Špijunske aplikacije za pametne telefone koje omogućavaju ljudima da špijuniraju jedni druge ne samo da je teško primetiti i otkriti, već će lako procuriti i osetljive lične podatke koje prikupljaju, kaže tim kompjuterskih naučnika iz Njujorka i San Dijega.
Iako se javno reklamiraju kao alati za praćenje maloletne dece i zaposlenih koji koriste opremu svog poslodavca, aplikacije za špijunski softver takođe često koriste zlostavljači da prikriveno špijuniraju supružnika ili partnera.
Ove aplikacije zahtevaju malo ili nimalo tehničkog znanja od zlostavljača; ponuditi detaljna uputstva za instalaciju; i potreban je samo privremeni pristup uređaju žrtve. Nakon instalacije, oni tajno snimaju aktivnosti na uređaju žrtve — uključujući sve tekstualne poruke, e-poštu, fotografije ili glasovne pozive — i dozvoljavaju zlostavljačima da daljinski pregledaju ove informacije preko veb portala.
Špijunski softver postaje sve ozbiljniji problem. U jednoj nedavnoj studiji Norton Labs-a, broj uređaja sa špijunskim aplikacijama u Sjedinjenim Državama porastao je za 63% između septembra 2020. i maja 2021. Sličan izveštaj kompanije Avast u Ujedinjenom Kraljevstvu zabeležio je zapanjujući porast upotrebe špijunskog softvera od 93%. aplikacije u sličnom periodu.
Ako želite da znate da li je vaš uređaj zaražen nekom od ovih aplikacija, trebalo bi da proverite kontrolnu tablu privatnosti i listu svih aplikacija u podešavanjima, kaže istraživački tim.
„Ovo je problem iz stvarnog života i želimo da podignemo svest za sve, od žrtava do istraživačke zajednice“, rekao je Enze Aleks Liu, prvi autor rada Bez privatnosti među špijunima: Procena funkcionalnosti i nesigurnosti potrošačkog Android špijunskog softvera Aplikacije i kompjuterske nauke dr. student na Kalifornijskom univerzitetu u San Dijegu.
Liu i istraživački tim će predstaviti svoj rad na simpozijumu o tehnologijama za poboljšanje privatnosti u leto 2023. u Švajcarskoj.
Istraživači su izvršili detaljnu tehničku analizu 14 vodećih špijunskih aplikacija za Android telefone. Iako Google ne dozvoljava prodaju takvih aplikacija u svojoj Google Plai prodavnici aplikacija, Android telefoni obično dozvoljavaju da se takve invazivne aplikacije preuzmu odvojeno putem Veba. iPhone, u poređenju, ne dozvoljava takvo „bočno učitavanje“ i stoga su aplikacije za špijunski softver za potrošače na ovoj platformi obično daleko ograničenije i manje invazivne u mogućnostima.
Špijunske aplikacije se potajno pokreću na uređaju, najčešće bez svesti vlasnika uređaja. Oni prikupljaju niz osetljivih informacija kao što su lokacija, tekstovi i pozivi, kao i audio i video. Neke aplikacije čak mogu da strimuju audio i video uživo. Sve ove informacije se dostavljaju nasilniku preko internet portala za špijunski softver.
Špijunske aplikacije se prodaju direktno široj javnosti i relativno su jeftine – obično između 30 i 100 dolara mesečno. Lako se instaliraju na pametni telefon i ne zahtevaju specijalizovano znanje za primenu ili rad. Ali korisnici moraju da imaju privremeni fizički pristup uređaju svog cilja i mogućnost da instaliraju aplikacije koje nisu u unapred odobrenim prodavnicama aplikacija.
Istraživači su otkrili da aplikacije za špijunski softver koriste širok spektar tehnika za tajno snimanje podataka. Na primer, jedna aplikacija koristi nevidljivi pretraživač koji može da strimuje video uživo sa kamere uređaja na server za špijunski softver. Aplikacije takođe mogu da snimaju telefonske pozive preko mikrofona uređaja, ponekad aktivirajući funkciju zvučnika u nadi da će uhvatiti i ono što sagovornici govore.
Nekoliko aplikacija takođe koristi funkcije pristupačnosti na pametnim telefonima, dizajnirane da čitaju ono što se pojavljuje na ekranu za korisnike sa oštećenim vidom. Na Android-u, ove funkcije efektivno omogućavaju špijunskom softveru da snima pritiske tastera, na primer.
Istraživači su takođe pronašli nekoliko metoda koje aplikacije koriste da bi se sakrile na uređaju mete.
Na primer, aplikacije mogu da navedu da se ne pojavljuju na traci za pokretanje kada se prvobitno otvore. Ikone aplikacija se takođe maskiraju kao „Vi-Fi“ ili „Internet usluga“.
Četiri špijunske aplikacije prihvataju komande putem SMS poruka. Dve aplikacije koje su istraživači analizirali nisu proveravale da li je tekstualna poruka stigla od njihovog klijenta i svejedno su izvršile komande. Jedna aplikacija bi čak mogla da izvrši komandu koja može daljinski da obriše telefon žrtve.
Istraživači su takođe istraživali koliko ozbiljno špijunske aplikacije štite osetljive korisničke podatke koje su prikupili. Kratak odgovor je: ne baš ozbiljno. Nekoliko špijunskih aplikacija koristi nešifrovane komunikacione kanale za prenos podataka koje prikupljaju, kao što su fotografije, tekstovi i lokacija. Samo četiri od 14 istraživača su to uradili. Ti podaci takođe uključuju akreditive za prijavu osobe koja je kupila aplikaciju. Sve ove informacije neko drugi može lako prikupiti preko ViFi-a.
U većini aplikacija koje su istraživači analizirali, isti podaci se čuvaju na javnim URL-ovima dostupnim svima koji imaju vezu. Pored toga, u nekim slučajevima, korisnički podaci se čuvaju u predvidljivim URL-ovima koji omogućavaju pristup podacima na nekoliko naloga jednostavnim promenom nekoliko znakova u URL-ovima. U jednom slučaju, istraživači su identifikovali slabost u autentifikaciji u jednoj vodećoj usluzi špijunskog softvera koja bi omogućila pristup svim podacima za svaki nalog bilo kojoj strani.
Štaviše, mnoge od ovih aplikacija zadržavaju osetljive podatke bez ugovora sa klijentom ili nakon što je klijent prestao da ih koristi. Četiri od 14 proučavanih aplikacija ne brišu podatke sa špijunskih servera čak i ako je korisnik izbrisao svoj nalog ili je licenca aplikacije istekla. Jedna aplikacija snima podatke od žrtve tokom besplatnog probnog perioda, ali ih čini dostupnim nasilniku tek nakon što plati pretplatu. A ako nasilnik ne dobije pretplatu, aplikacija ionako čuva podatke.
„Naša preporuka je da Android treba da nametne strože zahteve o tome koje aplikacije mogu da sakriju ikone“, pišu istraživači. „Većina aplikacija koje rade na Android telefonima treba da imaju ikonu koja bi se pojavila na traci za pokretanje.“
Istraživači su takođe otkrili da se mnoge aplikacije za špijunski softver odupiru pokušajima da ih deinstaliraju. Neki su se takođe automatski ponovo pokrenuli nakon što ih je Android sistem zaustavio ili nakon ponovnog pokretanja uređaja. „Preporučujemo da dodate kontrolnu tablu za praćenje aplikacija koje će se automatski pokrenuti“, pišu istraživači.
Za borbu protiv špijunskog softvera, Android uređaji koriste različite metode, uključujući vidljivi indikator za korisnika koji se ne može odbaciti dok aplikacija koristi mikrofon ili kameru. Ali ove metode mogu biti neuspešne iz različitih razloga. Na primer, legitimna upotreba uređaja takođe može da aktivira indikator za mikrofon ili kameru.
„Umesto toga, preporučujemo da se sve radnje za pristup osetljivim podacima dodaju na kontrolnu tablu privatnosti i da se korisnici periodično obaveštavaju o postojanju aplikacija sa prevelikim brojem dozvola“, pišu istraživači.
Istraživači su otkrili sve svoje nalaze svim prodavcima aplikacija koje su pogođene. Niko nije odgovorio na obelodanjivanje do datuma objavljivanja lista.
Da bi izbegli zloupotrebu koda koji su razvili, istraživači će svoj rad učiniti dostupnim samo na zahtjev korisnicima koji mogu da pokažu da ga imaju legitimnu upotrebu.
Budući rad će se nastaviti na Univerzitetu u Njujorku, u grupi vanrednog profesora Dejmona Mekoja, koji je dr UC San Dijego. alumnus. Čini se da su mnoge aplikacije za špijunski softver razvijene u Kini i Brazilu, tako da je potrebno dalje proučavanje lanca snabdevanja koji im omogućava da se instaliraju van ovih zemalja.
„Svi ovi izazovi ističu potrebu za kreativnijim, raznovrsnijim i sveobuhvatnijim skupom intervencija industrije, vlade i istraživačke zajednice“, pišu istraživači. „Iako tehnička odbrana može biti deo rešenja, obim problema je mnogo veći. Trebalo bi razmotriti širi spektar mera, uključujući platne intervencije kompanija kao što su Visa i Paipal, redovne akcije vlade i dalje mere za sprovođenje zakona. takođe biti neophodan kako bi se sprečilo da nadzor postane potrošačka roba.“
