Почему нельзя доверять смартфонам?

Новый класс проблем безопасности появился, благодаря производителям смартфонов, которые специально создают уязвимости, не сообщая о них клиентам.



Ваш смартфон вполне может содержать секретные функции, ставящие под угрозу безопасность данных.

Речь идет не случайных уязвимостях, которые могут использовать хакеры. Вопросы безопасности всегда существовали. Всегда идет игра в «кошки-мышки» между хакерами, которые пытаются взломать защиту смартфонов и производителями смартфонов, которые пытаются найти и устранить случайные уязвимости. Ничего нового в этом нет.

Однако есть и новое явление — тенденция, о которой мы узнали в последние несколько недель.
Недавно Google, Apple и OnePlus были пойманы на сокрытии преднамеренно созданных уязвимостей в телефонах. Телефоны, на которых установлено программное обеспечение, созданное этими тремя компаниями, делают потенциально небезопасные вещи, даже когда пользователи предпринимают действия для предотвращения подобных событий.

Частично производители смартфонов делают это из лучших побуждений. Цель этих решений — повысить производительность или упростить использование. Однако делать эти вещи без четкого информирования пользователей, означает демонстрацию неуважения к клиенту.

Идентификатор Cell ID в Google Android. 

На этой неделе стало известно, что в течение последних 11 месяцев Android отправляет данные о местоположении пользователя в Google, даже если службы определения местоположения отключены, приложения не использовались, а в телефоне нет SIM-карты. Данные о местоположении основываются на расстоянии от базовых станций — «Cell ID».

Пресс-секретарь Google заявил, что в январе Google «начала изучать использование кодов Cell ID в качестве дополнительного сигнала для повышения скорости и производительности при доставке сообщений».

Google никогда не использовала и даже не хранила эти данные, и данные не имели никакого отношения к службам местоположения, таргетированной рекламе или другим функциям. Компания в включила его с целью изучения возможности улучшения производительности.

Google планирует удаленно выключить эту функцию определения местоположения в течение следующего месяца для всех пользователей. Для этого не требуется патч программного обеспечения или его загрузка.

Компания не объявила о судьбе этой функции. Возможно, компания сможет использовать ее в будущем для ускорения обмена сообщениями.

Экспериментировать с Cell ID как со способом ускорения обмена сообщениями было правильным решением для Google.

Однако реализовать идентификатор сотовой связи на всех телефонах Android, не сообщая пользователям, что данные о местоположении передавались даже при выключенных сервисах местоположения, было неправильно.

Путаница с настройкой беспроводных соединений Центра управления Apple iOS 11.

Приложение iOS Настройки (Settings) позволяет пользователям включать и отключать Wi-Fi и Bluetooth.

Когда вы отключаете Wi-Fi и Bluetooth в Настройках, iOS отключает телефон от всех сетей Wi-Fi или Bluetooth-устройств, к которым подключен телефон, затем отключает модули Wi-Fi и Bluetooth внутри телефона. Wi-Fi и Bluetooth остаются выключенными до тех пор, пока пользователь не включит их.

Пользователи ожидают, что так должна работать эта функция, но на самом деле все не совсем так.

Для удобства работы, Apple четыре года назад выпустила Центр управления в iOS 7. Он доступен с помощью свайпа вверх с нижней части телефона (на всех телефонах, кроме нового iPhone X, который вызывает Центр управления свайпом вниз по правой части экрана). Среди других функций, Control Center позволяет пользователям быстрее включать и отключать Wi-Fi и Bluetooth.

Apple разумно разместила беспроводные соединения в Центре управления, потому что есть множество причин быстро или часто включать и выключать их. Например, при отключении Wi-Fi и Bluetooth, увеличивается время автономной работы.

Есть только одна проблема: хотя Control Center управляет отключением телефона от сетей Wi-Fi и устройств Bluetooth, он не отключает модули Wi-Fi или Bluetooth.

Когда Wi-Fi или Bluetooth отключены в Центре управления, iOS 11 автоматически подключается к новым точкам Wi-Fi или устройствам Bluetooth, если они появляются в пределах доступности.

Или, после перезагрузки телефона. Или, если наступает 5 часов утра. В 5 часов утра телефон автоматически подключится к тем же самым Wi-Fi и Bluetooth-ресурсам, от которых пользователь активно отключался.

Отключение Wi-Fi и Bluetooth в Настройках является абсолютным и постоянным. Но отключение Wi-Fi и Bluetooth в Control Center — иллюзия. Wi-Fi и Bluetooth остаются включенными и функционируют.

Естественно, пользователи полагают, что включение-выключение Wi-Fi и Bluetooth в Центре управления идентичны тем же действиям в Настройках, но, на самом деле, они совершенно разные. Apple сообщает об этой разнице только на запутанной странице справки, которую подавляющее большинство пользователей iPhone никогда не увидит.

Apple Control Center позволяет быстро отключиться от сетей и ресурсов, оставляя включенными такие функции, как AirDrop, Personal Hotspot и Handoff, выступая на стороне таких периферийных устройств Apple, как Apple Pencil и Apple Watch. Он существует для удобства использования, и это было бы правильно.

Неправильным является нечеткая информирация для пользователей о том, что отключение Wi-Fi и Bluetooth-соединения в Control Center не делает того, что делает в Настройках.

Запутанная ситуация с EngineerMode в OnePlus 

Исследоваьели обнаружели, что в смартфонах OnePlus установлено приложение, которое может рутировать телефон.

Приложение называется «EngineerMode», и это диагностическое программное обеспечение, часто устанавливаемое на прототипе, или на производстве перед отправкой телефонов, но его никогда не устанавливали на телефоны, которые отгружаются пользователям.

Существует три способа активировать «EngineerMode»: с помощью команды dialer, панели запуска Android или из командной строки.

Функция приложения, обеспечивающая доступ root, защищена паролем, но это был плохой пароль, быстро раскрытый и доступный в Интернете. Эксплуатация приложения требует физического доступа к телефону.

OnePlus написала в сообщении в блоге, что компания «не рассматривает это как серьезную проблему безопасности» из-за маловероятной комбинации факторов, необходимых для ее использования, но компания удалит приложение в предстоящем обновлении программного обеспечения.

EngineerMode — это модифицированное приложение Qualcomm, и есть доказательства того, что другие телефоны, включая телефоны Asus и Xiaomi, могут содержать похожие приложения.

Есть вероятность того, что крупная компания-производитель смартфонов может отгрузить телефоны, не зная точно, какое именно программное обеспечение установлено, то эта возможность кажется маловероятной.

Скорее всего, OnePlus решила оставить EngineerMode в телефоне для ускорения производства, пропуская длительный процесс удаления на каждом телефоне.

Если заверения OnePlus о том, что EngineerMode не представляет «серьезную проблему безопасности», являются верными, тогда включение этого программного обеспечения было правильным.

Но добавление оного без явного информирования пользователей и объяснения, как его удалить, является неправильным.
 

Пользователи смартфонов должны требовать уважительного отношения. 

Умышленная установка функций, которые создают потенциальные риски для безопасности (или даже тех функций, которые, по мнению пользователей, создают такие риски), отсутствие информирования клиентов об этих функциях, раскрывает пренебрежительное, снисходительное и бесцеремонное отношение к покупателям.

Во всех трех случаях компании отбирали контроль у пользователей, скрывая свою активность.
Во всех трех случаях компании говорят: «Мы доверяем себе, поэтому пользователям не нужна информация, чтобы принимать собственные решения по этим функциям».

Телефоны Android тайно передавали данные о местоположении после того, как пользователи специально отключали службы определения местоположения.

В телефонах на iOS 11 тайно оставались и функционировали Wi-Fi и Bluetooth после того, как пользователи специально отключили их.

Телефоны OnePlus содержали секретное приложение, способное рутировать телефон.
Ни Google Cell ID, ни приложение OnePlus EngineerMode не были раскрыты компаниями, но были рассмотрены и исправлены только после их обнаружения исследователями.

Теперь у нас есть причина не доверять нашим смартфонам и компаниям, которые их создают.
Еще хуже то, что эти действия Google, Apple и OnePlus демонстрируют отсутствие уважения к клиентам.
 
  • admin,
  • 346
  • 0