Новые риски от поисковых машин

Интернетовские поисковые машины активно создают новые заметные риски для живущих в офлайне рядовых пользователей Сети. Хороший пример – геолокационные сервисы и активный “шпионский” сбор частной информации, нужной для работы этих сервисов, поисковиками (впрочем, не только ими).

Скажем, приложение от поисковика умеет определять координаты пользователя по точкам доступа Wi-Fi. Соответствующий сервер геолокации – открыт и общедоступен. Поэтому всякий достаточно квалифицированный специалист может определить местоположение любого чужого компьютера, для которого известны MAC-адреса близлежащих точек Wi-Fi. Узнать MAC-адреса можно с помощью трояна, засланного на компьютер атакуемого пользователя. Для того, чтобы получить координаты, понятно, не нужно взламывать сервера геолокационного сервиса: достаточно взять подходящее приложение, – хоть бы вот мобильные “Яндекс.Карты”, – и подсунуть этому приложению нужные MAC-адреса, что можно сделать с помощью соответствующих SDK (инструментариев разработчика). В ответ – получить на экране примерное местоположение искомого компьютера, обозначенное на карте. Очень удобно. И не требуется GPS, поддержки которой может и не быть.

Обратите внимание: ни пользователь компьютера, местоположение которого определяют удалённо, ни владельцы точек доступа Wi-Fi, которые служат опорными радиомаяками, скорее всего не соглашались на то, чтобы их бытовую электронику использовали подобным образом. Более того, определить местоположение не получилось бы без огромной базы данных с координатами точек Wi-Fi, без серверов, предоставляющих доступ к этой базе и выполняющих вычисления. То есть, угроза вообще не существовала в офлайне, пока некоторые агрегаторы не собрали информацию и не выложили её в открытый доступ. Ни защиты собранных данных, ни ответственности за разглашение – фактически нет. Пользователи же, очередной раз, выступили в роли статистов, хотя угроза именно для них.

()

Похожие записки:



Далее - мнения и дискуссии

(Сообщения ниже добавляются читателями сайта, через форму, расположенную в конце страницы.)

Комментарии читателей блога: 11

  • 1. 9th August 2011, 13:30 // Читатель jno написал:

    Чё-то тут не так.
    Я – один из авторов одной из таких “баз”.
    БД имела технологический смысл и координаты точек использовались для оценки покрытия.
    В мою бытность в той компании эти сведения никому не передавались и доступ к БД был ограничен интранетом.
    Правда, большого секрета из неё тоже не делалось.

  • 2. 9th August 2011, 14:35 // Читатель sarin написал:

    следить за человеком всегда было просто если он не предпринимает усилий к сокрытию данных о себе.

    посадить вирус миллиону абстрактных пользователей может быть сложнее, чем одному конкретному. на мой взгляд это самый трудный момент в данной атаке.

  • 3. 9th August 2011, 16:36 // Читатель jno написал:

    > следить за человеком всегда было просто

    неправда ваша, дяденька!

    надо было ходить следом (собссно, “следить”) службе наружного наблюдения, перлюстрировать почтовые отправления в тёмных комнатах, ездить к чёрту на куличики, чтобы ознакомиться с документами…

    совсем не так уж давно.

  • 4. 9th August 2011, 16:44 // Читатель jno написал:

    а теперь: идём на фейсбук и вконтакт, читаем, какой музон предпочитает жертва, лепим “типа, фанатский” сайтик с эксклюзиффчиком (ну, там свежий альбомчик выложим), аккуратно спамим жертву сцылочкой на сайтик, жертва туда лезет – вуаля! я привёл сильно сокращённый план, конечно. цена такого внедрения – менее $5K (с разработкой сайта и закупкой альбома).

  • 5. 9th August 2011, 17:18 // Читатель Алексей написал:

    по аналогии, имея БД улиц и домов, можно по любой фотографии узнать координаты человека, хотя хозяева домов на это согласия не давали :)
    а по сути – жаловаться на то, что твое излучающее устройство кто-то использует для определения координат – это как жаловаться на то, что дерево, которое ты посадил, кто попало использует как ориентир на местности

  • 6. 9th August 2011, 18:38 // Александр Венедюхин ответил:

    Нет, речь о другом. Есть ли общедоступные онлайн-сервисы, в которые достаточно показать фотографию, чтобы узнать местоположение этого человека? Нет таких.

  • 7. 9th August 2011, 19:01 // Читатель jno написал:

    > Есть ли общедоступные онлайн-сервисы

    Есть!
    Хотя кое-что придётся сделать ручками…
    Фейсбук насобачился http://www.ibusiness.ru/28256 распознавать лица. Там можно получить представление об имени жертвы и “пробить по базе” на форскваре, Г+ и т.п.
    Пусть, не в один тычок мыша, но – можно!

  • 8. 9th August 2011, 19:05 // Александр Венедюхин ответил:

    Не-а, там должен быть в FB человек, как минимум.

  • 9. 9th August 2011, 19:14 // Читатель jno написал:

    во-первых, для американцев это условие можно считать выполненным :)
    а во-вторых, ничто не совершенно. поначалу.

    оно и на форскварах с Г+сами не все чекинятся с координатами – и что?

    по мере распространения смартфонов (ссылки уж не буду приводить) и полоскания мозгов (“и месяц интернета впридачу!”) – все там будут.

  • 10. 9th August 2011, 19:15 // Читатель jno написал:

    Опять же, никто не говорил, что можно показать фотографию ЛЮБОГО человека :)

  • 11. 9th August 2011, 19:20 // Александр Венедюхин ответил:

    > никто не говорил, что можно показать фотографию ЛЮБОГО человека :)

    А! Это да, верно. Вот, прогресс, выходит, очень быстр.