技術通天塔

安全专家刚刚发现两个巨大的智能手机隐私问题

苹果 iPhone 15 Pro Max 的摄像头模块。
苹果 iPhone 15 Pro Max Andy Boxall / 数字趋势

对于智能手机用户的隐私和安全而言,这是令人震惊的一周。具体来说,两项调查揭示了有关智能手机广告和 iOS 通知系统的令人不安的隐私问题。

第一个是404 Media的深入调查,发现一家名为 Patternz 的公司正在将智能手机上的广告投放系统武器化,通过应用程序提取信息,然后将其发送给投标人。

该报告将 Patternz 描述为“一种秘密间谍工具,可以通过广告行业跟踪数十亿的手机配置文件。” Patternz 使用 9Gag 等流行应用程序和一堆流行来电显示应用程序中的管道来完成其邪恶工作。 据报道,Patternz 告诉其客户,它几乎可以监控任何能够运行广告的应用程序。

该公司首席执行官表示,一旦部署了覆盖超过 50 万个应用程序的工具,手机就会变成“事实上的跟踪手环”。根据一份令人震惊的研究论文,它对超过 50 亿的用户进行了分析,并利用实时竞价 (RTB) 市场向客户兜售信息。无论您使用 iPhone 还是 Android 手机,这都会影响您。

Patternz 背后的监控公司 ISA 从 Google 和 X(以前称为 Twitter)等 RTB 参与者收集这些数据。它出售的数据集可以包括任何内容,从精确到米内的人的高度特定位置到他们的运动模式的历史记录,甚至他们正在会见的人。

庞大的监控网

人们站在手机屏幕上的插图
使用 Dall-E 2 / Digital Trend 生成

此类工具的存在也引发了人们对苹果大力推广的应用程序跟踪透明度功能的效率的质疑,该功能旨在减少此类广告跟踪。

网络安全专家表示,此类工具可以实现政府监控,ISA 等公司已经在向国家安全机构宣传其服务。这并非巧合。

美国国家安全局局长承认,美国国家安全局绕过搜查令,从数据经纪人处购买美国人的网络浏览数据。

这一爆炸性消息的确认是在参议员罗恩·怀登(D-OR)搁置对美国国家安全局即将上任的局长蒂莫西·豪的提名,并要求就该机构收集美国人位置和互联网数据的做法做出答复之后做出的。

怀登三年来一直试图揭露国家安全局购买美国人的互联网记录,他于 12 月 11 日收到了现任国家安全局局长保罗·中曾根 (Paul Nakasone) 的一封信,确认了这些购买行为。 路透社首先报道了这封信的详细信息。

通知可能是恶意的

象牙应用程序通知选项卡
Christine Romero-Chan / 数字趋势

但广告只是问题的一半。 Mysk 的另一项调查显示,不良行为者正在利用iPhone 上的推送通知来收集用于诊断和定制数据传输的关键数据。

每当应用程序收到推送通知时,iOS 都会短暂唤醒它,在向用户显示通知之前给它一个短暂的窗口来个性化通知。毫不奇怪,各种因其侵入性数据收集习惯而臭名昭著的社交应用程序正在利用推送通知提供的后台运行时。

开发人员可以巧妙地利用此漏洞,只需发送推送通知即可随时在后台执行代码。许多应用程序正在使用此功能在后台运行时秘密发送全面的设备数据,从而有效地运行指纹设备系统。

该安全公司表示:“许多应用程序在被通知触发后发送设备信息的频率令人震惊。”这项调查甚至在 Facebook、TikTok 和 LinkedIn 等广受欢迎的平台上也发现了可疑行为。

专家有何评论?

一个女人看手机的插图
使用 Dall-E 2 / Digital Trend 生成

解决这个问题的唯一方法是什么?禁用通知。

全球网络安全公司趋势科技首席执行官乔恩·克莱 (Jon Clay) 告诉 Digital Trends:“最近,攻击者试图使用弹出式通知和广告来诱使受害者在其设备上安装间谍软件。”

那么,普通人可以做什么来避免这种可以传输位置和本地数据等识别详细信息的非法监视呢?克莱说:“许多人被引导相信移动设备本身是安全的。”他指出,安装广告拦截器可能会提供某种形式的安全网或专用安全应用程序。

Appdome 安全产品副总裁 Alan Bavosa 表示:“这种性质的攻击非常阴险且极其令人担忧。”他指出,面对此类攻击,用户通常处于手无寸铁的境地,因为他们一开始并不知道自己的设备上发生了什么。

“用户可以做一些小事情来避免让事情变得更糟,比如从标准应用程序商店下载应用程序并且不更改(越狱或生根)他们的设备,”巴沃萨告诉我们。 “但这些措施是附加性的,而不是治疗性的。”

一个人拿着 Apple iPhone 15 Plus 和 Apple iPhone 15 Pro Max。
苹果 iPhone 15 Pro Max(左)和苹果 iPhone 15 Plus Andy Boxall / Digital Trends

不幸的是,责任似乎最终落在了用户身上,而这也是一种预防措施。网络安全专家的一个常见建议是手动深入设置应用程序并禁用某些应用程序的通知应用程序,也可能禁用设备传感器。

Resecurity 首席运营官 Shawn Loveland 表示:“一些广告软件和间谍软件可能是由不良行为者在合法应用程序的掩护下在官方市场上发布的。” “建议不要安装随机应用程序或您并不真正需要的应用程序。”

尽管不良行为者已经找到了解决方法,但要求应用程序不要跟踪 iPhone 上的用户活动是一个谨慎的步骤。 “定期检查应用程序的权限是个好主意,特别是那些与位置和麦克风访问相关的权限,并禁用任何不需要的权限,”安全公司 MSP Blueshift 联合创始人 John Chapman 建议。

今年晚些时候,苹果公司将要求开发者明确解释为什么他们需要访问 iPhone 上的推送通知和相关诊断系统,因此一些缓刑将会到来。它不会一次性解决所有问题,但至少是一个不错的开始。

Posted

in

by

技術新聞普遍器

Tags: