфраструктуры, — сказал представитель Microsoft. — Аналитические данные предназначены для того, чтобы помочь организациям максимально эффективно использовать свои вложения в технологии, устраняя распространённые проблемы, такие как длительное время загрузки, неэффективная совместная работа с документами или плохое сетевое подключение. Аналитические данные отображаются в совокупности за 28-дневный период и предоставляются по каждому отдельному пользователю, чтобы ИТ-администратор мог предоставить техническую поддержку и рекомендации».

Эксперты по вопросам конфиденциальности по понятным причинам возмущены тем, что вопиющая функция слежки за человеком на рабочем месте представлена в качестве инструмента оптимизации продуктивности, причём с симпатичным игровым дизайном при выдаче оценок. Соучредитель офисного пакета Basecamp Дэвид Хайнемайер Ханссон (David Heinemeier Hansson) в серии твитов назвал эту функциональность аморальной по своей сути. «Слово „антиутопия“ является не настолько сильным, чтобы описать новый портал в ад, который только что открыла Microsoft, — сказал он. — Постоянное наблюдение на рабочем месте — это психологическое насилие. Беспокойство о том, чтобы выглядеть занятым ради хороших статистических показателей, — это последнее, что следует кому-либо навязывать».

Исследователь в области конфиденциальности данных Вольфи Кристл (Wolfie Christl) назвал эту функциональность проблематичной на многих уровнях и отметил, что, хотя Microsoft предлагает работодателям возможность отключить мониторинг сотрудников, она включена по умолчанию уже при загрузке Microsoft 365. Он добавил, что новый инструмент Microsoft может даже оказаться противозаконным в некоторых странах Европейского Союза, учитывая строгие правила региона, касающиеся доступа компаний к данным пользователей.

Ханссон в одном из своих твитов резюмировал, насколько тревожным является инструмент анализа продуктивности от Microsoft: «Один из способов продемонстрировать, насколько жутка эта схема, — это представить человека с секундомером и планшетом, сидящим позади вас. Он будет тщательно записывать, сколько времени вы тратите на каждую задачу, составлять досье на всех, кто делает то же самое, а затем сообщать о результатах руководству».

В этом году надзор за сотрудниками стал особенно актуальным, потому что всё больше людей работают из дома в связи с карантинными мерами, вызванными пандемией. В июне исследовательская компания Gartner обнаружила, что 16 % работодателей стали чаще использовать инструменты мониторинга, чтобы отслеживать использование компьютеров, внутреннюю коммуникацию и вовлечённость своих сотрудников.

Европейский Союз обвинили в обучении правоохранительных органов взлому iPhone

Согласно новым данным компании Privacy International, одно из агентств Европейского Союза обучает правоохранительные органы взламывать iPhone и следить за их пользователями. Сообщается, что обучение проходят даже сотрудники органов правопорядка из тех стран, где нарушение прав человека является обыденным явлением.

appleinsider.com

appleinsider.com

Privacy International утверждает, что это обучение проводится по всему миру и, по крайней мере, время от времени оплачивается из фондов ЕС, предназначенных для оказания помощи. Компания заявляет, что у неё есть доказательства того, что подобное обучение проводилось и для правоохранительных органов государств, которые имеют плохую репутацию в области прав человека.

Эдин Оманович (Edin Omanovic), глава Privacy International, в своём интервью Forbes заявил, что подобные действия со стороны Европейского Союза несут угрозу для конфиденциальности, свободы и даже жизни активистов, журналистов и просто людей, ищущих лучшей жизни. Оманович говорит о необходимости безотлагательного проведения реформ этих секретных программ.

appleinsider.com

appleinsider.com

Privacy International сообщает, что ей удалось приобрести документы, в том числе слайды учебных презентаций, Агентства Европейского Союза по обучению правоохранительных органов. Они включают в себя инструкции по применению аппаратного комплекса GrayKey для взлома iPhone и заражения его вредоносными программами, позволяющими обеспечить полную слежку за пользователем устройства.

Европейский Союз пока не прокомментировал эту информацию. Тем не менее, ранее на этой неделе ЕС объявил об ужесточении правил продажи технологий наблюдения.

Facebook ждёт обрушения доходов от рекламы из-за повышенной конфиденциальности в iOS 14

Сегодня Facebook предупредила рекламодателей, что новые инструменты Apple для борьбы с отслеживанием персональных данных пользователей могут привести к падению доходов от рекламной платформы Audience Network более чем на 50 % из-за удаления возможностей персонализации рекламы в приложениях.

macrumors.com

macrumors.com

В своём сообщении в блоге Facebook сообщила, что не собирает рекламные идентификаторы из принадлежащих ей приложений на устройствах, работающих под управлением iOS 14. Дело в том, что Apple добавила функцию, которая предупреждает пользователей о слежке и сборе данных, необходимых для предоставления таргетированной рекламы. Facebook заявляет, что не хотела такого исхода, однако Apple навязала ей это решение.

Facebook предупреждает, что iOS 14 может сделать Audience Network неэффективной, потому компания, вероятно, не будет предлагать её в будущем. Между тем, небольшое число пользователей всё же соглашается на сбор данных, однако они будут видеть менее релевантную рекламу, что снизит цену тысячи показов подобных объявлений.

macrumors.com

macrumors.com

Напомним, что в разделе «Конфиденциальность» приложения «Настройки» iOS 14 появился пункт «Отслеживание», в котором пользователи могут указать, какими данными и с какими приложениями они готовы делиться. Однако даже если эта функция отключена, приложения и веб-сайты всё равно должны будут запрашивать разрешение на отслеживание данных пользователей, что станет сильным ударом по скрытой слежке за владельцами устройств Apple.

TikTok уличили в слежке за пользователями Android

Видеосервис TikTok более года собирал данные пользователей Android-смартфонов с установленным клиентским приложением. Об этом пишет газета The Wall Street Journal. Сервис якобы хранил информацию о MAC-адресах используемых устройств.

Анализ одной из предыдущих версий TikTok показал, что приложение собирало пользовательские данные как минимум в течение 15 месяцев, но в ноябре 2019 года это прекратилось. Подобная политика противоречит правилам магазина Google Play, который запретил сбор MAC-адресов в 2015 году. Эксперты по безопасности сообщили WSJ, что разработчики TikTok использовали «нетипичный дополнительный уровень шифрования», чтобы скрыть следы.

В разговоре с Business Insider представитель TikTok заявил, что компания стремится обеспечить безопасность пользователей, поэтому рекомендует скачивать самую свежую версию приложения. Он отметил, что текущая версия не собирает MAC-адреса. В Google заявили о планах провести проверку инцидента.

Опасения вызваны тем, что MAC-адреса являются постоянной характеристикой устройств, которую невозможно заменить. Предположительно, с их помощью компания ByteDance (которая владеет TikTok) может отслеживать действия пользователей, даже если они изменили свои настройки конфиденциальности. Масштабы сбора информации не называются. Согласно данным Google Play, число скачиваний приложения TikTok насчитывает более миллиарда раз. Sensor Tower утверждает, что доля американских пользователей составила около 89 миллионов.

WSJ опубликовало расследование на фоне указа Дональда Трампа о запрете работы TikTok и WeChat в США. Он заявил, что работа китайских сервисов угрожает национальной безопасности страны.

Подэкранный сенсор отпечатков пальцев можно использовать как шпионскую камеру

В последнее время многие производители смартфонов начали оснащать свои устройства подэкранными сканерами отпечатков пальцев. Стало известно, что устройство, призванное защищать содержимое памяти смартфона от посторонних глаз, способно стать серьёзной угрозой конфиденциальности.

engadget.com

engadget.com

Пользователь Reddit, скрывающийся под ником u/ntelas46, в целях эксперимента получил полный доступ к подэкранному дактилоскопическому сенсору своего смартфона Xiaomi Mi 9T. Результат способен шокировать многих. Оказывается, датчик можно использовать в качестве шпионской камеры. К тому же во время работы сканер отпечатков пальцев никак не даёт знать о том, что ведётся запись. Конечно, снятое дактилоскопическим сенсором видео получается некачественным и на нём трудно что-то разобрать, однако с дальнейшим развитием технологии подобный шпионаж может стать обычным явлением.

Reddit

Reddit

В любом случае, пользователи, которые боятся слежки, теперь будут более осторожно относиться к устройствам с подэкранными сканерами отпечатков пальцев. В отличие от ноутбуков и смартфонов с видимой «фронталкой», где некоторые пользователи, особо обеспокоенные конфиденциальностью, заклеивают камеры изолентой, прикрыть дактилоскопический сенсор без потерь в удобстве использования не получится.

Компания, связанная с разведкой и военными США интегрировала инструмент слежения в сотни мобильных приложений

По данным издания The Wall Street Journal, небольшая компания Anomaly Six LLC, связанная с оборонным и разведывательным ведомствами США, встраивала инструмент для отслеживания перемещений в многочисленные мобильные приложения. Отмечается, что упомянутая компания может извлекать данные о местоположении из более чем 500 мобильных приложений, которые установлены на сотнях миллионов смартфонов по всему миру.

В сообщении говорится о том, что компания Anomaly Six основана двумя ветеранами американской разведки. Несмотря на то, что официально Anomaly Six работает только с частными компаниями, источник утверждает, что удалось установить её связь с военным и разведывательным ведомствами США.

Компания также сотрудничает с разработчиками мобильных приложений, предоставляя им собственный SDK, который встраивается в программное обеспечение и позволяет собирать данные о местоположении устройства. В каких именно приложениях содержится инструмент слежения от Anomaly Six, неизвестно, поскольку компания не раскрывает данных о том, с какими разработчиками мобильного софта она сотрудничает.   

Данные собираются в анонимном виде и продаются не только частным компаниям, но и правительственным учреждениям. Каждому смартфону, данные о местоположении которого собираются, присваивается буквенно-цифровой идентификатор, не связанный с реальным именем владельца устройства. Несмотря на это, собираемые таким образом данные всё же могут использоваться для идентификации пользователей и дальнейшего сбора информации о них. Например, чаще всего устройство бездействует ночью, когда его владелец спит. Таким образом может быть установлен адрес пользователя, а на основе его перемещений нетрудно получить данные о привычках, месте работы, используемых в дороге приложениях, любимых ресторанах, магазинах и др.

Xiaomi отвергла обвинения в излишнем сборе данных, но выпустила обновления для браузеров

Xiaomi прокомментировала обвинения в свой адрес в излишней слежке за владельцами смартфонов. Кроме того, компания выпустила обновления для всех своих браузеров, которые она распространяет через Google Play. В новых версиях добавили переключатель в режиме «Инкогнито». Он даёт возможность пользователям самостоятельно отключить отслеживание их действий и других данных.

Напомним, что сразу несколько крупных западных медиаресурсов со ссылкой на выводы сторонних экспертов по кибербезопасности опубликовали статьи, в которых обвинили компанию Xiaomi в излишнем сборе данных о миллионах пользователей через поставляемые компанией предустановленные на устройства браузеры Mi Browser/Mi Browser Pro и Mint Browser.

Информации о том, что искал пользователь в Сети, по каким ссылкам он переходил и какие сайты посещал, собирались даже в режиме «Инкогнито», что фактически противоречит сути этого режима. Помимо этого, устройства Xiaomi записывали, какие папки открываются, какие экраны переключаются, даже если речь шла о строке состояния и странице настроек аппарата. Все данные отправлялись пакетно на удалённые серверы в Сингапуре и России.

Такие новости, конечно же, вызвали шквал критики в адрес Xiaomi, поэтому компания поспешила оправдаться в своём официальном блоге. Она заявила, что конфиденциальность и безопасность пользователей имеют для неё первостепенное значение. 

Компания сообщила, что собирает только «общие данные по статистике использования», включая «информацию о системе, предпочтения, использование функций пользовательского интерфейса, использование памяти и отчёты о сбоях». Xiaomi подчёркивает, что вся эта информация анонимна, не может быть использована для идентификации личности, а также собирается и передаётся в зашифрованном виде. При этом она указала, что всё делает согласно местному законодательству и исключительно с разрешения самих пользователей.

Шумиху вокруг этой ситуации прокомментировал вице-президент Xiaomi и глава индийского подразделения Xiaomi Ману Кумар Джейн (Manu Kumar Jain). Он заявил, что браузер Mi Browser и все продукты Mi internet на 100 % безопасны.

В любом случае пользователям предлагается обновить браузеры Mi Browser/Mi Browser Pro и Mint Browser до версий 12.1.4 и  3.4.3 соответственно. 

Специалист по безопасности — о смартфонах Xiaomi: «Это бэкдор с функциями телефона» [Обновлено]

Издание Reuters выпустило статью-предупреждение относительно того, что китайский гигант Xiaomi записывает личные данные миллионов людей об их активностях в Сети, а также об использовании устройства. «Это бэкдор с функциональностью телефона», — заявил полушутя Габи Кирлиг (Gabi Cirlig) о своём новом смартфоне Xiaomi.

Budrul Chukrut/SOPA Images/LightRocket

Budrul Chukrut/SOPA Images/LightRocket

Этот опытный исследователь в области кибербезопасности поговорил с журналистами Forbes после того, как обнаружил, что его смартфон Redmi Note 8 следит за всем, что он делает. Эти данные затем отправлялись на удалённые серверы, размещённые у другого китайского технологического гиганта Alibaba, которые, вероятно, арендует Xiaomi.

Господин Кирлиг обнаружил, что отслеживались тревожные объёмы сведений о его поведении, в то время как одновременно собирались различные виды данных с устройства — специалист был напуган тем, что сведения о его личности и частной жизни были полностью известны китайской компании.

Когда он просматривал веб-сайты в браузере Xiaomi, установленном по умолчанию на устройстве, последний записывал все посещённые сайты, включая запросы поисковых систем, будь то Google или ориентированная на конфиденциальность DuckDuckGo, также записывались все элементы, которые просматривались в новостной ленте оболочки Xiaomi. Причём вся эта слежка работала даже когда использовался режим «инкогнито».

Устройство записывало, какие папки открываются, какие экраны переключаются, даже если речь идёт о строке состояния и странице настроек аппарата. Все данные отправлялись пакетно на удалённые серверы в Сингапуре и России, хотя веб-домены серверов были зарегистрированы в Пекине.

По просьбе Forbes другой исследователь кибербезопасности Эндрю Тирни (Andrew Tierney) провёл собственное расследование. Он также обнаружил, что браузеры, поставляемые Xiaomi в Google Play, — Mi Browser Pro и Mint Browser — собирают одни и те же данные. Согласно статистике Google Play, вместе они были установлены более 15 миллионов раз, то есть затронуты могут быть миллионы устройств.

Проблемы, как считает господин Кирлиг, относятся к гораздо большему количеству моделей. Он загрузил прошивки для других телефонов Xiaomi, включая Xiaomi Mi 10, Xiaomi Redmi K20 и Xiaomi Mi MIX 3, после чего подтвердил, что они используют идентичный браузер и, вероятно, отличаются теми же проблемами с конфиденциальностью.

Похоже, возникают сложности и с тем, как Xiaomi передаёт данные на свои серверы. Хотя китайская компания утверждает, что данные шифруются, Габи Кирлиг обнаружил, что может быстро увидеть то, что было загружено с его устройства, потому что для «шифрования» используется простейший алгоритм base64. Потребовалось всего несколько секунд, чтобы преобразовать пакеты данных в читаемые фрагменты информации. Также он предупредил: «Моё главное опасение относительно конфиденциальности заключается в том, что данные, отправляемые на удалённые серверы, очень легко соотносятся с конкретным пользователем».

В ответ на выводы указанных специалистов представитель Xiaomi сообщил, что заявления об исследованиях не соответствуют действительности, а конфиденциальность и безопасность имеют первостепенное значение, при этом компания строго соблюдает и полностью соответствует местным законам и нормам в отношении вопросов личных данных пользователей. Но представитель при этом подтвердил, что данные о просмотрах собираются, утверждая, что информация анонимна и не привязана к какой-либо личности, а пользователи дают согласие на такое отслеживание.

Но, как отмечают Габи Кирлиг и Эндрю Тирни, на сервер отправлялись сведения не только о посещённых веб-сайтах или поиске в Интернете: Xiaomi также собирает данные о телефоне, в том числе уникальные номера для идентификации конкретного устройства и версии Android. Такие метаданные можно при желании легко соотнести с реальным человеком за экраном.

Представитель Xiaomi также отверг утверждения, что данные о просмотрах записываются в режиме инкогнито. Однако специалисты по безопасности в своих независимых тестах обнаружили, что их поведение в Сети отправляет на удалённые серверы независимо от того, в каком режиме работает браузер, предоставив как фотографии, так и видео в качестве доказательства.

Когда журналисты Forbes предоставили Xiaomi видео, в котором показано, как поиск в Google и посещение сайтов отправлялись на удалённые серверы даже в режиме инкогнито, представитель компании продолжил отрицать, что информация записывается: «Это видео демонстрирует сбор анонимных данных о просмотрах, что является одним из наиболее распространённых решений, принятых интернет-компаниями для улучшения общего окружения в браузере посредством анализа информации, не идентифицирующей личность».

Однако специалисты по безопасности считают, что поведение браузера Xiaomi куда агрессивнее, чем других популярных браузеров вроде Google Chrome или Apple Safari: последние не записывают поведение браузера, включая URL-адреса, без явного согласия пользователя и в режиме приватного просмотра.

Кроме того, в своём исследовании господин Кирлиг обнаружил, что предустановленный на смартфоны Xiaomi музыкальный проигрыватель собирает информацию о привычках прослушивания: какие песни воспроизводятся и когда.

Габи Кирлиг также подозревает, что Xiaomi следит за использованием ПО, поскольку каждый раз, когда он открывает приложения, небольшая информация отправляется на удалённый сервер. Другой анонимный исследователь, на которого ссылается Forbes, заявил, что также регистрировал, как телефоны китайской компании собирают подобные данные. Xiaomi не дала комментариев по этому поводу.

Сообщается, что данные отправляются китайской аналитической компании Sensors Analytics (также известна как Sensors Data), которая была основана в 2015 году и занимается глубоким анализом поведения пользователей и предоставлением профессиональных консультационных услуг. Её инструменты помогают клиентам исследовать скрытые данные с помощью изучения ключевых моделей поведения. Представитель Xiaomi подтвердил связь со стартапом: «Хотя Sensors Analytics предоставляет решение для анализа данных для Xiaomi, собранные анонимные данные хранятся на собственных серверах Xiaomi и не будут переданы Sensors Analytics или любым другим сторонним компаниям».

[Обновлено] Пресс-служба Xiaomi поделилась с нами официальным комментарием по поводу новости: «В компании Xiaomi с разочарованием восприняли недавнюю статью в издании Forbes. В материале имеет место неверное понимание нашей позиции, связанной с принципами безопасности и защиты личных данных. Защищённость данных наших пользователей и безопасность использования интернета входят в число основных приоритетов для Xiaomi. Мы убеждены в том, что строго соблюдаем и выполняем все требования местных законов и правил. Мы уже обратились к Forbes и дали свои пояснения относительно возникшего досадного непонимания».

window-new
Soft
Hard
Тренды 🔥