[Перевод] Безопасно ли отслеживать местоположение детей через популярные Android-приложения?

Если вы собираете в школу первоклашку, то в чек-листе наверняка есть смарт часы с GPS. С удобством и спокойствием для родителей всё понятно, но так ли они безобидны с точки зрения информационной безопасности?

223bc30940ca07099018ee2f8e1dd477.png

Вот вам простой пример из личного опыта: пару недель назад сыну на день рождения подарили часы с GPS. Практически сразу после регистрации (по email) в приложении, без которого эти часы нафиг не нужны, на почту начали приходить тонны спама на китайском. Но это ерунда на фоне исследования, проведенного недавно командой Cybernews.    

Оказалось, что популярные приложения для Android с более чем 85 миллионами установок шпионят за родителями (которые, какая ирония, шпионят за детьми), а некоторые даже содержат ссылки на вредоносные сайты. Эксперты считают, что предоставлять данные о детях сторонним поставщикам не так уж безопасно.

Согласно опросу 2021 года, половина родителей в США использует приложения для родительского контроля, а в Великобритании GPS-отслеживание детей ведёт не менее 40%. В России цифры вряд ли ощутимо меньше. Родителей тоже можно понять, все наверняка помнят подзатрещины, полученные за то, что после уроков зашёл «к Кольке», а мать уже обзвонила больницы и морги. 

И всё же отслеживание местоположения детей может быть палкой о двух концах. Пока родители пользуются приложениями для слежки за детьми, приложения занимаются сбором их данных. То, что по идее должно обеспечивать безопасность, на самом деле далеко не всегда соответствует стандартам этой самой безопасности.

Немного занимательной статистики

Исследователи обнаружили, что 4 из 10 популярных приложений содержат вредоносные ссылки, и ни одно из рассмотренных приложений для Android не получило наивысшей оценки за конфиденциальность.

Джейсон Глассберг, соучредитель Casaba Security, компании по кибербезопасности и этичному хакерству, сообщает, что приложения для отслеживания не просто нарушают конфиденциальность детей, но даже могут раскрывать информацию о детях неавторизованным пользователям. То есть в лучшем случае посторонние люди могут получить доступ к личным данным вашего ребёнка, а то и совершать злонамеренные действия.

91e3ae87b0aeccf65eef7a0e5d5d2b1d.jpeg

Им доверяют миллионы, а зря

Команда исследователей проанализировала 10 приложений для Android из магазина Google Play, предназначенных для отслеживания детей или других членов семьи. Несмотря на то, что из-за ограничений показателей Google невозможно установить точное количество установок всех этих приложений вместе взятых, данные из открытых источников говорят о более чем 85 миллионах. Каждое из рассмотренных приложений было установлено более миллиона раз, а самое популярное — более 50 миллионов раз.

Команда использовала Mobile Security Framework (MobSF), общий инструмент анализа безопасности приложений с открытым исходным кодом, чтобы оценить безопасность и конфиденциальность выбранных приложений для отслеживания.

В области безопасности оценка варьируется от 0 до 100, где наиболее желаемым результатом является сотня. Уровень конфиденциальности в структуре MobSF выражается в буквах и варьируется от A до F, где A указывает на наиболее желательный уровень.

5cbc92b4a7d8aeb7d6248b99f0400898.jpeg

По результатам оценки 7 приложений из 10 получили четверку за конфиденциальность, а два получили тройку. Одно приложение с более чем 50 миллионами установок, Phone Tracker By Number (6.28), получило самую низкую оценку, что указывает на «критический риск».

Приложение с наихудшей оценкой, занимающее 47-е место среди бесплатных приложений в социальной категории в США, продемонстрировало крайне сомнительные подходы к обеспечению безопасности, такие как раскрытие неявных намерений Android. Например, установка приложения открывает доступ к компонентам Android (например, к обработке бродкаст сообщений), что позволяет другим приложениям на этом устройстве использовать эти общедоступные компоненты для приёма и передачи данных. То есть информация, собранная Phone Tracker By Number может быть доступна другим приложениям на устройстве, что открывает множество возможностей для мошенников. Например, вредоносное приложение на устройстве теоретически может получить доступ к данным приложения отслеживания и сообщить злоумышленнику о местонахождении ребенка, за которым следил родитель.

Исследователи предположили, что из-за небезопасной реализации обработки сертификатов Secure Sockets Layer (SSL) приложение уязвимо для атак посредника (MITM). Эти означает, что злоумышленники встраиваются между отправителем и получателем данных. Например, разработчики Phone Tracker By Number или злоумышленники теоретически могут отслеживать трафик, проходящий через приложение.

GPS-трекер «Find Your Phone» 5.29.2 (более 10 миллионов установок), семейный GPS-трекер KidsControl (k5.3.6) (более 1 миллиона установок) и приложение для родительского контроля FamiSafe (более 1 миллиона установок) также считаются уязвимыми для MITM-атак.

Организации, разрабатывающие независимые приложения для отслеживания, вполне могут решить сэкономить и использовать сторонний код из библиотек с открытым исходным кодом или применять специальные функции, созданные другими разработчиками, поэтому не стоит рассчитывать на то, что они сильно беспокоятся об обеспечении безопасности кода. Тут как с дешёвой колбасой — вы никогда не знаете, из чего она сделана на самом деле.

417296fe6a4fda400e2c672f9a2bdc8f.jpeg

Аутсорсинг данных ребенка

Интересно, что все проанализированные приложения имели встроенные сторонние трекеры, предназначенные для отслеживания детей. Это означает, что данные собираются с обеих сторон, не только детей, но и родителей. А чему удивляться, если основной целью приложения является нарушение конфиденциальности.

Приложение может легко использовать собранные данные в злонамеренных целях, если создавшая его компания не слишком чистоплотна. В итоге, в случае взлома приложения, раскрыто может быть всё от конфиденциальной фотографии, отправленной через приложение, до паролей и других персональных данных. Полученные данные могут быть использованы самыми разными способами от целевой рекламы до мониторинга.

Стоит лишь составить схему организаций, которые в конечном итоге покупают и перепродают эту информацию у компании-разработчика приложения и ее сторонних компонентов, чтобы понять — существует огромная экосистема даже для небольшого приложения. Так что родителям стоит призадуматься.

Девять трекеров были обнаружены в двух приложениях: Find my kids 1.9.5 (10 млн установок) и GPS Tracker & Find Your Phone 5.29.2. Семейный GPS-локатор от Familo 2.70.6 (более 1 миллиона установок) имел восемь трекеров. Еще два, локатор My Family, GPS-трекер (более 5 миллионов установок) и FamiSafe 5.7.0.204 имели семь трекеров. В Phone Tracker by Number 6.2.8 было шесть трекеров, в MMGuardian Parent App 3.6.77 (более 1 миллион установок) — пять, в Pingo от Findmykids 2.4.83 (более 5 миллионов установок) — три, и только два трекера присутствует в семейном GPS-трекере KidsControl (k5.3.6).

Разработчики периодически меняют названия приложений в магазине Google Play, так что стоит иметь в виду, что вышеописанные актуальны только на момент написания статьи.

Слабая безопасность

Заглянув внутрь популярных приложений для отслеживания, команда обнаружила, что все они хранят жестко закодированные ключи интерфейса прикладного программирования (API). Как правило, ключи API используются для аутентификации, чтобы приложения могли распознавать отдельных пользователей и наоборот. Хранение ключей API может привести к проблемам с безопасностью, если злоумышленник найдет способ получить к ним доступ.

В семейном GPS-локаторе от Familo Find my Phone было больше всего: четыре ключа API, жестко закодированных в приложении. В четырех приложениях было по три, а в оставшихся двух — по два.

Большинство жестко закодированных ключей API предназначались для защиты данных приложений, не самой полезной и конфиденциальной информацией для злоумышленников. Однако некоторые жестко закодированные ключи API могут отвечать за защиту пользовательских данных.

Например, в Phone Tracker by Number был жестко закодирован токен «Account Kit Client». Передача этого «главного ключа» злоумышленнику может привести к потере конфиденциальных пользовательских данных. Find my Phone также имел потенциально конфиденциальный ключ API.

Четыре из десяти проверенных приложений содержат ссылки, которые могут считаться вредоносными. Хотя это и не означает, что приложение заражено вредоносным ПО, ссылки внутри приложения могут вести пользователей на сайты с вредоносным ПО.

Например, FamiSafe (приложение для родительского контроля) содержало две вредоносные ссылки, Phone Tracker by Number, Find my kids, KidsControl имели по одной потенциально вредоносной ссылке.

Стоит ли оно того?

Пока из создания приложений для отслеживания нельзя исключить человеческий фактор, невозможно гарантировать абсолютную безопасность. Так что, в конечном итоге, родителям придётся самим взвешивать плюсы и потенциальные риски. В целом, по мнению специалистов, приложения для безопасности детей оправдывают себя, но стоит внимательно относиться к загружаемому ПО. Например, для начала почитать обзоры.

А как вы относитесь к слежке за детьми с помощью GPS-трекеров?  

© Habrahabr.ru