Технологии отслеживания – эпоха новых угроз

По материалам Android Authority

Для некоторых людей устройства и аксессуары для отслеживания как по Bluetooth, так и в широкополосном диапазоне представляют собой едва ли не необходимость. Легко потерять телефон, или его могут украсть, не говоря уже о ключах или беспроводных наушниках. Наши гаджеты становится все дороже заменить новыми – топовые «затычки» могут стоить до 250$, а Galaxy Z Fold 3 сравним по цене с игровым компьютером. И если вы по природе своей склонны терять вещи, технологии их отслеживания могут сберечь для вас тысячи долларов.

Но среди всей этой гонки с внедрением таких технологий важно осознавать, что они несут в себе проблемы, связанные с безопасностью. Хорошо известно, что государства не гнушаются никакими средствами, чтобы следить за подозреваемыми, и неважно, насколько эти средства законны. Вспомним собрание метаданных АНБ, раскрытое Эдвардом Сноуденом, или шпионское ПО Pegasus, которое используется в таких странах, как Саудовская Аравия и ОАЭ. Симуляторы вышек сотовой связи Stingray используются многими организациями, в том числе правоохранительными органами США.

Частные лица тоже не застрахованы от подобных угроз. Мы уже делимся огромным количеством данных о своем местоположении с компаниями, создающими приложения, такими как Google и Facebook. Есть фирмы, специализирующиеся на анализе и/или перепродаже этих данных, как, например Foursquare, и некоторые из них не слишком разборчивы в отношении своих клиентов или методов. А некоторые и вовсе полностью игнорируют закон.

В общих чертах, риски отслеживания устройств можно разделить на две категории: сталкинг и тотальная слежка.

Сталкинг

Сталкинг, пожалуй, можно назвать самой большой и очевидной угрозой. Маленькая Bluetooth-метка, помещенная в чью-то сумку, автомобиль или одежду, потенциально может быть использована, чтобы преследовать человека, куда бы он ни пошел. Особенно актуально это сейчас, когда единственное серьезное ограничение по размеру создают аккумуляторы. Радиус действия Bluetooth ограничен несколькими сотнями метров, но такие компании, как Tile и Apple, обошли это ограничение, используя сети, которые анонимно «повторяют» местоположение метки, когда мимо проходит клиент. Например, если вы спрятали метку Tile в электровелосипеде, а потом его украли, ее местоположение должно обновляться всякий раз, когда другой пользователь приложения Tile находится в этой области.

Угроза сталкинга не является надуманной. Например, в 2018 году женщина из Хьюстона рассказала новостному ресурсу ABC 13, что обнаружила метку, размещенную в консоли ее автомобиля, которую ее бывший использовал, чтобы отслеживать ее перемещения. Мужчине было предъявлено обвинение, но нетрудно представить себе альтернативный сценарий, при котором на женщину напали или даже убили.

Но помимо откровенно преступной деятельности есть и другая опасность – родители или жены/мужья могут таким образом контролировать своих близких. Склонный к домашнему насилию муж, например, может использовать метку, чтобы не позволить жене пойти в полицию или в приют для жертв насилия. Чрезмерно тревожная мать может лишить ребенка возможности отправиться куда-то, кроме дома или школы.

Стоит отдать должное Apple, они сделали функцию защиты от сталкинга неотъемлемой частью AirTags – iPhone автоматически сообщает своим владельцам, если за ними следит не связанный с ним AirTag, и через 8-24 часа метка начинает пищать. Однако подобного все еще нет на Android, и даже когда такая поддержка появится, пользователям Android нужно будет загрузить приложение, чтобы защитить себя. Это вряд ли поможет ничего не подозревающим жертвам, поскольку сейчас время ожидания до того, как AirTag, подозреваемый в «отслеживании человека», начнет издавать звуковой сигнал, для пользователей, не имеющих iPhone, составляет полных три дня.

SmartTags от Samsung используют аналогичную модель, но тут требуется, чтобы пользователи сами, вручную искали сталкеров. К счастью, требуется иметь на своем смартфоне приложение Samsung, чтобы передавать данные о местоположении, поэтому использовать смарт-теги в качестве орудия преступления не так-то просто. А вот Tile вообще не предлагает таких функций защиты от преследования.

По мере развития технологий устройств слежения и роста сетей перетягивание каната между сталкерами и технологическими компаниями неизбежно обострится, и первые будут использовать любые лазейки, которые смогут найти. К сожалению, им не нужно лично устанавливать Bluetooth-трекер, чтобы выследить кого-то, ведь взлом мобильных платформ – еще один вариант, как это сделать, и тут мы подходим к теме тотальной слежки.

Тотальная слежка

Взлом может быть гораздо более эффективным инструментом, чем установка метки, поскольку люди, как правило, носят свои телефоны повсюду, а злоумышленники могут получить гораздо больше, чем просто информацию о местоположении – при условии, что они преодолеют препятствия, связанные с шифрованием и обнаружением. Сочетание этого фактора и уровень развития современных устройств отслеживания расширяет возможности слежки.

Проблема здесь не столько в устройствах, сколько в приложениях, которые люди используют для отслеживания. Такие приложения, как Google Find My Device и Apple Find My, встроены в соответствующие платформы, и в случае взлома они теоретически могут отобразить все подключенные к сети устройства, которые есть у человека. Это, по крайней мере, требует взлома хорошо защищенных учетных записей, поэтому, пока у человека есть надежный пароль и двухфакторная аутентификация, угроза невысока.

Однако слабые методы обеспечения безопасности всегда были проблемой, и со сторонними приложениями дело обстоит более рискованно. У большинства компаний нет таких же ресурсов безопасности, как у гигантов вроде Apple и Google, а это означает, что их серверы и учетные записи не всегда имеют такую же степень защиты. Такие бренды, как Tile, в целом заслуживают доверия, но даже они пока что не используют двухфакторную аутентификацию.

Чем больше объектов отслеживает человек с помощью собственных или сторонних приложений, тем более всесторонним теоретически может стать наблюдение. Допустим, у вас есть метка в рюкзаке или ноутбуке. Если ваш телефон и метка отправляются каждое утро в определенное место, нетрудно догадаться, что отправной точкой является ваш дом, а конечной – офис или другое место работы. Помещение метки в пульт от телевизора позволит определить, когда вы находитесь дома, а если вы отслеживаете свои наушники или собственное электрическое транспортное средство, хакеры могут определить часто посещаемые вами места, например, парки или тренажерный зал.

В 2021 году все становится еще сложнее из-за повсеместной доступности трекеров с поддержкой сверхширокополосных сетей (UWB), таких как AirTag и SmartTag Plus, не говоря уже о более крупных продуктах со встроенной поддержкой сверхширокополосной связи. Хотя телефон и должен находиться в пределах 10 метров от отслеживаемого объекта, чтобы переключиться с Bluetooth на UWB, последний может увеличить точность определения местоположения до нескольких сантиметров. Взлом телефона, окруженного метками с поддержкой UWB, может позволить злоумышленнику выяснить, где в здании хранятся те или иные устройства или даже где конкретный человек сидит или спит. В руках преступников эти данные могут быть использованы для планирования краж со взломом или даже убийств.

К счастью, есть несколько ограничивающих факторов. Потребительские устройства с возможностью отслеживания по UWB относительно новы, и только аппараты с подходящими радиомодулями могут передавать эти данные, например, Samsung Galaxy S21 Plus или iPhone 12. Другими словами, для получения точной информации требуется наличие современной экосистемы UWB, а затем она должна подвергнуться взлому через устройство или сервер. По мере того, как сверхширокополосная связь будет распространяться, экосистемный барьер падет – будем надеяться, это не повлечет за собой появление новых уязвимостей.

Будущее – что можно изменить?

Нас ожидают сложные времена. Как отмечает NPR, атаки с помощью программ-вымогателей набирают обороты, и вполне возможно, что приложения для отслеживания станут для их создателей новой целью. Удар по ним может задействовать самую чувствительную информацию пользователей, создавая угрозу для бизнесов, для которых больше всего важна репутация в сфере безопасности. Тем временем сталкеры могут стать технически более подкованными и в полной мере использовать устройства слежения и технологии Bluetooth/UWB. Если через 20 лет все, от обуви до автомобилей, будет иметь встроенные возможности отслеживания, вы, возможно, и не сможете определить, что кто-то следит за вами.

Даже если криминальный фактор будет сведен к минимуму, останется проблема государственного вмешательства, особенно в авторитарных странах, таких как Китай. Законодательство этой страны требует, чтобы данные китайских пользователей оставались на местных серверах. В принципе, сама по себе идея не несет ничего плохого, но если полиция или спецслужбы хотят получить доступ к чьим-то данным о местоположении, они могут получить такие данные без особых препятствий. Чем больше меток, тем больше данных для наблюдения и подавления инакомыслия.

В случае с кибершпионажем очевидна выгода от сбора как можно большего количества данных о местоположении целей – представьте, что вам известны повседневные привычки политика или генерала или просто кого-то с доступом к секретным данным. Этот тип шпионажа также можно использовать для определения уязвимостей для будущих взломов, отмечая устройства, о которых шпионы до того могли и не знать.

Худшие сценарии редко сбываются, но как государственные, так и частные организации должны активизировать свои усилия по обеспечению кибербезопасности – в основном чтобы избежать финансовых потерь в миллионы долларов. Нам всего лишь нужно, чтобы в отношении отслеживания через Bluetooth и UWB применялись такие же усилия по безопасности, как для банков и больниц.

Есть то, что могут предпринять производители приложений, устройств и аксессуаров. Во-первых, меры по борьбе со сталкерами, подобные тем, которые применяются для AirTags и SmartTags, должны стать обязательными и добавляться по умолчанию. Двухфакторная аутентификация должна появиться во всех приложениях для отслеживания в Play Store или App Store и быть обязательной для людей, использующих встроенные функции отслеживания в Android и iOS.

Если вы сами опасаетесь слежки, вы можете сами предпринять шаги помимо двухфакторной аутентификации, не предполагающие полного отключения данных о местоположении. Например, вы можете управлять передачей данных о местоположении для каждого приложения или устройства, а также регулярно очищать историю перемещений, когда это возможно.

Также имеет смысл проявлять осторожность в общественных местах. Внимательно следя за тем, кто находится вокруг вас и где ваши вещи, вы можете снизить риск таких угроз, как ограбление и карманные кражи, а не только преследования. Наконец, относитесь к использованию трекеров Bluetooth/UWB разумно. Приятно никогда ничего не терять, но как часто вам приходится искать тот или иной предмет? Возможно, риск его потерять не так значим по сравнению с вашей безопасностью?

[email protected]
наверх