НеВенец творения. Всё, что вы боитесь знать о будущем

Диденко Игорь

Я бы никогда не стала пользоваться Siri или любым другим голосовым помощником. В моем доме нет ни одного «умного» девайса. Да, это может быть удобно, но вы становитесь уязвимым».

Не одна Лаура Дорнхайм указывает на риски установки на мобильный телефон бесплатных приложений. Журналисты издания «The Bell» выяснили, что из ТОП-100 российских программ для мобильного телефона 89 делятся пользовательскими данными клиентов со сторонними организациями, а 97 из ТОП-100 приложений используют рекламные программы (так называемые трекеры), которые помогают Google, Facebook и другим сервисам распознавать аккаунт пользователя в любых приложениях и показывать ему соответствующую рекламу. То есть из ста самых популярных бесплатных приложений

в российском Play Store вообще не используют трекеры только три, что может означать почти полное отсутствие безопасности данных пользователя.

А издание «TechCrunch» провело расследование, в ходе которого оказалось, что многие популярные приложения во всем мире записывают все происходящее на экране IPhone, естественно, не уведомляя об этом пользователей. Делается это «исключительно с целью сбора аналитических данных».

Журналисты выяснили, что большинство данных при сборе такой информации передается по незащищенным каналам, и, при желании, злоумышленники могут получить доступ в том числе и к личным данным пользователей.

Издание рассказало, что все это стало возможным благодаря аналитической технологии GlassBox, которая дает возможность лицам, получающим доступ к соответствующей базе, просматривать даже данные о кредитной карте и пароле пользователя, иметь доступ к его конфиденциальной банковской информации и ключам. Один из слоганов GlassBox просто завораживает своей откровенностью: «Представьте, что вы можете смотреть в режиме реального времени, что делают ваши клиенты».

В России, как писали СМИ, в подобную ситуацию в прошлом году попали клиенты Burger King, один из которых выяснил и опубликовал информацию, что при запуске соответствующего приложения начинается запись видео с экрана смартфона. Впоследствии это видео якобы отправлялось на сервера компании. По сообщениям СМИ, после публикации информации Роскомнадзор даже начал проверку деятельности компании Burger King в России.

В основном пользователи приложений и технических новинок не обращают внимания на такие «легкие недоразумения», как нарушения приватности или утечку персональных данных, считая это естественной платой за тот комфорт и удобство, что дают людям технологичные гаджеты. Всероссийский Центр Изучения Общественного Мнения (ВЦИОМ) в 2019 году даже провел опрос на эту тему и опубликовал его результаты. Согласно данным ВЦИОМ, 52 % россиян не видят никакой угрозы в использовании своих персональных данных третьими лицами.

Тем не менее, все чаще люди задумываются о своей уязвимости из-за чрезмерного увлечения различными высокотехнологичными девайсами. Так, например, многие владельцы фитнес-трекеров Fitbit, компанию-производителя которых купил Google, предпочли отказаться от использования устройств, опасаясь передачи данных о своем здоровье и образе жизни рекламным и страховым компаниям, сообщил в ноябре 2019 года канал CNBC. Как рассказали журналисты, причиной отказа от ношения фитнес-трекеров их владельцы называли именно то, что они беспокоятся о своей приватности. При этом качество устройства и характеристики трекеров Fitbit пользователей вполне устраивали.

Многие IT-специалисты знают, предупреждают и даже показывают своим примером, что взломать «умный» гаджет, иногда таким образом получив доступ к персональным данным всех пользователей девайса, в общем-то несложно. Так, осенью 2019 года по соцсетям разошлась история, рассказанная девушкой-хакером Анной, которая, сама того не ожидая, получила доступ ко всем автоматическим кормушкам для животных от китайской фирмы FURRYTAIL (орфография автора поста сохранена).

«…Вот эти автоматические кормушки продаются по пять тыщ рублей минимум. Добротный девайс, надо сказать. Работает хорошо. Сейчас я продолжала изучать их API и случайно получила доступ ко всем кормушкам этой модели в мире. У меня на экране бегают логи со всех существующих кормушек, я вижу данные о вайфай-сетях бедных китайцев, которые купили себе эти устройства.

Могу парой кликов неожиданно накормить всех котиков и собачек, а могу «наоборот» лишить их еды, удалив расписания с устройств. Вижу, сколько у кого в миске корма сейчас лежит.

Не представляю сейчас, что с этим делать, это мой самый успешный (и неожиданный) взлом, так что я немного в ступоре».

Эта же девушка на своей странице в соцсети рассказала о том, как можно удаленно управлять самокатами Xiaomi M365 и Ninebot ES1/2/4, объяснив их уязвимости особенностями непродуманного изначально протокола, который, как выяснилось, вообще не предполагает какой-либо авторизации пользователей. То есть ошибки в протоколе просто невозможно исправить, можно лишь полностью поменять протокол, что равноценно выпуску новой модели самоката Xiaomi. Вот что пишет Анна в соцсети (орфография автора сохранена):

«Да, самокаты можно запаролить, но знаете, как проверяется авторизация? Приложение шлет запрос самокату «эй, вот этот пароль правильный?» и получает ответ «да, все ок» или «нет, он неправильный». Если получает первый ответ, приложение рисует вам интерфейс управления самокатом, а если второй, выводит ошибку. Только вот никакая сессия не устанавливается, а все дальнейшие запросы выполняются без паролей и ключей. Это просто проверка… Вы можете вырезать ее из приложения и делать с самокатом что угодно. Это я выяснила, когда интегрировала статус самоката в систему умного дома.

Поверьте, такие уязвимости не допускаются случайно, это просто изначальное нежелание нормально продумывать протокол… На самом деле приложение завершает регистрацию еще до того, как просит вас нажать кнопку. А если вы ее не нажмете, регистрация просто сбрасывается. Если почитаете мой разбор протокола, вы поймете, что можете управлять соседскими чайниками, даже не имея физического доступа в квартиру».

Скорее всего, таких случаев множество, просто далеко не все они оказываются на страницах СМИ и социальных медиа. А ведь в бэкдорах (специально оставленных «дырах» в протоколе) обвиняют не только разработчиков «умных» вещей, но и мессенджер WhatsApp, например, и некоторые социальные сети…

Вообще, когда на рынке появились бесплатные сервисы (те же мессенджеры или приложения), многие задавались вопросом, в чем суть таких «бизнесов»: ведь они не генерировали положительный денежный поток, так как предоставляли абсолютно бесплатные услуги, а перспектив монетизации не просматривалось. Вскоре товаром стали сами люди, точнее, их персональные данные. Зарабатывать на этом оказалось едва ли не выгоднее, чем на рекламе.

И вот уже сам легендарный «создатель интернета», программист и общественный деятель Тим Бернерс-Ли бьет в набат, требуя сделать интернет «безопаснее». «При поддержке правительств Франции и Германии, компаний Microsoft, Google, Facebook и более чем 160 других компаний» он провозглашает осенью 2019 года «принципы безопасного интернета» (ниже приведены основные):

1) поддерживать доступ в интернет каждого человека в любое время, всегда и везде, по доступным ценам;

2) уважать право на неприкосновенность личных данных;

3) развивать лучшее в человеке;

4) пользователи должны выступать со-творцами интернета, уважать права и достоинства других пользователей, защищать интернет.

В противном случае, предупредил Бернерс-Ли, всемирная сеть станет «источником киберпанковой антиутопии».

«В этот ключевой момент для интернета мы несем общую ответственность за борьбу за сеть, которую мы хотим. Многие из наиболее активных участников кампании по этому вопросу уже осознали, что совместный подход имеет решающее значение. Силы, ведущие сеть в неправильном направлении, всегда были очень могущественны. Независимо от того, являетесь ли вы компанией или правительством, управление сетью – это способ получения огромных прибылей или способ гарантировать, что вы остаетесь у власти», – предостерегает Бернерс-Ли.