Второго мая компании Apple и Google сообщили о разработке стандарта, который позволит снизить риски неправомерного использования геометок. Брелки с возможностью геолокации выпускаются уже лет десять, но вопросы приватности, связанные с этими устройствами, стали активно обсуждаться только после того, как Apple представила свои метки AirTag в апреле 2021 года. Эти штуки бесценны, когда нужно найти потерявшиеся дома ключи или отследить чемодан, уехавший в неизвестном направлении после авиаперелета. Но, к сожалению, из-за них у злоумышленников появился новый простой способ слежки за людьми.
AirTag может подключаться к любым устройствам Apple в зоне видимости и передавать владельцу свои координаты, даже если он находится за сотни километров. Эти теги уже использовали для раскрытия адреса секретного государственного агентства в Германии, для угона дорогих автомобилей, да и просто для преследования людей. Есть случай убийства, произошедшего после того, как местоположение жертвы было установлено с помощью AirTag. Практически сразу после выпуска устройств Apple выкатила фичу, позволяющую определить, что вам подбросили AirTag без вашего ведома. Проблема в том, что для определения меток Apple вам нужен iPhone либо специальное приложение для Android. Новая спецификация пытается сделать функцию определения «жучков» универсальной.
В заявлениях Apple и Google практически нет конкретики. Обе компании говорят о необходимости соблюдать приватность пользователей. Сообщается также о том, что спецификацию, находящуюся на стадии обсуждения, поддержали и другие производители похожих устройств: Samsung, Tile, Chipolo, eufy Security и Pebblebee. Технические детали можно взять напрямую из документа, он находится в открытом доступе.
В спецификации вводятся необходимые определения — например, что геометку стоит считать «подброшенной», если она находится вдали от владельца более получаса (владелец метки в плохом сценарии — тот, кто устраивает слежку). Предлагается, что геометки будут передавать в эфир по протоколу Bluetooth LE открытое сообщение, сигнализирующее о том, что владелец «жучка» получает информацию о его местоположении. Или получал как минимум в течение последних 24 часов. Также вводится отдельная категория устройств-геометок, чтобы отличить их от всех остальных устройств, вещающих по протоколу Bluetooth. Наконец, вводится функциональность, позволяющая обнаружить подброшенную метку. То, что сейчас доступно только владельцу геометки, в теории сможет сделать владелец любого смартфона, если метка длительное время находится рядом с ним. Например, включить на ней звуковой сигнал. В геометку также будет записана обфусцированная информация о владельце, личность которого при необходимости смогут установить правоохранительные органы.
Когда данный стандарт будет внедрен повсеместно, обнаруживать непрошеную слежку станет гораздо проще. Это оградит потенциальных жертв от «простого» шпионажа, когда по сути любой человек без каких-либо технических знаний может получить доступ к их местоположению. От более сложных случаев это вряд ли спасет: можно предположить, что прошивку устройств наподобие AirTag попытаются видоизменить так, чтобы сделать их «невидимыми».
Есть и немного другой взгляд на приватность, связанный в целом с повсеместным внедрением технологий Bluetooth LE и UWB. Издание The Register напоминает про прошлогоднюю научную работу, которая показывала возможность идентификации человека при помощи устройств, которые он носит с собой. Вот один факт из этой работы: технологии BLE и UWB продолжают работать в айфонах даже после выключения питания устройства (подробно это описано здесь). Эти особенности также могут использоваться для слежки, просто такой метод доступен не всем, а только организациям с необходимыми для этого ресурсами.
Что еще произошло:
Залогиниться в учетку Google теперь можно без пароля. Фича логина с использованием так называемого парольного ключа (passkey) уже какое-то время была доступна в качестве дополнительного средства аутентификации, но теперь вход по паролю можно в принципе выключить. Метод логина уже применяется в ряде других сервисов: свою личность нужно подтвердить на смартфоне, авторизовавшись по ПИН-коду, отпечатку пальца или другим подобным способом.
Издание Bleeping Computer сообщает об активной эксплуатации уязвимости в промышленных системах видеонаблюдения TBK DVR. Критическую уязвимость обнаружили еще в 2018 году, и с тех пор так и не закрыли — для нее доступен публичный эксплойт. С ее помощью можно обойти систему авторизации, соответственно в зоне риска оказываются устройства, веб-интерфейс которых доступен из Интернета. Причем взломщики получают доступ не только к видеозаписям камер наблюдения, но и, с высокой вероятностью, к локальной сети предприятия.
Производитель квадрокоптеров Orqa сообщил о возможном саботаже со стороны субподрядчика. По утверждению представителей компании, сторонняя компания внедрила вредоносный код в прошивку очков виртуальной реальности для управления квадрокоптером. Код сработал с задержкой и привел к «окирпичиванию» устройств — они были переведены в режим аварийной загрузки.
Эксперты «Лаборатории Касперского» рассказывают о новом типе «подписочных» троянских программ — тех, что без вашего ведома оформляют на пользователей платные услуги сотовых операторов. Троян внедряется в приложения, доступные в магазине Google Play. Всего эксперты нашли 11 таких программ с довеском, в общей сложности установленные более 600 тысяч раз.
Еще одна интересная статья рассказывает об эксперименте по использованию ChatGPT для проверки ссылок на фишинг. Всего чат-боту «скормили» более 5000 URL, из которых примерно половина были фишинговыми. ChatGPT правильно определил 87,2% ссылок и некорректно посчитал фишинговыми 23,2% безвредных URL. Если не спрашивать ChatGPT напрямую про фишинг, а просто интересоваться, безопасна ли конкретная URL, процент детектирования возрастает до 93,8%. Но, увы, при этом уровень ложноположительных срабатываний также поднимается до непотребных 64,3%.
AirTag может подключаться к любым устройствам Apple в зоне видимости и передавать владельцу свои координаты, даже если он находится за сотни километров. Эти теги уже использовали для раскрытия адреса секретного государственного агентства в Германии, для угона дорогих автомобилей, да и просто для преследования людей. Есть случай убийства, произошедшего после того, как местоположение жертвы было установлено с помощью AirTag. Практически сразу после выпуска устройств Apple выкатила фичу, позволяющую определить, что вам подбросили AirTag без вашего ведома. Проблема в том, что для определения меток Apple вам нужен iPhone либо специальное приложение для Android. Новая спецификация пытается сделать функцию определения «жучков» универсальной.
В заявлениях Apple и Google практически нет конкретики. Обе компании говорят о необходимости соблюдать приватность пользователей. Сообщается также о том, что спецификацию, находящуюся на стадии обсуждения, поддержали и другие производители похожих устройств: Samsung, Tile, Chipolo, eufy Security и Pebblebee. Технические детали можно взять напрямую из документа, он находится в открытом доступе.
В спецификации вводятся необходимые определения — например, что геометку стоит считать «подброшенной», если она находится вдали от владельца более получаса (владелец метки в плохом сценарии — тот, кто устраивает слежку). Предлагается, что геометки будут передавать в эфир по протоколу Bluetooth LE открытое сообщение, сигнализирующее о том, что владелец «жучка» получает информацию о его местоположении. Или получал как минимум в течение последних 24 часов. Также вводится отдельная категория устройств-геометок, чтобы отличить их от всех остальных устройств, вещающих по протоколу Bluetooth. Наконец, вводится функциональность, позволяющая обнаружить подброшенную метку. То, что сейчас доступно только владельцу геометки, в теории сможет сделать владелец любого смартфона, если метка длительное время находится рядом с ним. Например, включить на ней звуковой сигнал. В геометку также будет записана обфусцированная информация о владельце, личность которого при необходимости смогут установить правоохранительные органы.
Когда данный стандарт будет внедрен повсеместно, обнаруживать непрошеную слежку станет гораздо проще. Это оградит потенциальных жертв от «простого» шпионажа, когда по сути любой человек без каких-либо технических знаний может получить доступ к их местоположению. От более сложных случаев это вряд ли спасет: можно предположить, что прошивку устройств наподобие AirTag попытаются видоизменить так, чтобы сделать их «невидимыми».
Есть и немного другой взгляд на приватность, связанный в целом с повсеместным внедрением технологий Bluetooth LE и UWB. Издание The Register напоминает про прошлогоднюю научную работу, которая показывала возможность идентификации человека при помощи устройств, которые он носит с собой. Вот один факт из этой работы: технологии BLE и UWB продолжают работать в айфонах даже после выключения питания устройства (подробно это описано здесь). Эти особенности также могут использоваться для слежки, просто такой метод доступен не всем, а только организациям с необходимыми для этого ресурсами.
Что еще произошло:
Залогиниться в учетку Google теперь можно без пароля. Фича логина с использованием так называемого парольного ключа (passkey) уже какое-то время была доступна в качестве дополнительного средства аутентификации, но теперь вход по паролю можно в принципе выключить. Метод логина уже применяется в ряде других сервисов: свою личность нужно подтвердить на смартфоне, авторизовавшись по ПИН-коду, отпечатку пальца или другим подобным способом.
Издание Bleeping Computer сообщает об активной эксплуатации уязвимости в промышленных системах видеонаблюдения TBK DVR. Критическую уязвимость обнаружили еще в 2018 году, и с тех пор так и не закрыли — для нее доступен публичный эксплойт. С ее помощью можно обойти систему авторизации, соответственно в зоне риска оказываются устройства, веб-интерфейс которых доступен из Интернета. Причем взломщики получают доступ не только к видеозаписям камер наблюдения, но и, с высокой вероятностью, к локальной сети предприятия.
Производитель квадрокоптеров Orqa сообщил о возможном саботаже со стороны субподрядчика. По утверждению представителей компании, сторонняя компания внедрила вредоносный код в прошивку очков виртуальной реальности для управления квадрокоптером. Код сработал с задержкой и привел к «окирпичиванию» устройств — они были переведены в режим аварийной загрузки.
Эксперты «Лаборатории Касперского» рассказывают о новом типе «подписочных» троянских программ — тех, что без вашего ведома оформляют на пользователей платные услуги сотовых операторов. Троян внедряется в приложения, доступные в магазине Google Play. Всего эксперты нашли 11 таких программ с довеском, в общей сложности установленные более 600 тысяч раз.
Еще одна интересная статья рассказывает об эксперименте по использованию ChatGPT для проверки ссылок на фишинг. Всего чат-боту «скормили» более 5000 URL, из которых примерно половина были фишинговыми. ChatGPT правильно определил 87,2% ссылок и некорректно посчитал фишинговыми 23,2% безвредных URL. Если не спрашивать ChatGPT напрямую про фишинг, а просто интересоваться, безопасна ли конкретная URL, процент детектирования возрастает до 93,8%. Но, увы, при этом уровень ложноположительных срабатываний также поднимается до непотребных 64,3%.