Smartfon z dostępem do duszy
Jak sprawdzić, co wie o nas smartfon, i jak pozbawić go tej wiedzy
„Dane osobiste to ropa naftowa XXI w., zasób warty miliardy dla tych, którzy umieją go wydobywać i obrabiać” – czytamy w „New York Timesie”. Dziennikarze dziennika ujawnili, że Facebook przekazywał innym koncernom technologicznym więcej danych, niż przyznawał. Niektórzy z jego partnerów mieli ponoć wgląd nawet do wiadomości użytkowników.
Trzymając się powyższej metafory, można stwierdzić, że nieodpowiednio ustawiony smartfon jest pompą dostarczającą ropę do rafinerii. To tekst dla tych, którzy w ramach noworocznych postanowień chcą zabezpieczyć swój smartfon przed hakerami albo przeanalizować, ile „ropy” pompują, a więc ile tak naprawdę płacą za darmowe usługi internetowe. Innymi słowy, robimy przegląd techniczny w naszej osobistej platformie wiertniczej.
Ofiary i towary. Smartfony ułatwiają życie, ale w zamian nas szpiegują
Użytkownicy smartfonów muszą się bronić nie tylko przed „czarnymi charakterami” internetu, lecz także przed reklamodawcami i usługodawcami, którzy najchętniej skorzystaliby z każdego pakietu naszych danych, prosząc tu i ówdzie o zgody na dobrowolne ich udostępnienie.
Smartfon stał się wynalazkiem powszechnym. W szale przedświątecznych zakupów to produkt podsuwany chętnie przez duże sieci marketów i operatorów komórkowych. Tylko w trzecim kwartale 2018 r. klienci na całym świecie kupili 355,2 mln smartfonów – jak wynika z danych firmy badawczej IDC. To głównie urządzenia trzech marek: Samsung, Huawei i Apple. Smartfony ułatwiają nam życie, ale mogą być też „szpiegami”. Co gorsza, często na nasze własne życzenie.
Czytaj także: Śledzenie użytkowników w pakiecie z darmowymi serwisami?
Szczera prawda. Kto, po co i jakie nasze dane gromadzi
– Niestety skonfigurowanie smartfona w taki sposób, aby zbierał o użytkowniku tylko niezbędne dane, nie jest możliwe bez bardzo dużego wysiłku. Jeśli ktoś naprawdę chce zadbać o swoją prywatność, to nie powinien używać smartfona w ogóle. Użytkownik jest „szpiegowany” z wielu stron – przez operatora infrastruktury telefonii komórkowej, producenta urządzeń – ale informacje na jego temat zbierają także system operacyjny i wreszcie aplikacje – mówi pragnący zachować anonimowość członek zespołu bezpieczeństwa niebezpiecznik.pl. To nie tylko znany portal internetowy ostrzegający przed zagrożeniami, ale też firma zajmująca się włamywaniem na serwery innych firm za ich zgodą w celu namierzenia błędów w infrastrukturze teleinformatycznej, zanim zrobią to prawdziwi włamywacze.
Tacy hakerzy to „białe kapelusze” – w odróżnieniu od „czarnych kapeluszy” działających poza prawem. Biali szukają luk i haków i ostrzegają przed pazernością dostawców różnego rodzaju usług. Nasze dane są paliwem napędzającym ich machiny biznesowe.
– Największą chrapkę na nasze dane mają reklamodawcy. Tak naprawdę użytkowników smartfonów nie inwigiluje się po to, żeby poznać pikantne szczegóły ich życia, bo przecież nikogo Kowalski nie interesuje, ale po to, żeby jak najwięcej zarobić na reklamach, które są do Kowalskiego kierowane. Sprofilowane reklamy są lepsze i cenniejsze, więc konieczne jest pozyskanie wiedzy o użytkownikach – tłumaczy ekspert z niebezpiecznik.pl.
Potentatami na rynku reklamy internetowej są dwa koncerny – Google, a właściwie Alphabet (taką nazwę ma od kilku lat konglomerat), i Facebook, czyli właściciel największego portalu społecznościowego na świecie, z którego korzysta ponad 2 mld osób. Agencja GroupM, czołowa grupa mediowa należąca do reklamowego potentata WPP, obliczyła, że w 2017 r. aż 84 proc. globalnych wydatków na reklamę w internecie trafiło właśnie do Facebooka i Google. Nie zliczono chińskiego rynku, który rządzi się swoimi prawami.
– Same smartfony nie zbierają o nas zbyt wielu informacji, ale robią to systemy operacyjne, aplikacje i inteligentni asystenci, którzy tworzą kalendarze, planują czas, umawiają spotkania i szukają informacji. Dla korporacji mogą być to dane niezwykle istotne, gdyż pozwalają stworzyć nasz profil i dopasować do nas ofertę – mówi dr Artur Modliński, wykładowca Uniwersytetu Łódzkiego specjalizujący się w badaniu oprogramowania korzystającego ze sztucznej inteligencji.
Czytaj także: Targetowana reklama to nadal czarna skrzynka
Nie chodzi oczywiście o to, że jakiś pracownik tej czy innej firmy technologicznej siedzi za biurkiem i przegląda dane z cyfrowego kalendarza, śledzi restauracje, w których się pojawiliśmy, czy zapisuje na kartce, co sprawdzaliśmy w wyszukiwarce mobilnej w czasie służbowego wyjazdu. – Naszymi danymi karmione są różnego rodzaju algorytmy, modele maszynowego uczenia i programy wykorzystujące sztuczną inteligencję, które służą do ulepszania usług. Prawdę mówiąc, nie jest to takie złe, a nawet może być dla nas korzystne, bo ulepszane są dzięki temu usługi, z których korzystamy – tłumaczy Anna Rymsza, redaktorka portalu dobreprogramy.pl.
Zdradzamy więc szczegóły swojego życia dla wygody. Smartfony nie są tylko urządzeniami służącymi do telefonowania czy esemesowania. Stały się centrum rozrywki. Coraz lepsze aparaty robią coraz lepsze zdjęcia, ale gdzieś to wszystko trzeba przechowywać. W sklepach z aplikacjami znajdziemy programy dosłownie do wszystkiego, nierzadko za darmo albo po niskiej cenie. Nie płacimy pieniędzmi, ale danymi, czyli właśnie „ropą naftową XXI w.”. Dotyczy to różnych usług – od poczty internetowej, przez nawigację, na portalach społecznościowych i komunikatorach kończąc.
Rozpakować i co dalej? Czego żądają od nas aplikacje
Przyjmijmy jednak, że decydujemy się na taką transakcję. Zapraszamy firmy technologiczne do swojego życia, domu, pracy, pozwalamy śledzić nasze ścieżki, upodobania, a nawet życie rodzinne i zwyczaje, nawet te najintymniejsze. Nie chcemy też rezygnować z milionów możliwości oferowanych przez aplikacje. Jak nie dać się całkowicie ograć przy stole negocjacyjnym?
– Zawsze należy weryfikować uprawnienia, jakich żąda instalowana przez nas aplikacja. Żądanie dostępu do wiadomości SMS oraz zdjęć przez aplikację o funkcjonalności np. latarki powinno wzbudzić naszą czujność. Taki program może być kontrolowany przez cyberprzestępców i roztropniej będzie zatrzymać instalację – radzi Kamil Sadkowski, analityk zagrożeń w firmie produkującej oprogramowanie antywirusowe ESET.
Konieczne jest odpowiednie skonfigurowanie nowego urządzenia lub przemyślenie i przejrzenie wszystkich zgód w dotychczas używanym egzemplarzu. To zajęcie wymagające skupienia, bo producenci aplikacji nierzadko liczą na nasz pośpiech i siłę przyzwyczajenia, czyli klikanie z rozpędu. Po co aplikacji do robienia notatek dostęp do mikrofonu czy kamery? Nie zastanawiamy się i myślimy: nie znam się na technologii, więc pewnie jest to potrzebne.
Czytaj także: Apki nas uzależniają
– Trzeba wejść głęboko w ustawienia w smartfonie, żeby dokładnie przejrzeć, czy nie udzielamy zgody na coś, co może być niebezpieczne albo po prostu niepotrzebne. Proces odpowiedniej i mądrej konfiguracji jest skomplikowany, ale sam smartfon jest skomplikowany. Jeśli nie chcemy dać Google’owi czy innej firmie danych o naszej lokalizacji, to tych danych nie otrzymają, ale mogą je dostać przez jakąś inną aplikację wykorzystującą lokalizację – mówi Anna Rymsza.
Pozostaje więc żmudne klikanie w ustawienia poszczególnych aplikacji, a następnie sprawdzanie, czy są one nadal użyteczne mimo odebrania im części uprawnień. Jest też zestaw dobrych nawyków, o których każdy użytkownik smartfona powinien pamiętać ze względu na bezpieczeństwo i szacunek do swojej prywatności. Należy czytać opisy aplikacji, opinie innych użytkowników, komentarze w sieci, regulaminy, choć to przerażająco nudna czynność. Powinno się poznać systemowe zakamarki smartfona, zabezpieczyć go odciskiem palca lub skomplikowaną sekwencją liter i znaków i nie paradować z ekranem w miejscach, gdzie wokoło jest pełno kamer przemysłowych. Nie należy ściągać niepotrzebnych programów z nieznanych źródeł ani logować się do aplikacji przy wykorzystaniu kont w portalach społecznościowych. Wchodząc do wirtualnego sklepu z aplikacjami, trzeba włączyć w swoim mózgu ikonkę czujności, która jest dosłownie i w przenośni na wagę złota.
Czytaj także: Google śledzi lokalizację naszych telefonów, nawet jeśli ją wyłączyliśmy?
Jabłko czy ludzik? Czyli kto jest lepiej zabezpieczony: Google czy Apple
W sferze podatności na ataki, wycieki i pożeranie danych nie ma lepszych i gorszych. Na rynku smartfonów dominują Google, właściciel systemu operacyjnego Android z logo z ludzikiem przypominającym robota, który znajdziemy w smartfonach takich producentów jak Samsung, LG czy Huawei, i Apple z systemem iOS instalowanym na iPhone’ach. Aplikacje żerujące na naszych danych i wykorzystujące je do zarabiania są oczywiście dostępne w obu systemach. Teoretycznie lepiej zabezpieczony jest iOS.
– System Apple jest bezpieczniejszy dla użytkowników, którzy nie są zbyt zaznajomieni z tematami oprogramowania i zabezpieczeń. Bezpieczeństwo wynika z faktu, że to system zamknięty i nie pozwala programistom na tak wiele jak Android. To oczywiście zarówno zaleta, jak i wada – mówi Łukasz Pająk, redaktor prowadzący portalu android.com.pl, największego polskiego serwisu poświęconego systemowi od Google.
Sklep AppStore należący do Apple został uruchomiony w 2008 r. i na początku oferował zaledwie 500 aplikacji. Teraz to grubo ponad 2 mln. Właściciel Androida ma sklep o nazwie Google Play, w którym dostępnych jest jeszcze więcej aplikacji.
– Autorzy aplikacji, wysyłając swoje produkty do Apple z prośbą o umieszczenie w oficjalnym sklepie, muszą dostarczyć kod źródłowy. Następnie programiści i specjaliści koncernu zajmujący się bezpieczeństwem sprawdzają nie tylko, jak ta aplikacja działa, ale „grzebią” w środku, szukając zaszytych mechanizmów, które np. mogłyby wykraść loginy i hasła użytkowników – tłumaczy Tomasz Wyka, założyciel i właściciel serwisu myapple.pl, lidera wśród portali poświęconych produktom z Cupertino.
Nie chodzi tylko o świadomość, co kto o nas wie i jak nas śledzi w celach marketingowych. Hakerzy tworzą aplikacje przejmujące kontrolę nad aparatem w smartfonie, dzięki czemu zyskują podgląd użytkownika i otoczenia bez jego wiedzy (jedynym symptomem może być nagrzewający się smartfon), albo dzięki ściągniętej aplikacji klawiaturowej pozyskują wpisywane loginy i hasła.
Czytaj także: Jak cyberprzestępcy mogą zaszkodzić... kolejarzom i pasażerom
Google Play usunął w 2017 r. ze swojego targowiska aż 700 tys. aplikacji. Google twierdzi, że 99 proc. z nich wykryto na etapie sita wstępnego, więc użytkownicy nawet ich nie zainstalowali. Nie znamy jeszcze danych za 2018 r., ale statystyki systematycznie rosną, bo lepsze jest sito, a większa pazerność przestępców.
Szkodliwe, złośliwe aplikacje próbują wyłudzić dane użytkowników, przejąć kontrolę nad smartfonami i używać ich do swoich celów, np. klikania w reklamy. Działają jak koń trojański, infekując urządzenie, lub pomagają w wyłudzeniach, wysyłając płatne esemesy.
Pod koniec listopada z Google Play wyrzucono 22 aplikacje, które łącznie zostały pobrane ponad 2 mln razy. Firma Sophos, która produkuje oprogramowanie antywirusowe, informowała, że aplikacje zawierały złośliwe oprogramowanie, które pozwalało im działać w tle i wyłudzać pieniądze od reklamodawców myślących, że użytkownicy rzeczywiście klikają w reklamy. Użytkownicy mieli zdestabilizowany system i szybciej wyczerpującą się baterię. Najpopularniejszą aplikacją z takim oprogramowaniem była zwykła, niewinna Sparkle Flashlight, zamieniająca smartfon w latarkę z wykorzystaniem lampy błyskowej aparatu.
Lukas Stefanko, jeden z ekspertów ESET, innej firmy z branży antywirusów, ostrzegł z kolei na Twitterze o 13 innych aplikacjach ze złośliwym oprogramowaniem, które zebrały 560 tys. ściągnięć, a dwie z nich przez pewien czas były nawet na liście „trending” sklepu. Tutaj na liście były dziwne gry, jak Luxury Car Parking, które nie działały, ale również buszowały w tle.
Takie buszowanie może wyczerpać baterię, ale i wykraść cenne dane. Wszystko zależy od tego, co zapisano w kodzie oprogramowania. Bywa, że ataki biorą na cel samych użytkowników. Tak było w sierpniu, gdy w sklepie Google pojawiła się fałszywa aplikacja banku BZ WBK, dzisiaj znanego jako Santander. Aplikacja była klonem tej prawdziwej i służyła do uzyskania od nieświadomych użytkowników danych potrzebnych do logowania w systemie bankowym.
Nie warto zresztą szukać pociechy w nieoficjalnych sklepach z aplikacjami. ESET informował w połowie grudnia, że pojawiła się tam aplikacja o nazwie Optimization Android, która teoretycznie miała poprawiać wydajność baterii, ale tak naprawdę potrafiła ominąć uwierzytelnianie transakcji i wyczyścić konto w PayPalu, popularnej aplikacji płatniczej. Użytkownik uruchamiał cały proces, zgadzając się na „włączenie statystyk”.
Nie tylko użytkownicy Androida są zagrożeni. Sklep Apple, choć zamknięty i szczelniejszy, nie jest w 100 proc. bezpieczny. Pod koniec roku głośno było o aplikacji Food Calories Detector, której autorzy namawiali użytkowników do robienia zdjęć swoich posiłków, a następnie przytrzymywania przez 10 sekund palca na przycisku Touch ID, który służy do uwierzytelniania operacji za pomocą skanu odcisku palców. W pewnym momencie na ekranie pojawiał się komunikat o koniecznej płatności sięgającej prawie 500 zł, także uwierzytelnianej odciskiem. Wystarczyło się zagapić w oczekiwaniu na magiczny werdykt kaloryczny. Apple szybko usunął aplikację, ale niesmak pozostał.
Czytaj także: Liczba ataków hakerskich rośnie lawinowo
Higiena (cyfrowa) ponad wszystko
Zachowanie odpowiedniej higieny użytkowania smartfonów może być zbawiennym postanowieniem, bo za pomocą tych urządzeń wykonujemy coraz więcej czynności. Sprawdza się zasada, że najciemniej jest pod latarnią.
– Najbezpieczniejsze jest zachowanie jak najczystszego systemu operacyjnego, a więc przejrzenie i uporządkowanie aplikacji. Jeśli instalujemy aplikacje na „łapu capu” lub oddajemy smartfon w ręce dziecka bez przygotowania zarówno urządzenia, jak i naszej pociechy, to wystawiamy się na cel. Najwięcej śmieci znajduje się w grach, bo hakerzy i nieuczciwi producenci aplikacji wiedzą, że dziecko jest najsłabszym ogniwem i jeśli chce zainstalować jakąś grę, to po prostu ją zainstaluje – przestrzega Mariusz Gąsiorek-Tatarski, ekspert ds. produktu i rozwiązań Samsung Electronics Polska.
Gąsiorek-Tatarski radzi, żeby przed zainstalowaniem aplikacji dla dziecka wnikliwie przejrzeć komentarze – w sklepie i sieci. Nadal trzeba być ostrożnym, bo opinie i recenzje są często fałszywe. Google chce się z tym rozprawić i wprowadza nowy filtr antyspamowy w sklepie. Naszej czujności nie powinien też usypiać fakt, że płacimy za aplikację, więc oczekujemy większej jakości. – Płatne aplikacje niekoniecznie są bezpieczniejsze, gdyż często opłaty są tylko rozszerzoną wersją bezpłatnej aplikacji i jej bezpieczeństwo nie zależy od „kosztów”. Trzeba jednak przyznać, że jeśli aplikacja ma tylko wersję płatną, istnieje prawdopodobieństwo, że jest bezpieczniejsza od wielu bezpłatnych – zauważa Mariusz Gąsiorek-Tatarski.
– Każda technologia ma „dziury”, ale jej twórcy regularnie je usuwają. Dlatego tak istotne jest częste aktualizowanie oprogramowania na każdym urządzeniu, z którego korzystamy, a zwłaszcza na tych, które podpinamy do internetu – dodaje nasz rozmówca z niebezpiecznik.pl.
Smartfony nie są też bardziej niebezpieczne od zwykłych komputerów PC. To po prostu nowsze urządzenia. Ponadto wiele ze znanych z pecetów zagrożeń starano się wyeliminować ze smartfonów, dzięki temu podczas instalacji nowego programu na smartfonie zobaczymy, do jakich naszych danych i czujników to urządzenie ma dostep.
Tak naprawdę zbieranie o nas danych można zakończyć tylko w jeden sposób – wyłączając smartfona naszpikowanego czujnikami. Taki detoks na pewno przyda się w nowym roku każdemu, choćby od czasu do czasu. Poza tym nie warto sprzedawać swojej duszy nawet za błogą wygodę.
Czytaj także: Jak nie zostać niewolnikiem własnego smartfona