Если вы еще не прочитали первую часть, то обязательно это сделайте!
Прошлая статья была посвящена системе распознавания лиц, а эта тому, как Google, Facebook, Microsoft, Uber и другие компании следят за нами с помощью своих приложений и искусственного интеллекта, а также поговорим про уявзимости в приложениях этих компаний.
Каждый день, пользуясь приложением Facebook, WhatsApp, Instagram, мы даже не понимаем какой опасности себя подвергаем.
Во-первых, приложение Facebook разряжает аккумулятор устройства и если Facebook нужен, то лучше использовать мобильную версию сайта Facebook (это - дополнительная информация, не относящаяся к теме).
Во-вторых, Facebook, WhatsApp и Instagram принадлежат Марку Цукерберку - создателю Facebook (также не относится к теме, просто для понимания, что за этими компаниями стоит один человек).
Итак, сказав важные вещи, приступаю к главной теме.
Популярные приложения, которые явно следят за пользователями с целью передать данные спецслужбам и имеют в себе критические уязвимости.
Начнем с WhatsApp. В каждом чате WhatsApp указано, что сообщения, отправленные обеими сторонами шифруются. Это действительно так, но толку от этого шифрования по сути нет. Во-первых, есть два модуля для Burp Suite. Первый позволяет перехватить зашифрованное сообщение, а второй расшифровать его и соответственно зашифровать их алгоритмом шифрования WhatsApp, что делает возможным подмену сообщений. Во-вторых, Марк Цукерберг вынужден был передать ключи шифрования властям стран ЕС (согласно GDPR) и властям России (согласно закону (пакету) Яровому). А то, что описано выше, лишь подойдет для того, чтобы обычному пользователю подменить чужое сообщение. Более того, говорят, что в WhatsApp полно уязвимостей. Первая с видео из-за которой личные данные на устройстве могли попасть злоумышленнику, вторая, связанная с QR-кодом и так далее. В общем, на конфиденциальность WhatsApp надеяться уж точно не стоит.
Продолжим Instagram'ом. В Instagram также предостаточно уязвимостей. Вот, например, уязвимость подбором пароля, которую хоть уже и исправили, но все же (отключите JavaScript в браузере, сайт собирает fingerprint'ы - отпечатки браузера). "Директ" в Instagram также, как и в сообщения в WhatsApp лекго можно перехватить и прочитать.
Скажем про главного - Facebook. Уязвимости и этот сервис коснулись. Но уязвимости - не главная цель этой статьи. Во-первых, очень подозрительно, что Facebook так тратит заряд аккумулятора. Во-вторых, зачем Facebook столько разрешений? Да, я понимаю, что камера используется в видеосообщениях, микрофон в голосовых сообщениях, галерея при выборе фото/видео на отправку, и т.д. Но, естественно это все используется не только по назначению. Вот, яркий этого пример. У пары нет и никогда не было кошки. Они хотели проэкспериментировать, что будет, если телефон будет лежать на столе с открытым приложением Facebook, а они будут обсуждать кошачью еду. Что вы думаете? После этого в ленте Facebook начала появляться реклама кошачьей еды. Прямое доказательство того, что Facebook слушает микрофон и показывает рекламу на эту тему. Самое страшное в том, что потом большие компании, как Facebook продают эту информацию третьим лицам (допустим, рекламодателям).
Не забудем и про Microsoft. ОС Windows постоянно слушает микрофон, следит за геолокацией, следит за нажатиями клавиатуры. А затем эта информация продается рекламодателям и не только. Но спецслужбы США (а скорее всего и остальных стран) имеют право попросить данные о каком-либо человеке, и Microsoft их предоставит.
Упомянем и ое Google. Один из примеров - когда Android устройство следит за его геолокацией и отправляет данные в Google, даже если устройство полностью выключено. Собираются все поисковые запросы и другие действия. Для того, чтобы посмотреть, что Google успел собрать о вас, перейдите по этой ссылке на сайт "Мои действия"
Пару слов о Telegram. Самый популярный мессенджер, который позиционирует себя, как анонимный. Вовсе не анонимный, это миф. Во-первых, анонимный мессенджер не может требовать столько разрешений, а именно: Камера, микрофон, геолокация, контакты, телефон, память и так далее. Камера. Кроме видеосообщений, в Telegram камера абсолютно не нужна ему, ведь видеозвонков в мессенджере до сих пор нет, наверняка используется не только по прямому назначению. Микрофон - для звонков и голосовых сообщений, но зачем Telegram "использует микрофон в фоновом режиме" (именно так сообщает MIUI) не ясно. Геолокация. Вот тут уже пауза, потому что нет ни одной фукнции в Telegram, связанной с геолокацией. Зачем Telegram "использует геолокацию в фоновом режиме" также не ясно. Контакты - ладно, Telegram нужны контакты, чтобы показывать тех, кто есть в Telegram. Телефон. Вновь пауза, зачем Telegram доступ к звонкам (а соответственно и к журналу вызовов). Хорошо. Допустим, что для того, чтобы записывать в журнал вызовов звонки из Telegram, но далеко не на всех оболочках все звонки (и из мессенджеров в том числе) записываются в журнал телефона. Если я не ошибаюсь, так только на iOS, а разрешение присутствует и на Android. Сообщения. И вновь не ясно. Но больше всего напрягает то, что в "анонимном" мессенджере регистрация по телефону. Это полностью противоречит любой конфиденциальности. Даже включив двухфакторную аутентификацию, взломать аккаунт будет несложно, перехватив код подтверждения. А если вы пользуетесь Telegram Desktop, тем более на Windows, то про конфиденциальность можно вообще забыть, так как папка tdata содержит в себе данные для входа и скопировав эту папку к себе на сервер, злоумышленник может получить полный доступ к аккаунту, вставив эту папку рядом с приложением.
А закончим Uber'ом. Всем известное такси тоже следит за своими пользователями. Во-первых, интересный факт, что перед тем как выставить цену, приложение анализирует на каком устройстве оно запущено, какие приложения на нем установлены, какие сейчас запущены и т.д. Таким образом, любое приложение может определить ваш примерный доход и кем вы скорее всего работаете. И как раз, проанализироовав эти данные, приложение выставляет цену. Таким образом, с одинаковым набором приложений (установленных и запущенных), но с разными устройствами цена получается разная. На устройстве Android цена была около 200 рублей, а на iOS - 260 рублей. Вот как работает этот алгоритм. Но я даже в основном не про это.
Первое - Uber не обязательно разрешение на геолокацию. Такси можно вызвать и без него, указав конкретный адрес точки А и Б. Как выяснилось, Uber может следить за геолокацией еще целых 15 минут после поездки. То есть, на серверы Uber отправляется информация не только о том, куда клиент поехал на такси, но еще и куда он пошел после поездки.
Второе - в Uber есть "Режим Бога", который позволяет отслеживать клиента, у которого установлено приложение Uber. Однажды за злоупотребление этим режимом уволили девушку, которая таким образом следила за своим мужем. Так что, никто не застрахован от подобного режима.
Если не WhatsApp, не Telegram, то что?
Ответ просто и понятен - Jabber. Это - мессенджер, который расчитан на корпоративную переписку. Он основан на протоколе XMPP, которым часто и называют Jabber. Для большей конфиденциальности, нужно провести сервер XMPP через I2P или сеть Tor. Такая защита спасет от слежки со стороны властей.
Искусственный интеллект
Когда вы опубликовываете какое-либо фото в соц. сетях, ИИ анализирует их и делает вывод о вашем доходе или работе, о том, что у вас есть и т.д.
А ИИ ВКонтакте анализирует ваши сообщения и если находит что-либо подозрительное, сообщает администраторам ВКонтакте, хотя сами утверждают, что это не делается. Но к сожалению, наооборот, хотя они не имеют право это делать.
Итог
Практически каждое приложение собирает о вас информацию и отправляет на свои серверы. А у них, в свою очередь, есть свои уязвимости, благодаря которым данные сливаются. В XXI веке конфиденциальность - это роскошь, которой мало кто обладает. Такое будущее печально.
Спасибо за внимание, подписывайтесь на канал, оставляйте комментарии!
