Новые риски от поисковых машин
Интернетовские поисковые машины активно создают новые заметные риски для живущих в офлайне рядовых пользователей Сети. Хороший пример – геолокационные сервисы и активный “шпионский” сбор частной информации, нужной для работы этих сервисов, поисковиками (впрочем, не только ими).
Скажем, приложение от поисковика умеет определять координаты пользователя по точкам доступа Wi-Fi. Соответствующий сервер геолокации – открыт и общедоступен. Поэтому всякий достаточно квалифицированный специалист может определить местоположение любого чужого компьютера, для которого известны MAC-адреса близлежащих точек Wi-Fi. Узнать MAC-адреса можно с помощью трояна, засланного на компьютер атакуемого пользователя. Для того, чтобы получить координаты, понятно, не нужно взламывать сервера геолокационного сервиса: достаточно взять подходящее приложение, – хоть бы вот мобильные “Яндекс.Карты”, – и подсунуть этому приложению нужные MAC-адреса, что можно сделать с помощью соответствующих SDK (инструментариев разработчика). В ответ – получить на экране примерное местоположение искомого компьютера, обозначенное на карте. Очень удобно. И не требуется GPS, поддержки которой может и не быть.
Обратите внимание: ни пользователь компьютера, местоположение которого определяют удалённо, ни владельцы точек доступа Wi-Fi, которые служат опорными радиомаяками, скорее всего не соглашались на то, чтобы их бытовую электронику использовали подобным образом. Более того, определить местоположение не получилось бы без огромной базы данных с координатами точек Wi-Fi, без серверов, предоставляющих доступ к этой базе и выполняющих вычисления. То есть, угроза вообще не существовала в офлайне, пока некоторые агрегаторы не собрали информацию и не выложили её в открытый доступ. Ни защиты собранных данных, ни ответственности за разглашение – фактически нет. Пользователи же, очередной раз, выступили в роли статистов, хотя угроза именно для них.
Адрес записки: https://dxdt.ru/2011/08/09/3942/
Похожие записки:
- Шифр "Кузнечик" на ассемблере arm64/AArch64 со 128-битными инструкциями
- Стандарты NIST для "постквантовых" криптосистем
- Mozilla Firefox и внедрение рекламных сообщений
- Персоны и идентификаторы
- Имена в TLS для веба (HTTP/HTTPS)
- Различительная способность "обезличенных" данных
- Реплика: знание секретных ключей и криптографические операции
- Токены доступа и популярная автоматизация
- Криптографическая библиотека для Arduino: дополнение для новых IDE
- "Двухфакторная" аутентификация и Google Authenticator
- Удаление "неактивных" google-аккаунтов
Комментарии читателей блога: 11
1. 9th August 2011, 13:30 // Читатель jno написал:
Чё-то тут не так.
Я – один из авторов одной из таких “баз”.
БД имела технологический смысл и координаты точек использовались для оценки покрытия.
В мою бытность в той компании эти сведения никому не передавались и доступ к БД был ограничен интранетом.
Правда, большого секрета из неё тоже не делалось.
2. 9th August 2011, 14:35 // Читатель sarin написал:
следить за человеком всегда было просто если он не предпринимает усилий к сокрытию данных о себе.
посадить вирус миллиону абстрактных пользователей может быть сложнее, чем одному конкретному. на мой взгляд это самый трудный момент в данной атаке.
3. 9th August 2011, 16:36 // Читатель jno написал:
> следить за человеком всегда было просто
неправда ваша, дяденька!
надо было ходить следом (собссно, “следить”) службе наружного наблюдения, перлюстрировать почтовые отправления в тёмных комнатах, ездить к чёрту на куличики, чтобы ознакомиться с документами…
совсем не так уж давно.
4. 9th August 2011, 16:44 // Читатель jno написал:
а теперь: идём на фейсбук и вконтакт, читаем, какой музон предпочитает жертва, лепим “типа, фанатский” сайтик с эксклюзиффчиком (ну, там свежий альбомчик выложим), аккуратно спамим жертву сцылочкой на сайтик, жертва туда лезет – вуаля! я привёл сильно сокращённый план, конечно. цена такого внедрения – менее $5K (с разработкой сайта и закупкой альбома).
5. 9th August 2011, 17:18 // Читатель Алексей написал:
по аналогии, имея БД улиц и домов, можно по любой фотографии узнать координаты человека, хотя хозяева домов на это согласия не давали :)
а по сути – жаловаться на то, что твое излучающее устройство кто-то использует для определения координат – это как жаловаться на то, что дерево, которое ты посадил, кто попало использует как ориентир на местности
6. 9th August 2011, 18:38 // Александр Венедюхин:
Нет, речь о другом. Есть ли общедоступные онлайн-сервисы, в которые достаточно показать фотографию, чтобы узнать местоположение этого человека? Нет таких.
7. 9th August 2011, 19:01 // Читатель jno написал:
> Есть ли общедоступные онлайн-сервисы
Есть!
Хотя кое-что придётся сделать ручками…
Фейсбук насобачился http://www.ibusiness.ru/28256 распознавать лица. Там можно получить представление об имени жертвы и “пробить по базе” на форскваре, Г+ и т.п.
Пусть, не в один тычок мыша, но – можно!
8. 9th August 2011, 19:05 // Александр Венедюхин:
Не-а, там должен быть в FB человек, как минимум.
9. 9th August 2011, 19:14 // Читатель jno написал:
во-первых, для американцев это условие можно считать выполненным :)
а во-вторых, ничто не совершенно. поначалу.
оно и на форскварах с Г+сами не все чекинятся с координатами – и что?
по мере распространения смартфонов (ссылки уж не буду приводить) и полоскания мозгов (“и месяц интернета впридачу!”) – все там будут.
10. 9th August 2011, 19:15 // Читатель jno написал:
Опять же, никто не говорил, что можно показать фотографию ЛЮБОГО человека :)
11. 9th August 2011, 19:20 // Александр Венедюхин:
> никто не говорил, что можно показать фотографию ЛЮБОГО человека :)
А! Это да, верно. Вот, прогресс, выходит, очень быстр.