Почему мы больше не можем доверять смартфонам

Новый класс проблем безопасности вызван производителями смартфонов, которые создают сознательные намерения, не сообщая клиентам.

  • Просмотров |

Новый класс проблем безопасности вызван производителями смартфонов, которые создают сознательные намерения, не сообщая клиентам.

Ваш смартфон может содержать секретные «функции», которые оставляют вас уязвимыми.

Я не говорю о случайных недостатках дизайна, которые могут использовать хакеры. Вопросы безопасности всегда существовали. Они представляют собой игру «кошки-мышки» между злонамеренными актерами, которые пытаются сломать защиту смартфонов и индустрию смартфонов, которая пытается выявить и устранить случайные уязвимости, которые делают телефоны уязвимыми для хакеров. Ничего нового в этом нет.

То, о чем я говорю, — это новое явление — тенденция, о которой мы узнали только в последние несколько недель.

Я говорю о дизайнерских решениях, сделанных компаниями-смартфонами, которые заставляют телефоны делать что-то невидимо, за кулисами и за вашей спиной, что делает телефоны потенциально менее безопасными.

Недавно Google, Apple и OnePlus были пойманы, скрывая преднамеренные уязвимости в телефонах так, как никто никогда не подозревал. Телефоны, на которых установлено программное обеспечение, установленное этими тремя компаниями, делают потенциально небезопасные вещи, даже когда пользователи предпринимают действия, чтобы предотвратить подобные события.

Мотивы индустрии смартфонов частично хорошо настроены. Цель этих решений — повысить производительность или простоту использования. Но решение делать эти вещи без четкого информирования пользователей противоречит новому типу неуважения клиента.

Вот что мы узнали за последние несколько недель.

Идентификатор мобильного телефона Google Android brouhaha

Кварц сообщил на этой неделе, что в течение последних 11 месяцев Android отправляет данные о местоположении пользователя в Google, даже если службы определения местоположения отключены, приложения не использовались, а на телефоне нет SIM-карты. Данные о местоположении основаны на близости к сотовым башням, что называется «Идентификатор ячейки».

Пресс-секретарь Google сказал мне, что в январе Google «начал изучать использование кодов идентификаторов ячеек в качестве дополнительного сигнала для повышения скорости и производительности доставки сообщений».

Google никогда не использовал или даже не хранил эти данные, и данные не имели никакого отношения к службам местоположения, адресной рекламе или другим функциям. Компания в основном включила его с целью изучения улучшений производительности позже.

Google планирует удаленно прекратить эту функцию местоположения в течение следующего месяца для всех пользователей в результате противоречия. Для завершения не требуется патч для программного обеспечения или загрузка.

Компания не объявила о судьбе этой функции. Возможно, компания может использовать его в будущем для ускорения обмена сообщениями, как универсально, так и в качестве пользовательской опции.

Экспериментировать с Cell ID как способом ускорения обмена сообщениями было правильным для Google.

Чтобы реализовать идентификатор сотовой связи на всех телефонах Android, не сообщая пользователям, что данные о местоположении передавались даже при всех службах местоположения, это было неправильно.

Беспроводная дискомбинация беспроводного центра управления Apple iOS 11

Приложение iOS Settings всегда позволяло пользователям включать и отключать Wi-Fi и Bluetooth.

Когда вы отключите Wi-Fi и Bluetooth в настройках, iOS отключает телефон от любых сетей Wi-Fi или Bluetooth-устройств, к которым подключается телефон, затем отключает радиотелефоны Wi-Fi и Bluetooth внутри телефона, чтобы предотвратить любые возможные использование Wi-Fi или Bluetooth с этим телефоном. Wi-Fi и Bluetooth остаются включенными до тех пор, пока пользователь не включит их.

Это то, как пользователи ожидают, что он будет работать, и как он на самом деле работает.

В качестве удобства Apple четыре года назад выкатила Центр управления для iOS 7. Доступный сегодня с прокладкой вверх от нижней части телефона (на всех телефонах, кроме нового iPhone X, который вызывает Центр управления с ударом вниз по в правой части экрана), Control Center позволяет пользователям быстрее включать и отключать Wi-Fi и Bluetooth, среди других функций.

Apple разумно разместила эту беспроводную коммутацию в Центре управления, потому что есть много причин быстро или часто их включать и выключать. Например, при отключении Wi-Fi и Bluetooth экономит время автономной работы.

Есть только одна проблема: хотя Control Center управляет отключением телефона от сетей Wi-Fi и устройств Bluetooth, он не отключает Wi-Fi или Bluetooth.

Когда Wi-Fi или Bluetooth отключены от Центра управления, iOS 11 автоматически подключается к новым горячим точкам или устройствам Bluetooth, если они появляются в пределах диапазона. Или, если телефон перезагружен. Или если произойдет 5 утра. (Правильно. В 5 часов утра телефон автоматически подключится к самым Wi-Fi и Bluetooth-ресурсам, от которых пользователь активно отключается.)

Отключение Wi-Fi и Bluetooth в настройках является абсолютным и постоянным. Но «отключить» Wi-Fi и Bluetooth в Control Center — иллюзия. Wi-Fi и Bluetooth остаются включенными и функционируют.

(Apple не ответила на мой запрос для комментариев).

Естественно, пользователи полагают, что Wi-Fi и Bluetooth-переключатели в Центре управления идентичны тем же действиям в настройках, когда на самом деле они совершенно разные. (Apple сообщила пользователям об этой разнице только на неясной странице справки, которую Apple знает, что подавляющее большинство пользователей iPhone никогда не увидит или не узнает.)

Существует система управления Apple Control Center, которая позволяет быстро отключиться от сетей и ресурсов, продолжая включать такие функции, как AirDrop, Personal Hotspot и Handoff, и выступать в пользу таких периферийных устройств Apple, как Apple Pencil и Apple Watch. Он существует для удобства использования и удобства, и это было правильно.

Но, не очень четко информируя пользователей о том, что Wi-Fi и Bluetooth-соединение Control Center не делают то, что делали настройки, это было неправильно.

OnePlus EngineerMode imbroglio

Было обнаружено, что в смартфоне OnePlus в этом месяце были отправлены телефоны с установленным приложением, которые могли бы укоренить телефоны.

Приложение называется «EngineerMode», и это диагностическое программное обеспечение, часто устанавливаемое на прототипе или перед отправкой телефонов, но удаленное или никогда не устанавливаемое на телефоны, которые будут отправлены публике.

Существует три способа активировать «EngineerMode»: с помощью команды dialer, панели запуска Android или командной строки.

Функция приложения, обеспечивающая доступ root, защищена паролем, но это был плохой пароль, быстро обнаруженный и доступный в Интернете. Эксплуатация приложения требует физического доступа к телефону.

(OnePlus не ответил на мой запрос для комментариев.)

OnePlus сказал в сообщении в блоге, что компания «не рассматривает это как серьезную проблему безопасности» из-за маловероятной комбинации факторов, необходимых для ее использования, но что компания удалит приложение в предстоящем обновлении программного обеспечения.

EngineerMode — это модифицированное приложение Qualcomm, и есть некоторые доказательства того, что другие телефоны, включая телефоны от Asus и Xiaomi, могут содержать похожие приложения.

Хотя возможно, что крупная компания смартфонов может отправить телефон, не зная точно, какое программное обеспечение установлено, эта возможность кажется мне маловероятной.

Скорее всего, OnePlus решила включить EngineerMode в телефон для ускорения производства — пропуская длительный процесс удаления на каждом телефоне.

Если заверения OnePlus о том, что EngineerMode не представляют «серьезную проблему безопасности», являются точными, тогда включение программного обеспечения было правильным.

Но в том числе и втайне без явного информирования пользователей и объяснения, как их удалить, это было неправильным делом.

Почему клиенты смартфонов должны требовать доверия

Умышленно устанавливая функции, которые создают потенциальные риски для безопасности (или даже функции, которые, по мнению пользователей, создают такие риски), а затем даже не информируя клиентов об этих функциях, раскрывает новое пренебрежительное, снисходительное и бесцеремонное отношение к покупателям.

Во всех трех случаях эти компании-смартфоны отбирали контроль у пользователей, скрывая активность.

Во всех трех случаях компании говорят, по сути, «Мы доверяем себе, поэтому пользователям не нужна информация, чтобы принимать собственные решения по этим функциям».

Телефоны Android тайно передавали данные о местоположении после того, как пользователи специально отключили службы определения местоположения.

Телефоны iOS 11 Wi-Fi и Bluetooth-радио тайно оставались и функционировали после того, как пользователи специально отключили Wi-Fi и Bluetooth.

Телефоны OnePlus содержали секретное приложение, способное укоренять телефон.

Ни поведение Google Cell ID, ни приложение OnePlus EngineerMode не были раскрыты компаниями, но были рассмотрены и исправлены только однажды обнаруженными исследователями.

Этот факт заставляет меня задаться вопросом, что еще происходит на наших телефонах, о которых мы не знаем.

Прозрачность порождает доверие. Обфускация порождает недоверие.

Теперь у нас есть причина не доверять нашим смартфонам и компаниям, которые их создают.

Хуже того, эти решения Google, Apple и OnePlus показывают отсутствие уважения к клиентам.

Промышленность: Пришло время заслужить доверие, проявив уважение.

Постарайтесь рассказать нам о том, что делают смартфоны — особенно по вопросам, связанным с передачей данных о местоположении, функционированием беспроводных сетей и возможностью запуска наших телефонов.

Добавить комментарий

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

Авторизация
*
*
Регистрация
*
*
*
Генерация пароля