Gizmodo: Подслушивает ли ваш телефон ваши разговоры?

Правда ли, что ваш смартфон втайне записывает все ваши разговоры? Сложный вопрос. К примеру, группе исследователей из Северо-Восточного университета США так и не удалось найти убедительных доказательств этого мифа. Значит ли это, что миф наконец-то разрушен? Вовсе нет: пока нам просто не удалось его подтвердить. К тому же в ходе эксперимента вскрылось кое-что пострашнее банальной прослушки. Перевод заметки Gizmodo Media.

Иллюстрация: Джим Кук

Подслушивает ли ваш телефон ваши разговоры?

Вокруг мобильных телефонов ходит множество легенд. Некоторые, к примеру, верят, что смартфон непрерывно подслушивает их разговоры, а полученную столь некрасивым образом информацию использует для лучшего рекламного таргетирования. Звучит жутко, но вполне правдоподобно, ведь таргетирование теперь повсюду! К томуже совсем недавно масло в огонь подлило и интернет-издание Vice: «Ваш телефон вас подслушивает, и это вовсе не паранойя!» – отличный заголовок для статьи, особенно в эпоху тотального кликбейта. Вот только при написании той заметки Vice действительно опирались на реальные факты: автор статьи 5 дней вёл задушевные разговоры со своим телефоном, рассуждая о возможном возвращении в университет и о том, что было бы неплохо наконец-то закупиться дешёвыми рубашками. Результат был вполне ожидаемым: через несколько дней Facebook действительно стал предлагать ему рекламу рубашек и университетских курсов.

Странность в том, что мне тоже время от времени показывают рекламу рубашек и даже предлагают пройти какие-то подготовительные курсы, хотя я явно уже не попадаю в их целевую возрастную группу.

Видимо, специалисты из Северо-Восточного университета тоже частенько слышали подобные истории, но устных свидетельств им показалось мало, и они решили самостоятельно проверить обоснованность мифа о неустанно подслушивающем своего владельца смартфоне. Целый год Эллин Пан, Джинджин Рэн, Мартина Линдофер, Кристо Вилсон и Дэвид Чоффнес следили за работой 17 000 популярных приложений для Android, надеясь найти хоть какие-то признаки тайной записи окружающих их звуков. Среди проверенных приложений были как приложения, принадлежащие непосредственно Facebook, так и те, которые отправляли в Facebook пользовательские данные (чуть более 8 000 приложений из общего списка).

И, уж простите, сторонники теории заговоров, им так и не удалось найти никаких признаков того, что приложение молчком активировало микрофон или отправляло куда-то записанный без ведома пользователя звук. Однако настоящий учёный обязан сомневаться в результатах своих исследований! Вот и наши герои не стали утверждать, что никакой слежки нет: им просто не удалось найти никаких доказательств. Но кое-что они всё-таки обнаружили, и это «что-то» должно пугать вас ничуть не меньше, чем мифическая «прослушка»: выяснилось, что многие приложения тайком записывают происходящее на экране вашего смартфона, а затем отправляют эту информацию третьим лицам.

Из 17 260 проверенных приложений более 9 000 имели доступ к камере и микрофону, а значит, теоретически могли подслушивать разговоры своего владельца. Ох, сколько нового они узнали о наполнителях для кошачьих туалетов и новом вкусе старого мороженного, которое так нравилось кому-то в детстве! В ходе эксперимента исследователи использовали 10 смартфонов под управлением Android и специальный софт для анализа генерируемого ими трафика. Подход довольно эффективный, но и у него есть ряд существенных недостатков, ведь программа ведёт себя совсем не так, как вёл бы живой человек. Влияет ли это на результаты? Определённо. Есть ли способы это исправить? Наверное, есть, но пока мы имеем то, что имеем. Суть исследования сводилась к следующему: если приложение отправляло куда-то медиафайл, исследовали анализировали его содержимое и проверяли, кому именно он был отправлен.

На этих телефонах исследователи запускали тысячи приложений, но так и не нашли доказательств того, что какие-то из них действительно тайно активировали микрофон. Фото: Дэвид Чоффнес (Северо-Восточный университет)

Странность заключалась в том, что среди проверенных медиафайлов вообще не было файлов со звуком. Вместо этого приложения зачем-то делали снимки экрана, а иногда и видеозапись того, что делал в приложении пользователь, а затем отправляли эти записи на сторонние домены. Например, приложение GoPuff (доставка вредной и нездоровой пищи) отправлял данные в аналитическую компанию AppSee. Учитывая специфику приложения, на видео вполне могли попасть довольно деликатные данные (к примеру, ваш домашний адрес).

Было ли это неожиданностью? Вовсе нет: AppSee гордится возможностью записывать действия пользователей, подключенным к их системе приложений и сайтов. Беспокоит лишь то, что пользователей об этом никто не предупреждал. В политике конфиденциальности GoPuff нет ни слова о том, что оно может записывать происходящее на экране вашего смартфона. После того, как исследователи связались с разработчиками GoPuff и потребовали у них объяснений, они всё же добавили в политику конфиденциальности упоминание о том, что AppSee может собирать данные пользователей приложения. «В качестве дополнительной меры предосторожности мы также удалим AppSee SDK из ближайших сборок для iOS и Android», – пообещал представитель компании.

«Если выяснится, что технологии AppSee были использованы не по назначению, это будет прямым нарушением соглашений, – объяснил нам представитель GoPuff по электронной почте. – Как только мы обратили внимание на проблему, мы немедленно отключили возможность отслеживать действия пользователей и удалили все собранные данные».

Даже по мнению Google, из чьего магазина подавляющее большинство пользователей и скачивает нужные им приложения, AppSee и без подобных скандалов были далеки от совершенства: «Мы ценим исследовательскую работу, которую проделывают наши пользователи. Чем больше людей вчитывается в политику конфиденциальности, тем быстрее в ней найдутся тёмные пятна, – объясняет представитель Google. – Внимательно изучив результаты исследований, мы пришли к выводу о том, что действия AppSee действительно может нарушать правила нашего сервиса. Разработчики обязаны уведомить пользователя обо всех функциях своего приложения, включая функционал, предоставленный сторонними компаниями».

По правилам Google Play разработчик обязан сообщить пользователям, как именно он будет собирать их данные.

GoPuff использовали AppSee для оптимизации производительности своего приложения, а значит, скриншоты и запись экрана в целом могли быть оправданы. Вот только, если сторонняя компания может записывать действия пользователей вашего приложения, это не может не вызывать беспокойства. Кроме того, случившееся ещё раз демонстрирует, с какой лёгкостью злоумышленники сегодня могут получить абсолютно любую информацию с вашего телефона. На запись экрана экрана могут попасть личные сообщения, деликатные данные и даже пароли, ведь многие приложения сперва показывают введённую букву и лишь потом заменяют её звёздочкой.

До тех пор, пока производители смартфонов не научатся предупреждать своих пользователей о том, что какое-то приложение пытается записать происходящее на экране, у вас будет ещё один повод для беспокойства. Кстати, наши герои собираются выступить на Privacy Enhancing Technology Symposium Conference в Барселоне в следующем месяце. Находясь в Испании, они, возможно, решат проверить и какое-нибудь футбольное приложение (вдруг в попытке поймать за руку бары, в которых ведут незаконную трансляцию матчей, разработчики тоже начнут подслушивать разговоры своих пользователей?).

Если в результате эксперимента ни одно приложение так и не удалось улучить в тайной записи разговоров пользователей, почему исследователи так и не заявили, что миф наконец-то разрушен? Ответ прост: абсолютно все телефоны, которые они использовали в ходе проверки, управлялись специализированным софтом. Возможно, если бы приложение запускал живой человек, результат был бы иным. К тому же телефоны находились в почти «стерильных» условиях исследовательской лаборатории: сперва телефоны находились в окружении группы студентов, но генерируемого ими шума оказалось уж слишком много, чтобы разобрать в записанной речи хоть какие-то слова-триггеры, и телефоны было решено убрать в шкаф. Если к эксперименту когда-нибудь снова вернуться, было бы разумно поместить в шкаф ещё и динамик с каким-нибудь подкастом или сериалом, чтобы приложению казалось, что пользователь активно с кем-то беседует. Нельзя забывать и о том, что приложение может расшифровывать разговоры локально. В этом случае вместо звуковой дорожки оно передавало бы текстовый файл. Существует почти бесконечное количество сценариев, и пока мы не проверим их все, мы не можем с уверенностью утверждать, что ваш телефон вас не подсушивает. А если нам так и не удалось найти доказательств, это вовсе не означает, что их попросту нет.

Столь высокий уровень паранойи, которую люди испытывают по поводу своих смартфонов, в целом можно понять: у вас в кармане устройство с множеством датчиков, и с его помощью абсолютно любой может следить за каждым вашим шагом. Да и рекламные сети в последнее время уж слишком точно осведомлены о ваших интересах. Вот только это вовсе не доказательство! У рекламных сетей полно других способов определить сферу ваших интересов: вы оставляете множество следов в цифровом мире, и вы не так уникальны, как привыкли думать. Рекламодателю не нужно подслушивать ваши разговоры, чтобы узнать, что вам нужен кошачий корм, достаточно знать, что у вас есть кошка. Кошатники ведь довольно часто покупают кошачий корм, не так ли?

«Мы не обнаружили никаких доказательств того, что смартфоны тайно записывают разговоры своих владельцев, – объясняет Дэвид Чоффнес, один из авторов проведённого исследования, – но прослушка – это далеко не единственный и уж точно не самый эффективный способ слежки. Честно говоря, встроенная камера и микрофон не так эффективны, как принято думать. У разработчиков полно способов влезть в вашу личную жизнь и поделиться собранной информацией со своим друзьями».

Кашмир Хилл,
Gizmodo Media

7 марта 2018 г.

Comment