Кто «стучит» с вашего смартфона или Что «Angry Birds» напели АНБ?

Массовый сбор данных, самотёком уходящих с мобильных устройств, оказался полезней индивидуальных атак. Не удивительно, что американцы и их британские коллеги практиковали его и раньше, ещё во времена простых сотовых телефонов, а за мобильные приложения взялись в тот же год, когда появился первый iPhone.

В истории Эдварда Сноудена очень мало забавных моментов — да и что, вообще говоря, может быть забавного в истории человека, которого за правду прокляла родина и теперь не желает даже разговаривать с ним раньше, чем он признает себя виновным?

Так что вскрывшиеся сегодня ночью факты назвать «забавными» можно тоже только с большой натяжкой, хотя на безнадёжно-мрачном фоне они определённо смотрятся светлым пятном. Как стало известно буквально в последние шесть часов, Агентство национальной безопасности США и его британский партнёр GCHQ следят за владельцами мобильных устройств по всему миру с помощью мобильных же приложений, и в том числе через игрушки вроде суперпопулярной Angry Birds.

То, что мобильные приложения — штука опасная, опытный пользователь понимает интуитивно. Понимает и… ошибается! Рассуждения здесь обычно просты. Как можно быть уверенным, что автор того или иного аппа не встроил в код своей программы «закладку», которая — запускаясь время от времени или постоянно пребывая в оперативной памяти (двадцать лет назад такие поделки называли «резидентными» или попросту «резидентами») — сканирует устройство на предмет интересных сведений или событий, а потом отчитывается «в центр»? Уверенным, конечно, быть нельзя, но практически среди успешных приложений примеры такого «прямого» шпионажа чрезвычайно редки (хорошее имя дороже?).

Однако мобильные приложения всё-таки опасны. Проблема в том, что у каждого аппа имеется доступ к некоторому набору системных функций и персональных сведений, хранящихся на конкретном устройстве — и даже если приложение не использует их само, то, получив разрешение от пользователя на этапе установки, впоследствии может стать косвенным виновником их неоднократной утечки. Чем, собственно говоря, и пользуется АНБ.

Warrior Pride (подробности ниже). Как пошутил кто-то, даже спецслужбы первым делом выпускают версию для iOS, только потом для Android, а о Windows Phone не беспокоятся (слайды из документов).

Warrior Pride (подробности ниже). Как пошутил кто-то, даже спецслужбы первым делом выпускают версию для iOS, только потом для Android, а о Windows Phone не беспокоятся (слайды из документов).

Возьмите Angry Birds. Поставить её через Google Play или Apple App Store — дело пятиминутное и совершенно бесплатное: зарабатывать авторам приложения помогает размещаемая внутри игры реклама. В процессе инсталляции система (по крайней мере в случае с Android) спросит у вас разрешения позволить программе выполнять некоторые невинные вещи — вроде изменения содержимого памяти, слежки за батареей, управления телефонными вызовами (речь в конце концов о смартфоне, а не о тупой игровой приставке!).

Внимательное изучение списка, впрочем, выявит и несколько сомнительных пунктов. Например, Angry Birds просит доступ к таким данным, как серийный номер устройства и список телефонов вызываемых абонентов, ваше местоположение и учётные записи. Зачем?

Самой ей такого рода сведения пригодятся навряд ли, зато они наверняка пригодятся владельцам рекламного движка, встроенного в игрушку. И легко представить, как они могут быть полезны спецслужбам — скажем, АНБ и GCHQ, которые именно на примере Angry Birds поясняют своим сотрудникам принципы и потенциал сбора персональных данных с мобильных устройств (слайды из секретных образовательных материалов иллюстрируют сегодняшнюю колонку).

 

Скажу больше: данные, получаемые спецслужбами со смартфонов и планшеток, не ограничиваются скучной системной информацией и контактами. Это широчайший спектр сведений, охватывающий возраст, пол, национальность, даже сексуальную ориентацию пользователя. Но как такое можно узнать, если вы никогда такогосмартфону не сообщали? Что ж, прямо, может быть, и не сообщали, а вот косвенно, через используемые приложения, — наверняка!

Так что приложения или рекламные движки, в них встроенные, проанализировав всю имеющуюся информацию, в состоянии аргументированно предположить (и предполагают!) в том числе и вашу сексуальную ориентацию. А потом — переправить сведения наружу: например, владельцам баннерной сети, чтобы там по составленному профилю для вас подобрали наиболее подходящую рекламу.

Смартфоны с точки зрения АНБ — волшебный подарок! Телефон и компьютер в одном флаконе, да ещё и транслирующий всё наружу (слайд из документов).

Смартфоны с точки зрения АНБ — волшебный подарок! Телефон и компьютер в одном флаконе, да ещё и транслирующий всё наружу (слайд из документов).

Заметьте: ни девелопер, ни рекламщики не сотрудничают с АНБ (так что вряд ли пресс-секретарь Rovio кривит душой, когда отвечает на прямой вопрос отрицательно), да в этом и нет необходимости. Сведения можно перехватить по пути от смартфона в «облако», что АНБ и делает, пользуясь своими многочисленными врезками в интернет-магистрали и телефонный бэкбон. После остаётся лишь провести «обогащение» информационной руды — сопоставив полученные данные с обширной базой метаданных, накопленной агентством, и подшить результат к виртуальному личному делу, которое заведено, похоже, на каждого землянина.

Если честно, в опубликованных сегодня ночью документах не указаны точные масштабы программы по сбору сведений из мобильных приложений (известно лишь, что под надзором десятки миллионов человек), как не указано и то, что именно АНБ в действительности собирает, обрабатывает и хранит: сказано только, что и как может быть собрано.

Однако никто из авторов этой находки (над архивом Сноудена продолжают трудиться десятки, если не сотни людей: журналистов, правозащитников, спецов по компьютерной безопасности и др.) не сомневается, что «пылесос» работает вовсю. Больше того, по состоянию на сегодняшнее утро достоверно известно, что этим Агентство не ограничивается.

Однако никто из авторов этой находки (над архивом Сноудена продолжают трудиться десятки, если не сотни людей: журналистов, правозащитников, спецов по компьютерной безопасности и др.) не сомневается, что «пылесос» работает вовсю. Больше того, по состоянию на сегодняшнее утро достоверно известно, что этим Агентство не ограничивается.

Одновременно стало известно о проекте Squeaky Dolphin, предполагающем мониторинг соцсетей в реальном времени (YouTube, Twitter, Facebook, Blogger и др.) ради выяснения намечающихся трендов и упреждающего противодействия. С его помощью, например, можно предвосхищать массовые беспорядки (слайд из документов).

Помимо данных, сочащихся из приложений, оно контролирует запросы к Google Maps, извлекает крупицы сведений из фотографий, отправляемых мобильными пользователями в соцсети (ещё до их публикации), собирает сырую информацию, утекающую с мобильных устройств во время обновления системного софта.

А в наиболее интересных случаях и вовсе организует прямую атаку на конкретные устройства: внедряет (не спрашивайте — как, никто пока не знает) программный шпионский комплекс Warrior Pride, поддерживающий как минимум iOS и Android и позволяющий проворачивать трюки, о которых общественность давно уже судачит, — наподобие тайного включения вроде бы выключенного телефона, скрытой записи с микрофона, доступа ко всем данным и пр.

Похоже, массовый сбор данных, самотёком уходящих с мобильных устройств, оказался полезней индивидуальных атак. Не удивительно, что американцы и их британские коллеги практиковали его и раньше, ещё во времена простых сотовых телефонов, а за мобильные приложения взялись в тот же год, когда появился первый iPhone. Но кто же виноват, что мы, оказывается, живём под ещё одним микроскопом? Получается, не спецслужбы. Виноваты, выходит, разработчики приложений и рекламных движков: это они позволяют данным утекать с устройств, причём утекать незашифрованными.

И, понятное дело, не стоит даже надеяться, что в обозримом будущем эта полноводная река хотя бы обмелеет. Урезать объём персональных сведений, к которым имеют доступ мобильные приложения, значит поставить крест на всей мобильной платформе, да и вряд ли это возможно технически. Что же до АНБ, то, как показывают последние события, даже если на неё надавят родные законодатели и президент, ограничения наблюдения затронут в лучшем случае классические коммуникации (телефон) — и только применительно к американским гражданам.

В статье использована иллюстрация Mike Mozart.

Автор: Евгений Золотов, КОМПЬЮТЕРРА 

Читайте также: