Неравенство в вашем кармане: как дешевые смартфоны и небрежность компаний подвергают риску наши данные

Магазин мобильных телефонов в Лусаке, Замбия. Фото Curious Lee через Flickr (CC BY-NC-SA 2.0)

Статья написана Nathalie Maréchal. Nathalie — старший научный сотрудник Ranking Digital Rights. 

[Все ссылки ведут на страницы на английском языке, если не указано иное].

Когда речь заходит о смартфонах, то оказывается, что не все пользователи равны. Для общения и обмена информацией люди с низким и средним достатком во всем мире в основном пользуются недорогими моделями с операционной системой Android, но более дешевые телефоны часто делают пользователей более уязвимыми для онлайн-угроз и взлома.

Устройства на базе операционной системы Android составляют 88% мирового рынка, а iPhone — остальные 12%. Но не все Android-устройства одинаковы: модели, производимые и контролируемые непосредственно Google, такие как Nexus и Pixel, имеют значительно более надежную защиту от взлома, чем те, что предлагаются такими производителями, как Samsung, Huawei, Sony и Xiaomi. Кроме того, они намного дороже, примерно на одном уровне с iPhone.

В результате, состоятельные пользователи, которые могут позволить себе приобретать новые высококачественные модели каждые несколько лет, оказываются защищены от многих угроз, которым подвержены большинство пользователей — те, кто пользуется дешевыми или подержанными смартфонами и редко их меняет. 

Это значит, что люди, которые могут меньше себе позволить, имеют больше шансов стать жертвой мошенничества, кражи персональных данных, хищнических афер, киберпреследований, домогательств и многих других видов ущерба, который может понести человек в случае нарушения конфиденциальности его цифровых данных.

Это серьезный, но мало осознаваемый аспект неравенства во всем мире. 

Новое исследование, проведенное Ranking Digital Rights, некоммерческой исследовательской организацией, оценивающей деятельность наиболее авторитетных мировых компаний в области интернета, мобильной связи и телекоммуникаций в сфере влияния на права пользователей, показало неспособность этих компаний сообщить основную информацию о том, как их смартфоны (и установленное на них программное обеспечение) сказываются на безопасности пользователей.

Всё, что мы делаем на мобильном устройстве, оставляет цифровые следы, которые затем можно использовать для того, чтобы нарисовать весьма подробную картину того, кто мы, что делаем, что покупаем и даже о чем думаем. Эти данные представляют ценность для рекламщиков, но также и для правительств, преступников или любого другого, кто мог бы нанести нам вред.

Автомобиль компании MTN в Уганде, 28 ноября 2005 года CC 2.0.

Исследователи всегда находят новые недостатки в мобильном программном обеспечении, которые могут использовать злоумышленники (в том числе и нанятые правительством) и которые позволяют устанавливать программы-шпионы или даже управлять устройством дистанционно — нужно лишь жертве текстовое сообщение. В репортажах Global Voices рассказывалось о ряде подобных случаев, в которых затрагивались иранские активисты, тибетские интернет-пользователи и другие. 

В то время как одни пользователи получают от производителя программы — «патчи», повышающие безопасность, или обновления программного обеспечения, решающие эту проблему, другие не получают ничего. Кроме того, производители устройств часто не объясняют пользователям, почему обновления так важны.

Многие компании запускают так называемые программы «ответственного раскрытия», поощряя тех, кто обнаружил ошибки или технические проблемы, сообщать о них, чтобы затем можно было разработать решения и установить их на устройства в виде обновления программного обеспечения.

Это неплохо работает в случае Apple и Google — двух компаний, производящих программное обеспечение для 99,6% всех смартфонов в мире. Прошлым летом группа исследователей по безопасности, возглавляемая Биллом Марчаком (Bill Marczak), на тот момент аспирантом из Беркли, обнаружила, что правительство ОАЭ использует чрезвычайно сложный, ранее неизвестный метод атак на правозащитников, позволяющий превратить их смартфоны iPhone в записывающие устройства. К счастью, диссидент из ОАЭ Ахмед Мансур сумел избежать атаки и предупредить Марчака и его коллег, которые в свою очередь связались с компанией  Apple. Инженеры Apple работали сверхурочно, чтобы найти решение и предложить его пользователям менее чем за месяц. Служба безопасности компании Android столь же внимательна и расторопна.

Проблемы начинаются с другими производителями смартфонов на базе Android, такими как Samsung, HTC и Xiaomi.

По ряду причин производители модифицируют программное обеспечение Android, операционной системы с открытым исходным кодом, после чего затрудняется доставка обновлений. Код, который выпускает Google, должен быть изменен в соответствии с изменениями, сделанными в самой операционной системе. Телефонные компании в свою очередь также вносят изменения в дополнение к сделанным производителем, внося свою лепту в процесс и еще больше затрудняя доставку обновлений программного обеспечения. Apple не позволяет вносить такие изменения в iOS, а Google контролирует процесс обновления для телефонов Nexus и Pixel, приобретенных в Google Store.

В результате, в любой момент времени имеются миллионы пользователей Android, чьи устройства уязвимы перед эксплойтами [рус] — вредоносными программами, широко известными в мировом сообществе IT- безопасности. Это как если бы вы заперли входную дверь ключом, дубликаты которого есть у сотен других людей. А поскольку эти устройства намного дешевле, чем Nexus, Pixel или iPhone, люди, которые бедны, относятся к маргинальным группам и недостаточно хорошо разбираются в технике, — то есть те, кто вероятнее всего получает доступ к интернету исключительно через смартфоны, — и есть наиболее подверженная риску интернет-атак категория пользователей. 

Ranking Digital Rights: Индекс корпоративной отчетности 2017 года

Индекс-2017 оценивает 22 компании по 35 показателям в трех категориях. Показатели определяют, раскрывают ли компании и в какой мере свою политику в сфере влияния на свободу слова и неприкосновенность частной жизни пользователей. Индекс оценивает деятельность компании-учредителя, управляющей компании и определенных подразделений (в зависимости от структуры компании).

Читайте на сайте RDR о методах, процессе исследования и оценки каждой компании. Ranking Digital Rights была основана соучредителем Global Voices Ребеккой Маккиннон (Rebecca MacKinnon).

Согласно новым данным, опубликованным Google, только половина Android-устройств в 2016 году получила патч, повышающий уровень безопасности, и только 3% устройств во всем мире используют последнюю версию операционной системы, «Nougat». Признавая, что это серьезная проблема, Федеральная комиссия по торговле США и Федеральная комиссия по связи США начали совместное расследование доставки патчей для обеспечения безопасности мобильных устройств, хотя более года спустя ни одно агентство не опубликовало ответы компаний.

Индекс корпоративной отчетности Ranking Digital Rights в 2017 году для 22 мировых телекоммуникационных и интернет-компаний сравнивает предоставляемую ими в свободном доступе информацию и обязательства, касающиеся соблюдения прав пользователей, таких как свобода слова и неприкосновенность частной жизни. В список входит Samsung, который производит наибольшую часть Android-устройств в мире, а также 10 провайдеров мирового масштаба в области телекоммуникаций. Ни одна из 11 компаний, рассылающих обновления операционной системы Android (за исключением Google), не обнародовала никакой информации, касающейся изменений, вносимых ими в текущую версию Android, а также каким образом эти изменения могут повлиять на доставку обновлений, обеспечивающих безопасность системы.

Более того, из трех компаний-производителей смартфонов, изученных в исследовании, только Google указала дату, до которой различные модели устройств гарантированно получат обновления. Устройствам Nexus и Pixel гарантировано получение обновлений программного обеспечения как минимум в течение двух лет с того момента, как устройство станет доступно в Google Store, и обновлений для системы безопасности по крайней мере в течение трех лет с момента, когда устройство впервые поступило в продажу, или 18 месяцев с момента когда в Google Store было в последний раз продано устройство, — в зависимости от того, что наступит раньше.

Было бы идеально, если бы Google расширила эти временные рамки, но они хотя бы ясно прописывают свои обязательства перед пользователями. (Ни Apple, ни Samsung не предоставляют такую «окончательную дату»). Мы очень сильно зависим от наших смартфонов, а люди с низким достатком и без широкополосного интернета и домашних компьютеров — еще больше. Бедные или богатые, мы все имеем право знать, как долго они будут безопасны в использовании и что делают компании, чтобы обеспечить нам эту безопасность.

Nathalie Maréchal — старший научный сотрудник Ranking Digital Rights и кандидат на присуждение степени  PhD в Annenberg School for Communication and Journalism в Университете Южной Калифорнии. Читайте её на @marechalUSC.

Начать обсуждение

Авторы, пожалуйста вход в систему »

Правила

  • Пожалуйста, относитесь к другим с уважением. Комментарии, содержащие ненависть, ругательства или оскорбления не будут опубликованы.