Чим небезпечні встановлені програми на дешевих смартфонах

У питаннях безпеки завжди була різниця між багатими та бідними. Але якщо раніше вона стосувалася захищеності житла та особистої недоторканності, то з розвитком технологій постала проблема захисту персональних даних. Блогер Еймі Пірсі розповіла, яку роль у їхньому витоку можуть зіграти встановлені програми на дешевих смартфонах.

Декілька років тому уряд США спробував змусити Apple вбудувати

в iPhone інструмент для обходу системи безпеки. Компанія відмовилася. Але багато виробників бюджетних телефонів дотримуються інших поглядів.

Дослідження Privacy International показало, що багато дешевих смартфонів продаються з встановленими програмами. Прикладами таких сервісів є Pinoy (містить новини, подкасти та тематичний контент), AccuWeather (прогноз погоди), GMobi та Adups (обидва були спіймані на серйозні порушення безпеки в останні кілька років).

Зокрема, у дослідженні розглядався смартфон myA2, випущений у грудні 2017 філіппінською компанією MyPhone. Він оснащений 4-дюймовим екраном, чотириядерним процесором, камерою 5 Мп, підтримкою 3G і ОС Android 6.0 Marshmallow. На Філіппінах цей пристрій можна придбати приблизно за $30.

Однак у myA2 є встановлені програми, які мають розширений доступ до даних користувача. Їх не можна оновити або видалити, тобто за наявності в них уразливостей захиститися від витоку інформації не вийде.

Смартфонів з встановленими програмами стає більше

У травні 2019 року Корнельський університет провів перше великомасштабне дослідження попередньо встановлених програм на Android-пристроях, вивчивши телефони від 200 постачальників.

Вчені зазначили, що сторонні розробники стали частіше платити виробникам за встановлення програм. При цьому з’ясувалося, що вони часто містять потенційно шкідливий код і особливо поширені у недорогих смартфонах. У висновках йдеться, що «ланцюжку поставок для Android-пристроїв з відкритим вихідним кодом не вистачає прозорості, і це сприяє здійсненню потенційно небезпечних дій та отримання доступу до особистих даних користувачів без їхньої згоди».

Android не може уникнути відповідальності — MyPhone є сертифікованим партнером цієї ОС, а тому має дотримуватися тих самих стандартів, що й інші виробники. Встановлення потенційно небезпечних програм від сторонніх розробників підриває довіру до бренду та ризикує користувачам.

Конфіденційність коштує дорого

Цілком безпечних смартфонів немає, але деякі люди намагаються захистити свої дані всіма можливими способами і витрачають на це чимало грошей.

Librem 5 від Purism працює під управлінням GNU+Linux і нещодавно став доступним для покупки в рамках краудсорсингової кампанії. Цей смарфтон коштує $699. На відміну від переважної більшості пристроїв він не поставляється з Android або iOS. Натомість Librem 5 використовує повністю відкрите програмне забезпечення, відоме як PureOS – дистрибутив Linux, офіційно схвалений некомерційною організацією Free Software Foundation. При цьому Purism заявляє, що надаватиме оновлення для довічної роботи гаджета. Однак великий цінник – Librem 5 коштує в 23 рази дорожче, ніж myA2 – робить цей смартфон недоступним для багатьох.

Люди перестали турбуватися через збереження особистих даних

Компанії піклуються про прибуток, а не конфіденційність, і передача особистих даних стала настільки звичною для користувачів, що більшість з них звертають мало уваги на те, з чим погоджуються, підписуючись на нову послугу.

Центр вивчення медіа, нерівності та змін в Університеті Пенсільванії провів дослідження під назвою «Мобільні телефони, безпека та соціальний капітал», де розглядалося ставлення людей до порушень конфіденційності. Виявилося, що «майже всі учасники дослідження поділилися історіями відмови від захисту даних, яку автори роботи вважають одним із основних прав людини, в обмін на доступ до онлайн-послуг та платформ».

«Мені байдуже, чи роблять вони це. Я не можу зупинити це. Я не маю грошей, які можна вкрасти, але якщо це станеться, я впораюся», — зазначив учасник дослідження Шон.

Ми надто сильно переживаємо через конфіденційність?

Є думка, що люди надто стурбовані захистом даних, а насправді вони нікому не потрібні, і варто відмовитися від частини заходів безпеки, щоб зробити життя зручнішим.

Але персональні дані використовуються як для реклами. Їх можуть застосувати для того, щоб взяти більше грошей за товари, що цікавлять конкретну людину, або змінити результати пошукової видачі. Крім того, можливе відстеження інтернет-спілкування.

Інформацію збирають машини, але зрештою доступ до неї отримують люди. Не треба далеко ходити, щоб знайти випадки порушення конфіденційності.

Уряд Китаю використовує смартфони для контролю за етнічною меншістю

Протягом багатьох років уйгури стикалися з репресіями, що посилюються в Китаї, країні з одними з найсуворіших інтернет-обмежень у світі. Зокрема, китайський уряд довгий час стежив за уйгурами за допомогою додатків, у тому числі WeChat (за даними за другий квартал 2019 року, у нього налічується понад 1,13 млрд активних користувачів на місяць), який дозволив поліції перевіряти їхні дії та місцезнаходження.

Саме через цю технологію деяких уйгурів було заарештовано за «підозрілу поведінку», а потім відправлено до виховних таборів, у яких, за повідомленнями джерел, грубо порушуються людські права.

Надання компаніям доступу до особистих даних пов’язане з ризиком створення ефекту снігової грудки. Аргумент «мені нема чого приховувати, тому я не маю причин для занепокоєння» може здаватися розумним зараз, але в довгостроковій перспективі всі дії в інтернеті здатні обернутися проти нас.

Конфіденційність у країнах, що розвиваються, все частіше опиняється під загрозою

У серпні 2019 року організація з аналізу глобальних ризиків Verisk Maplecroft опублікувала звіт, який виявив «значне зростання» числа країн, у яких є «крайній ризик» у питанні збереження права на недоторканність приватного життя та свободу вираження. думок. За даними дослідників, під загрозою перебувають права приблизно 3,38 млрд осіб – майже половина населення світу.

У січні посадовцям Cuerpo de Investigaciones Científicas, Penales y Criminalísticas (CICPC) — найбільшої національної поліцейської агенції Венесуели — повідомили, що вони мають підтримати уряд Боліварії. Їх попередили, що людей, які підтримували опозицію у соцмережах, буде звільнено.
У травні Уганда усунула від роботи 39 журналістів, намагаючись перешкодити їм висвітлювати діяльність опозиційної партії.
Протягом року журналісти та активісти в Мозамбіку зазнавали загроз, багато з яких було відправлено до SMS.
У серпні офіси Huawei у Замбії та Уганді обстріляли, оскільки з’ясувалося, що співробітники компанії допомагали місцевому уряду у шпигунстві.
У вересні платформи цифрового кредитування в Кенії зазнали ретельної перевірки, оскільки увігнали в ще більші борги тисячі користувачів, продаючи їх дані.
Напередодні виборів 2018 року уряд Хун Сена в Камбоджі вжив жорстких заходів проти свободи слова. Результатом стало екстремальне онлайн-спостереження, коли весь інтернет-трафік проходив через державний центр управління даними. Людей заарештовували і навіть притягали до відповідальності за висловлення своєї думки.
Про захист особистих даних повинні турбуватися користувачі
Виробники смартфонів зобов’язані захищати своїх клієнтів. Дешевизна пристроїв не повинна означати втрати доступу до основних прав.

Проте все більше досліджень показують, що компанії не здатні убезпечити свої дані — особливо коли йдеться про хмарні сховища. Бізнес, у тому числі такий великий, як Microsoft, все ще порушує Загальні правила захисту даних (GDPR) — закон про збір даних Євросоюзу, який набув чинності 2018 року.

Якщо компанії не виконують ці вимоги, уряд має втрутитися та діяти на користь громадян, які в такій ситуації почуваються безпорадними.

Закони про захист даних “не заходять досить далеко”

Едвард Сноуден – людина, яка розкрила секретні документи Агентства національної безпеки у 2013 році. У недавньому інтерв’ю Forbes він заявив, що міжнародні закони, покликані захистити громадян від збирання та зберігання їхніх даних у приватних компаніях, “не заходять досить далеко”.

“Якщо ви створюєте незламну владу, незалежно від того, кому вона належить, питання полягає в тому, як ми можемо контролювати прояви цієї влади, коли вона використовується проти суспільства, а не в його інтересах?” – сказав Сноуден.