Знайдено спосіб стеження за будь-яким користувачем Android
Помилка в сервісах Google дозволяє відстежувати пересування користувачів операційної системи Android. Як з’ясував фахівець Malwarebytes, для того, щоб «шпигувати» за близьким людина, зловмиснику не потрібні спеціальні знання, встановлювати спеціальне програмне забезпечення класу stalkerware також не буде потрібно.
«Шпигунство» силами Android
Компанія Malwarebytes, що спеціалізується на кібербезпеці, виявила спосіб відстеження переміщень власників смартфонів з операційною системою Android. Він хоч і вимагає фізичного доступу до гаджету жертви, але не передбачає встановлення будь-якого стороннього програмного забезпечення. «Шпигуни» за користувачем дозволяють сервіси Google, присутні на більшості сучасних Android-пристроїв.
Уразливість, яку з легкістю можна прийняти за особливість, абсолютно випадково виявив дослідник в області інформаційної безпеки Пітер Арнц (Pieter Arntz), коли допомагав своїй дружині встановити платний додаток на її смартфон. Для того, щоб оплатити покупку, він увійшов в власний обліковий запис Google на її мобільному телефоні. Переконавшись в тому, що після установки додаток працює коректно, він повернув пристрій дружині, забувши при цьому вийти з облікового запису.
Пізніше, переглядаючи розділ «Хронологія» (Timeline) у програмі «Карти Google» (Google Maps) вже на своєму девайсі, Арнц зауважив дивне: в історії його переміщень за день були відзначені місця, які він не відвідував, хоча і проходив неподалік. Спеціаліст тоді вирішив, що справа в неточності визначення місця розташування з боку Google, проте свої спостереження не припинив.
Через кілька днів він знову звернувся до «Хронології», і на цей раз результат виявився ще більш незвичним: в числі відвіданих місць були і такі, по сусідству з якими Арнц взагалі не з’являвся, зате їх відвідувала його дружина. Тут-то на Арнц і зійшло осяяння: сервіс Google видає історію пересування як його власну, так і його благовірної.
Непомітне стеження
Між тим з подружжя і не підозрювала, що за нею стежать. По-перше, при первинній налаштуванні телефону вона заборонила Google вести «Хронологію», по-друге, єдиним індикатором того, що історія переміщень на цьому пристрої відстежується, був змінений аватар користувача (невеличкий гурток з фотографією в правому верхньому куті інтерфейсу «Карт Google» ).
Як з’ясувалося, одноразового входження в обліковий запис з Android-смартфона для відвідування магазину додатків Google Play досить, щоб ця обліковий запис «осіла» на пристрої. Таким чином, просто вийти з чужої облікового запису, щоб припинити відстеження не вийде – треба цілеспрямовано видалити чужий рахунок у налаштуваннях Android.
Не баг, а фіча
Пітер Арнц повідомив Google про виявлену проломи, яка потенційно дозволяє зловмисникам «шпигувати» за будь-яким власником Android-смартфона, однак він побоюється, що Google вважатиме це «не багом, а фичей».
В якості запобіжного, яка могла б підвищити захищеність користувачів Android від зловживання можливостями програмної платформи, Арнц запропонував повідомляти про вхід в Google Play з чужого акаунта не тільки власника цього аккаунта, а й того, кому належить цей пристрій.
Для операційною системою Android доступні десятки програм класу stalkerware, що дозволяють стежити за близькими людьми і контролювати їх спілкування. Однак, в більшій частині таких додатків є уразливості, які загрожують приватності самим користувачам.