Video: CARA MENGAKTIFKAN/MENGGUNAKAN FITUR GERAKAN CERDAS DI SMARTPHONE VIVO Y12 (Oktober 2024)
Pada akhir Januari, dokumen yang bocor mengungkapkan bahwa NSA dan organisasi mata-mata nasional lainnya bekerja keras untuk mendapatkan informasi dari ponsel cerdas Anda. Tetapi alih-alih memasang bug, mereka hanya menggunakan aplikasi yang sudah ada di ponsel Anda untuk mempelajari semua yang mereka ingin tahu.
An Angry Bird Memberitahu Saya
Menurut laporan, organisasi mata-mata mencari apa yang disebut "aplikasi bocor" untuk mengumpulkan informasi. Ini adalah istilah yang sering kami gunakan dalam cerita Mobile Threat Monday kami, yang didefinisikan oleh Peneliti Keamanan Utama Marc Rogers sebagai "Aplikasi apa pun yang menyampaikan segala jenis informasi sensitif tanpa enkripsi."
Anda mungkin terkejut bahwa definisi ini mencakup banyak aplikasi yang tersedia di toko aplikasi Android dan iOS. Itu karena banyak dari aplikasi ini menggunakan platform iklan pihak ketiga untuk membantu memonetisasi aplikasi mereka. Terkadang Anda dapat melihat iklan tepat di aplikasi, seperti di Flappy Bird. Pengembang mendapat potongan, dan Anda mendapatkan game gratis.
Tetapi bahkan ketika Anda tidak melihat iklan apa pun, pengembang aplikasi sering menyertakan kode dari pengiklan yang dengan tenang mengumpulkan informasi tentang Anda dan perangkat Anda. Informasi ini dikompilasi dan dibedah oleh pengiklan untuk membantu menargetkan iklan mereka dengan lebih baik. "Semakin banyak informasi tentang seseorang, semakin akurat profil pemasaran mereka, " jelas Spesialis Senior E-ancaman Bitdefender, Bogdan Botezatu.
"Untuk pengiklan, " Rogers Lookout menjelaskan, "ada emas dalam memprediksi apa yang akan dipasang yang akan melibatkan pengguna." Ini bisa berupa produk dan layanan yang lebih dekat dengan minat Anda, atau tersedia di wilayah Anda. Jika Anda tinggal di Osaka, misalnya, Anda mungkin tidak akan terlalu tertarik untuk belajar tentang mobil murah di Chicago.
Pengiklan dan pemasar biasanya mencari informasi yang dapat diidentifikasi - yaitu, beberapa cara untuk menghubungkan perangkat Anda kepada Anda. Nomor EMEI perangkat, ID Apple, atau pengenal lainnya akan berlaku, tetapi email dan nomor telepon sangat berharga. Dengan informasi ini, pengiklan dapat menentukan bahwa orang yang sama telah mengunduh aplikasi yang berbeda dan mengumpulkan bagaimana mereka digunakan pada perangkat yang berbeda. Pengiklan lain lebih agresif, dan mencoba untuk mendapatkan informasi geolokasi Anda, dan banyak lagi.
Untuk memberikan contoh tentang seberapa jauh informasi pengiklan SDK dapat dicapai, Botezatu membandingkannya dengan Trojan akses jarak jauh Android yang diprofilkan oleh Bitdefender. Setelah diinstal pada ponsel korban, itu memberikan kontrol total kepada penyerang membiarkan mereka mencuri kontak, mengakses riwayat browser, dan melacak korban. "Kebanyakan orang merespons negatif terhadap AndroRAT ketika saya menunjukkan kepada mereka bahwa saya dapat menyalakan mikrofon, " katanya. "Pendeknya, itulah yang terjadi dengan sebagian besar SDK iklan."
Tidak sepenuhnya jelas untuk apa NSA menggunakan informasi aplikasi yang dicegat, tetapi kemungkinan mirip dengan pengiklan: membangun profil terperinci tentang individu dari informasi yang berbeda. Tentu saja, itu bisa digunakan dengan cara lain. Botezatu membayangkan sebuah skenario di mana para demonstran melakukan kerusuhan di jalan-jalan melawan pemerintah yang menindas. Jika pemerintah imajiner ini memiliki akses bebas ke informasi lokasi yang dipanen oleh pengiklan, mereka dapat menentukan siapa yang berada dalam kerusuhan dan menargetkan mereka atau keluarga mereka untuk pembalasan.
Pipa Bocor
Seperti kata Rogers, sebuah aplikasi hanya bocor jika mencoba mengirim informasi tanpa enkripsi. Sayangnya, banyak dari mereka memilih untuk tidak mengenkripsi informasi yang mengalir dari aplikasi di ponsel Anda dan ke server pengiklan. "Siapa pun yang mendengarkan di router atau jaringan dapat mengintip data aplikasi dan membuat salinan, " kata Botezatu.
Sementara kami telah melihat contoh agen mata-mata yang mengintip router dan jaringan Wi-Fi, Rogers mengatakan ini adalah masalah yang lebih besar. "Organisasi pemerintah berada dalam posisi untuk meningkatkan infrastruktur dengan cara yang tidak dapat dilakukan orang lain. Orang jahat dapat memperoleh sejumlah data, tetapi pemerintah dapat mengangkangi seluruh internet."
Mengirim rim data ke pengiklan tidak selalu lebih baik daripada menyadapnya oleh NSA. Botezatu menunjukkan bahwa begitu data meninggalkan perangkat Anda, Anda tidak dapat mengendalikannya. "Pengiklan itu mungkin berada di tempat di mana tidak ada undang-undang yang melindungi data Anda, dan tidak ada yang bisa menjamin bahwa informasi di server itu diamankan atau tidak terjangkau oleh peretas."
Siapa yang Harus Disalahkan
Dalam banyak kasus, pengembang aplikasi bahkan mungkin tidak mengetahui informasi apa yang sedang dihisap oleh pengiklan. Atau jika informasi itu dienkripsi.
Rogers mengatakan bahwa sebagian besar masalah adalah kesalahpahaman industri tentang apa yang membuat data sensitif. Beberapa aplikasi, jelasnya, hanya mengambil sedikit informasi - seperti preferensi seksual dalam aplikasi kencan atau bagian dari kode ZIP di aplikasi lain - tanpa perhatian. Pengiklan tidak melihat informasi ini sebagai sensitif karena sendirian itu tidak memberi tahu Anda banyak. Tapi sekarang organisasi seperti NSA dapat mencegat data dari ratusan aplikasi sekaligus, dan menghubungkan titik-titik. "Organisasi pemerintah dapat mengkorelasikan semua itu dan membangun profil lengkap, " kata Rogers.
Ada juga masalah dengan kit pengembangan perangkat lunak yang digunakan oleh pengiklan untuk mengumpulkan informasi ini. Botezatu menjelaskan bahwa walaupun ada jutaan aplikasi di semua pasar ponsel, jumlah SDK iklan sangat kecil. "Ada sekitar 100 powering semua aplikasi di Google Play, " jelasnya. "Jika Anda berkompromi satu, Anda kompromi berbagai aplikasi dan menjangkau lebih banyak pelanggan."
Pelanggan (yaitu Anda dan saya) juga berperan dalam hal ini karena kami sebenarnya diperingatkan oleh telepon kami bahwa informasi ini sedang dikumpulkan. Ketika Anda mengunduh aplikasi dari Google Play, misalnya, Anda setuju untuk memberikan aplikasi akses ke berbagai izin. Ini adalah informasi yang dapat diakses aplikasi, dan tindakan yang dapat dilakukan. "Jika Angry Birds menggunakan lokasi Anda, Anda dapat menganggap itu digunakan untuk iklan entah bagaimana, " kata Rogers.
Cara Tetap Aman
Untuk orang-orang seperti kita, opsi untuk membatasi siapa yang melihat informasi kita sedikit. Di iPhone, Anda dapat memaksa pengiklan untuk mengakses "ID iklan" yang dapat Anda segarkan kapan saja - membatasi seberapa lengkap suatu profil dapat dibangun. iOS juga memungkinkan Anda memberikan izin terperinci ke informasi. Anda dapat mengizinkan akses ke lokasi Anda, dan kemudian mematikannya nanti dari menu Pengaturan.
Sayangnya, Android tertinggal dengan izin granular. Meskipun Google secara singkat memperkenalkan panel kontrol untuk memungkinkan Anda mengaktifkan dan menonaktifkan izin, itu dengan cepat dihapus. Ini berarti bahwa banyak pengguna harus memilih antara keamanan dan bermain dengan aplikasi terbaru. "Ketika saya melihat aplikasi yang mencoba mengumpulkan lebih banyak data dari yang dibutuhkan, saya mencari aplikasi lain dengan fungsi yang sama, " kata Botezatu.
Pengguna juga dapat menginstal perangkat lunak keamanan yang dapat membantu memantau izin aplikasi. Lookout mengatakan bahwa aplikasi keamanan mereka akan mulai menyoroti informasi ini, dan aplikasi Clueful Bitdefender dapat membantu Anda memutuskan apakah suatu aplikasi meminta terlalu banyak.
Rogers mengakui bahwa "pengguna jauh dari apa yang disetujui pengembang aplikasi dengan pengiklan mereka." Namun, ia merekomendasikan agar pengguna meminta pengembang aplikasi menyediakan dokumentasi seperti privasi dan kebijakan pengungkapan.
Tanggung jawabnya, sayangnya, ada pada pengembang dan pengiklan untuk mulai memperlakukan semua informasi pengguna sebagai sensitif dan mengenkripsi dari ketika meninggalkan telepon Anda ketika duduk di server mereka. Konsumen, sementara itu, perlu membuat keputusan cerdas tentang aplikasi apa yang mereka instal dan secara aktif meminta pertanggungjawaban pengembang. "Kami mendengar setiap hari bahwa hal-hal baru sedang dimata-matai, tetapi setidaknya dalam kasus ini ada obat yang mudah, " kata Rogers.
