Security Week 2418: приватность автотелеметрии
На прошлой неделе издание New York Times показало конкретные примеры того, как автопроизводители могут следить за пользователями, пользуясь большим количеством датчиков в автомобиле. Эта история началась еще в марте, когда то же издание впервые сообщило, что компания General Motors передает информацию о поведении водителей за рулем сторонним брокерам. Используя право на доступ к персональной информации, журналистка Кашмир Хилл запросила данные о семейном автомобиле Chevrolet Bolt, который был приобретен в 2023 году.
Информация у крупных брокеров данных LexisNexis и Verisk оказалась весьма подробной: общее количество поездок, километраж, а главное — число событий, когда имел место резкий разгон или торможение, либо превышение скорости. Эти данные впоследствии перепродаются страховым компаниям, которые на их основе могут принять решение о повышении страхового тарифа. Важной особенностью такого персонального расследования стало то, что Кашмир Хилл и ее муж, скорее всего, не давали согласия на сбор таких данных. Или как минимум сделали это, не понимая в полной мере, что эта информация будет доступна кому-то еще, кроме автопроизводителя. В такой же ситуации оказались примерно 8 миллионов владельцев автомобилей концерна GM. Так вышло, что все они обменяли свою приватность на геймификацию вождения, когда автомобиль выдает вам «бейджики» за разного рода достижения за рулем.
По утверждению General Motors, сбор данных активируется для пользователей, включивших две опции в своем автомобиле: это набор услуг OnStar, обеспечивающий помимо прочего доступ в Интернет в автомобиле, и тот самый сервис геймификации Smart Driver. Из-за какого-то логического бага, впрочем, данные части пользователей (включая автора статьи в New York Times) передавались производителю и третьей стороне, но сами владельцы авто доступа к Smart Driver не имели. Попытавшись разобраться в цепочке событий, которая привела к передаче данных брокеру, Кашмир Хилл связалась с дилером, у которого был приобретен автомобиль. Представитель дилера сообщил, что его бонус привязан к количеству автомобилей с активированной фичей OnStar, и, скорее всего, при заполнении документов специалист по продажам самостоятельно, не спрашивая клиента, поставил галочки в нужных местах в договоре. Хотя в этом месте договора прямо указано, что «покупатель должен сам выбрать необходимую опцию», в части случаев это делали за него.
В любом случае в договоре, как это обычно происходит, не указано прямо, что данные будут переданы брокерам, а затем страховщикам. Вместо этого в соглашении присутствовали общие фразы о передаче какой-то части информации третьей стороне. Даже эта часть соглашения объединена с описанием куда более разумной практики, когда телеметрия отправляется производителю с целью контроля исправности узлов автомобиля. В некоторых случаях потребитель может получить приглашение посетить сервис и сделать превентивный ремонт. Инсайдер из компании GM поделился информацией о том, что телеметрия собирается со всех автомобилей, которые подключены к Интернету. А некоторые из них, помимо базовых данных о скорости, километраже, разгонах и торможениях, могут фиксировать скорость прохождения поворотов, срабатывание системы предупреждения о препятствии перед автомобилем. Они определяют и передают производителю данные о том, застегнут ли ремень, о случаях, когда водитель не удерживает авто в полосе и так далее. Если обобщить, 15-минутная поездка генерирует миллионы событий, и все они отправляются производителю.
Данный скандал с конкретным производителем в отдельно взятой стране привел к небольшому улучшению приватности пользователей: General Motors объявила о прекращении работы сервиса Smart Driver и пообещала не продавать телеметрию третьей стороне. Для многих клиентов, впрочем, такая практика уже привела к заметному финансовому ущербу. В одном случае страховая премия была повышена на 50%. В другом случае владелец автомобиля по выходным катался по закрытой гоночной трассе. Так как телеметрия не учитывала контекст опасной езды, страховая компания повысила сбор на 5000 долларов в год. Неудивительно, что некоторые владельцы автомобилей не доверяют «программным» методам отключения сбора данных и вместо этого пытаются выяснить, как физически удалить ответственный за это блок электроники.
Эта история на практике демонстрирует, что современные авто уже несколько лет ничем не отличаются от смартфонов, если судить по объему и полноте собираемых о пользователях данных. И в том и в другом случае можно объяснить сбор телеметрии заботой о клиенте: это помогает усовершенствовать продукт. Но торговля пользовательской информацией при этом является настолько прибыльным бизнесом, что вряд ли крупные производители автомобилей (равно как и разработчики обычного ПО и сервисов) полностью от нее откажутся. Решения для сохранения приватности при сборе телеметрии существуют, но, похоже, в каждой новой сфере применения этот баланс между правами потребителя и нуждами вендора, между удобством и коммерческой выгодой придется определять заново.
Что еще произошло:
Google обещает починить довольно очевидный баг, позволяющий получить полный доступ к учетной записи пользователя с устройства, имеющего ограниченную функциональность. Сценарий следующий: вы сдаете квартиру или дом, и для удобства гостей настраиваете умный телевизор с доступом к платным стриминговым сервисам. В телевизоре на базе Android вы залогинены со своей учетной записью, которая, по идее, дает гостям только доступ к видеоконтенту. Но на самом деле в такой телевизор легко можно установить браузер, который подхватит учетку Google и откроет чужакам доступ к электронной почте, а то и к банковскому счету.
Эксперты «Лаборатории Касперского» опубликовали вторую часть исследования об атаке на опенсорсный проект xz-Utils. В статье подробно описывается социальная сторона атаки, приводится таймлайн и примеры сообщений на каждой стадии — когда атакующие завоевывали доверие мейнтейнера, внедряли бэкдор и агитировали разработчиков дистрибутивов внедрять «обновленную» версию пакета.
Издание Ars Technica пишет про любопытный баг (или фичу) в телевизорах Hisense TV. Они регулярно, раз в несколько минут, сканируют сеть на наличие сервисов по протоколу UPNP. Каждый раз при этом используется случайно сгенерированный идентификатор. Как выяснилось, для находящегося в той же сети компьютера под Windows это может иметь серьезные последствия: операционная система добавляет каждое «новое» устройство в список Device Association Framework. Из-за огромного списка устройств рано или поздно система начинает глючить: подвисают менеджер задач и проводник, становятся недоступными настройки беспроводной мыши и так далее.
Активно обсуждается баг в сервисе GitHub (позднее такая же проблема обнаружена и в GitLab), который позволяет злоумышленникам «подкидывать» произвольные файлы в чужие репозитории. Работает это так: злоумышленник создает комментарий в целевом репозитории и прикрепляет к нему файл. Даже если комментарий не публикуется, файл будет сохранен, и ссылка на него будет выглядеть так, будто сам владелец репозитория залил этот файл. Более того, владелец репозитория ничего с этими файлами не может сделать самостоятельно, он даже их не видит.
Компания Akamai провела исследование о фишинговых атаках на клиентов американской почтовой компании USPS. Были обнаружены тысячи сайтов, имитирующих официальный сайт почты, ссылки на которые, как правило, рассылаются потенциальным жертвам по SMS. Интересное наблюдение в этом исследовании следующее: совокупный трафик на поддельные страницы оказался не меньше, чем посещаемость реального сайта USPS. А в некоторые периоды фишинговые страницы получали больше запросов, чем настоящие.
