29 апреля, 2011
от Cisco Russia&CIS
Сет Хэнфорд (Seth Hanford)
Операционная система iOS для мобильных устройств корпорации Apple недавно подверглась суровой критике в средствах массовой информации в связи с тем, что местоположение пользователя может быть определено с помощью резервных копий файла consolidated.db, хранящегося на устройстве.
Как обсуждалось в статье Отчет о компьютерных рисках (Cyber Risk Report), хотя корпорация Apple предоставила информацию об отслеживании местоположения в своей политике конфиденциальности, значительное число комментариев пользователей дает основание предполагать, что они были удивлены, узнав, как именно это осуществляется.
Исследователи, предоставившие информацию об определении местоположения для широкой общественности, знали, что ранее это было известно судебным экспертам, но они разработали собственный инструмент для привлечения большего внимания к данной проблеме. По всеобщему признанию, им удалось повысить осведомленность пользователей. Осталось только понять, что делать дальше.
Легкая победа в гонке по определению местоположения
После запроса об использовании корпорацией Apple данных о местоположении, поданного конгрессменами США Эдвардом Марки (Edward Markey) и Джо Бартоном (Joe Barton) в июне 2010 года, корпорация Apple публично пояснила, что активно собирает сведения о местоположении вышек-ретрансляторов операторов мобильной связи, точек доступа к Wi-Fi и GPS-координат с целью «предоставления услуг в зависимости от местоположения», а также «содействия корпорации Apple в обновлении и обслуживании собственной базы данных с помощью полученной информации о местоположении».
Использование средства, разработанного Алланом (Allan) и Уорденом (Warden) для наглядного представления данных о местоположении в файле consolidated.db, совместно с обнародованными целями Apple в ответ на запрос Марки и Бартона, позволяет предположить, что собираемая информация не является персональной («Информация, передаваемая корпорации Apple, не связана с определенным пользователем или устройством», Markey & Barton, стр. 7). На самом деле, поскольку она включает в себя данные только о «видимых» точках беспроводного доступа и вышках-ретрансляторах операторов мобильной связи, определение местоположения, вероятно, должно быть хуже, чем при использовании GPS, особенно на территориях с небольшим количеством объектов для триангуляции. Исследователь Питер Бэтти (Peter Batty) даже высказал предположение о том, что это может быть предсказывающей загрузкой от Apple для хранения на мобильном телефоне сведений о местоположениях, которые пользователь может посетить в ближайшее время (находящиеся поблизости вышки и точки доступа к Wi-Fi). Поскольку исследование Бэтти предполагает хранение в базе данных только последних записей журнала о находящихся рядом вышках и точках доступа, это не позволяет получать данные о количестве и времени посещений пользователями территории за длительный промежуток времени. Тем не менее это может быть полезным для дальнейших попыток расшифровки анонимных данных, установления личности или предоставления дополнительного контекста для других наборов данных.
С помощью процесса, описанного Apple, устройства могут собирать и передавать информацию о близлежащих объектах корпорации Apple, а также определять примерное местоположение пользователей при недоступности более точных служб, например GPS. При сравнении инструмента android-locdump с более известным средством iPhone Tracker основное отличие состоит в том, что Android регулярно удаляет данные из журналов cache.cell и cache.wifi. В журнале cache.cell хранится только 50 записей, а в cache.wifi – только 200 (согласно обзору автора старого исходного кода android-locdump). Аллан и Уорден обнаружили, что база данных consolidated.db операционной системы iOS не удаляет содержащиеся в ней данные, что позволяет хранить данные визуализации, записанные с момента создания этого файла (в предыдущих версиях iOS использовалось другие имя и путь файла).
Проблема № 1: бессрочное хранение данных
Пользователи платформы, задействованные в службах для определения местоположения, должны понимать, что их перемещение отслеживается. Логично, что данная информация хранится в базе данных корпорации Apple, о чем она сообщает в своей политике конфиденциальности. Плохо то, что по непонятным причинам корпорация Apple выбрала постоянное хранение подробного журнала на устройстве пользователя. Исследования, проведенные журналом Wall Street Journal и подтвержденные консультантом по конфиденциальности Ашканом Солтани (Ashkan Soltani), показали, что сведения о местоположении продолжают собираться даже при отключении служб местоположения на устройстве с iOS, но при этом они не передаются корпорации Apple. Если журнал пользователя не используется для предоставления ему информации, когда устройство находится в автономном режиме (а согласно описанию процесса, предоставленному корпорацией Apple, можно сделать вывод, что так и происходит), сохранение этого файла представляет потенциальный риск нанесения ущерба пользователю. Похоже, что Android справляется с этим намного лучше, ограничив количество хранимых на устройстве записей. В случае причинения вреда или проведения судебного разбирательства предоставляется только ограниченный доступ к истории местонахождения устройства. Хотя корпорация Apple, несомненно, знает лучше, какие данные должны оставаться на устройстве для его нормальной работы, чем мы с вами, все же можно предположить существование разумного компромисса, например хранения определенного количества записей или удаления прежних записей для ограничения доступа к ним. Альтернативой может служить возможность удаления данных истории вручную, что допускает некоторую автономность пользователей от корпорации Apple.
Интеллектуальные устройства и хранение данных, важных для судебного разбирательства
Эта проблема касается не только Apple. С помощью недавно разработанного инструмента android-locdump было установлено, что операционная система Android компании Google собирает сведения о местоположении пользователей. Дело не только в определении местоположения. Что касается мобильных устройств, здесь определение местоположения имеет немного большее значение, поскольку они являются средствами личного пользования и созданы для двунаправленного общения. Но обладая объемом памяти, исчисляемым в гигабайтах, такие устройства могут хранить огромные объемы информации.
Средства судебной экспертизы позволяют извлечь большое количество информации из мобильных устройств. Существует несколько книг, посвященных этому вопросу, а также множество инструментов для ведения расследования. Снимки экрана, SMS-записи, журналы звонков, информация о местоположении, документы, фотографии и другая информация за определенный промежуток времени могут быть получены и представлены в графическом виде для получения полной картины об использовании устройства. Это не новость, но пользователи едва ли осознают это, так как их больше заботит простота и свобода, которую дают им мощные и функциональные мобильные устройства.
Проблема № 2: осведомленность
Осведомленность о возможностях и побочных эффектах использования технологии является важнейшим фактором при принятии решения с учетом возможного риска. В этом смысле я благодарен Аллану и Уордену. А несогласие Алекса Левинсона (Alex Levinson), судебного эксперта, с тем, что заявление о сборе такой информации является чем-то новым, дает возможность понять существенную разницу между осведомленностью и образованием. Образование предполагает глубокое понимание предмета, в котором обычно сильно заинтересованы всего несколько сторон, а осведомленность — общее предоставление информации, доступное даже для тех, кто мало интересуется данным вопросом. Образование по данному вопросу существовало ранее, о чем свидетельствует работа Левинсона и др. авторов, написавших книги по этой теме. Тем не менее Аллану и Уордену удалось в дискуссионной и сенсационной манере визуально представить данные о возможностях и операциях устройств, которые в противном случае мало кому были бы интересны.
Оценка и доступность данных, важных для судебного разбирательства
Понимание того, какая именно информация собирается и передается, является важным фактором оценки рисков, связанных с определением местоположения. Многие специалисты корректно указали, что для извлечения данной информации необходим либо физический доступ к устройству (чтобы использовать оборудование сбора судебной информации) или компьютеру пользователя (чтобы получить доступ к незашифрованным резервным копиям данных, хранимым на устройстве), либо привилегированный доступ к устройству (например, с помощью уязвимостей в системах безопасности в сети, позволяющих взломщику получить доступ ко всему содержимому устройства). Во всех этих случаях взломщик не только имеет практически полный доступ к личной информации пользователя, но также может выполнять различные действия. С учетом этих соображений незащищенность примерных данных о местоположении кажется менее важной, чем других сведений, которые станут доступны злоумышленнику.
Сравнивая сведения о местоположении с другими данными, содержащимися на устройстве, многие приходят к выводу, что информация о местоположении не так уж и важна. Кто-то может сказать, что по сравнению с незащищенностью других данных сведения о местоположении — пустяки. В конце концов, теперь пользователи могут читать сообщения электронной почты, просматривать фотографии детей или изучать календари запланированных отпусков.
Аналогичный обзор может быть сделан для всей информации, хранимой на интеллектуальных устройствах. Пользователям следует рассмотреть спектр потенциальных угроз и оценить, может ли сбор данных устройством привести к серьезным последствиям, если эти данные станут доступны. Для некоторых типов данных в таких оценках зачастую не будет необходимости, поскольку спектр угроз слишком узок или из-за того, что подробный анализ стоит дороже, чем простое предотвращение. То есть, если вы не хотите, чтобы ваше местонахождение отслеживалось, можно просто не брать с собой устройства, записывающие и передающие соответствующие данные. Но для некоторых типов информации ситуация может быть не очень ясной, и проведение такой оценки целесообразно.
Проблема № 3: одно решение для всех проблем безопасности
Некоторых людей беспокоит отслеживание даже примерного местоположения. Это может быть важнее, чем доступность других данных, хранящихся на устройстве. А это значит, что цена за использование устройства, в котором постоянно хранится журнал с записями, может быть слишком высокой. Да, возможно, это правда, что для большинства людей этот риск невысок, но без осведомленности и понимания возможности использования данных не каждый может оценить возможный риск в полной мере. По этой причине недавняя победа в гонке по определению местоположения на интеллектуальных устройствах является очень важной. Она не только повысила уровень осведомленности о хранимых на устройствах данных. Ее организаторам следует предоставить дальнейшее рассмотрение других рисков, связанных с использованием интеллектуальных устройств. Необходимо понимать, что не существует универсальных методов обеспечения безопасности, именно поэтому такие исследования имеют важное значение. Для многих эти риски также и останутся незначительными, особенно по сравнению с выгодой от использования устройств. Но для некоторых такие открытия могут быть весьма ценными.
Оригинальная статья на английском языке: http://blogs.cisco.com/security/iphone-location-tracking-important-even-if-it-doesnt-matter-to-you/
А что думаете Вы о факте отслеживания и записи собственных перемещений?