Смартфоны на Android можно прослушивать с помощью датчиков движения

Группа ученых из пяти американских университетов разработала side-channel атаку EarSpy, с помощью которой можно прослушивать устройства на Android: распознать пол и личность звонящего, а также частично разобрать содержимое разговора. Прослушку предлагается осуществлять при помощи датчиков движения, которые способны улавливать реверберацию динамиков мобильных устройств.

Атаку EarSpy представили эксперты из Техасского университета A&M, Технологического института Нью-Джерси, Темпльского университета, Дейтонского университета, а также Ратгерского университета. Они рассказали, что ранее подобные side-channel атаки уже изучались, но несколько лет назад динамики смартфонов были признаны слишком слабыми, чтобы генерировать достаточную для подслушивания вибрацию.

В современных смартфонах используются более мощные стереодинамики (по сравнению с моделями прошлых лет), которые обеспечивают лучшее качество звука и более сильные вибрации. Точно так же в современных устройствах используются более чувствительные датчики движения и гироскопы, способные регистрировать даже мельчайшие нюансы работы динамиков.

Наглядное доказательство этих слов можно увидеть на иллюстрации ниже, где работа динамиков OnePlus 3T 2016 года выпуска едва заметна на спектрограмме и сравнивается со стереодинамики OnePlus 7T 2019 года выпуска, которые очевидно позволяют извлечь значительно больше данных.

Слева направо: OnePlus 3T, OnePlus 7T, OnePlus 7T

В своих экспериментах исследователи использовали устройства OnePlus 7T и OnePlus 9, а также различные наборы предварительно записанных звуков, которые воспроизводились через динамики устройств. Также специалисты использовали в работе стороннее приложение Physics Toolbox Sensor Suite для сбора показаний акселерометра во время имитации вызова, а затем передавали их в MATLAB для анализа.

Алгоритм машинного обучения тренировали с использованием легкодоступных наборов данных для распознавания речи, идентификации вызывающего абонента и определения пола. В итоге данные, полученные в результате тестов, варьировались в зависимости от использованного набора данных и устройства, но в целом эксперименты исследователей дали многообещающие результаты и доказали, что такая прослушка возможна.

Например, точность определения пола звонящего на OnePlus 7T колебалась от 77,7% до 98,7%, классификация идентификатора вызывающего абонента колебалась от 63,0% до 91,2%, а распознавание речи удавалось с точностью от 51,8% до 56,4%.

На устройстве OnePlus 9 точность определения пола превысила 88,7%, зато идентификация вызывающего абонента упала в среднем до 73,6%, а распознавание речи и вовсе показало результат от 33,3% до 41,6%.

Исследователи признают, что значительно снизить эффективность атаки EarSpy может громкость, которую пользователи сами выбирают для динамиков своих устройств. То есть низкая громкость динамика вполне может помешать реализации прослушки в целом.

Кроме того, на реверберации и получаемый результат заметно влияют расположение аппаратных компонентов устройства и плотность сборки, а также точность данных снижают движение пользователя и вибрации, вызванные окружающей средой.

Устройство OnePlus 7T

Авторы EarSpy резюмируют, что производители телефонов должны обеспечивать стабильный уровень звукового давления во время телефонных разговоров, а также размещать датчики в корпусе таким образом, чтобы внутренние вибрации не влияли на них или оказывали минимально возможное воздействие.

Исследователи научились обнаруживать прослушку, осуществляемую через микрофон ноутбука

Эксперты из Национального университета Сингапура и Университета Ёнсе разработали устройство TickTock, которое может проверить, не используется ли микрофон ноутбука или смартфона для тайной записи разговоров пользователя. Девайс построен на базе Raspberry Pi 4 Model B, но в будущем его хотят сделать похожим на обычную USB-флешку.

Гаджет и процесс его создания подробно описаны документе, опубликованном на ArXiv. Авторы разработки отмечают, что удаленных «шпионских» атак становится все больше, но если для веб-камер давно разработаны средства защиты (или всегда можно заклеить камеру изолентой, как делает Марк Цукерберг), аналогичных барьеров для предотвращения прослушивания не существует.

Документ гласит, что в последнее время производители ноутбуков стараются сделать активацию микрофона более очевидной для пользователя и невозможной для малвари. Например, у устройств Apple появилось аппаратное отключение микрофона, предназначенное для блокировки микрофона при закрытой крышке.

В 2020 году Dell добавила в Linux драйверы для обеспечения конфиденциальности при работе с микрофоном и камерой. В Windows 10 и macOS 12 присутствуют видимые индикаторы активации микрофона, а Purism и вовсе встроила аппаратный выключатель для микрофона и камеры в свой смартфон Librem 5 USA, ориентированный на конфиденциальность.

Исследователи пишут, что у всех перечисленных подходов есть недостатки:

«Во-первых, эти решения требуют, чтобы пользователи доверяли производителям ноутбуков или операционных систем, которые в прошлом неоднократно подвергались взлому, а порой даже сами производители могут действовать со злым умыслом. Во-вторых, такие решения встроены лишь в небольшую часть устройств, поэтому большинство современных ноутбуков не имеют способа обнаружения/предотвращения прослушки».

Прототип TickTock, собранный учеными, состоит из датчиков ближнего поля, РЧ-усилителя, SDR и Raspberry Pi 4 Model B. При этом эксперты пишут, что окончательная форма устройства скорее будет похожа на USB-флешку, которую можно будет положить рядом с ноутбуком или запретить на нем, чтобы гаджет мог предупредить пользователя о любых изменениях в состояния микрофона устройства.

Принцип работы TickTock весьма прост: он опирается на тот факт, что MEMS-микрофоны на обычных ноутбуках излучают электромагнитные сигналы, когда работают и активны.

«Излучение исходит от кабелей и разъемов, которые передают тактовые сигналы железу микрофона, чтобы в конечном счете оперировать аналого-цифровым преобразователем. TickTock фиксирует такие утечки, чтобы определить состояние включения/выключения микрофона ноутбука», — объясняют эксперты.

Во время создания TickTock исследователи столкнулись с рядом проблем. Во-первых, частота тактового сигнала различается в зависимости от чипа аудиокодека в конкретном ноутбуке. Во-вторых, область ноутбука, из которой будет исходить утечка наиболее сильного ЭМ-сигнала, зависит от модели и конфигурации устройства. В-третьих, не все захваченные ЭМ-сигналы будут свидетельствовать об активности микрофона, они также могут исходить от других цепей, и необходимо отфильтровать это, чтобы предотвратить ложные срабатывания.

По этим причинам TickTock показал себя хорошо примерно с 90% протестированных ноутбуков (включая различные модели Lenovo, Dell, HP и Asus), но он не может обнаружить активность микрофона на трех ноутбуках Apple MacBook. Алюминиевые корпуса и короткие гибкие кабели устройств Apple ослабляют утечку электромагнитных сигналов до такой степени, что TickTock не может ее обнаружить.

Также с помощью TickTock прослушку искали на 40 других устройствах, включая смартфоны, планшеты, умные колонки и USB веб-камеры. Гаджет сумел зафиксировать активность микрофона на 21 устройстве из 40. Вероятно, высокий процент неудач связан с использованием аналоговых, а не цифровых микрофонов в некоторых моделях смартфонов, а также с тем, что малое оборудование чаще полагается на более короткие провода, что снижает электромагнитное излучение.

В будущем специалисты планируют расширить функциональность TickTock, чтобы прибор мог также обнаруживать несанкционированный доступ к камерам и блокам инерциальных датчиков.

Zoom, Discord и другие сервисы подслушивают даже с выключенным микрофоном

Группа учёных из Висконсинского и Чикагского университетов выяснили, что популярные приложения для аудио- и видеоконференций «подслушивают» за пользователями, даже если те нажимают кнопку отключения записи звука. В исследовании участвовали сервисы Zoom, Skype, Google Meet, Discord и другие — всего десять приложений.

Эксперты пришли к выводу, что кнопка отключения звука работает не так, как представляет большинство пользователей — микрофон не только не отключается, но и продолжает собирать аудиоданные. По сути, кнопка Mute в большинстве случаев лишь отключает передачу звука собеседникам.

Проблема с «ложным» отключением микрофона наблюдалась практически у всех сервисов. Большая часть из них собирает данные лишь какое-то время и, в отличие от основного режима работы, не передаёт информацию постоянно. Только одно приложение — Cisco Webex — даже после отключения микрофона собирало данные в том же объёме.

Компания Cisco признала, что непрерывно собирала аудиоданные даже при выключенном микрофоне, но отметила, что не записывала звуки или голоса — лишь информацию вроде громкости, чтобы улучшить пользовательский опыт. В январе 2022 года учёные связались с Cisco по поводу исследования, после чего разработчики отключили функцию.

Даже частичной записи оказалось достаточно, чтобы, например, определить, чем занимается пользователь. Учёные убедились, что при помощи фонового звука, записанного сервисами с «выключенным» микрофоном, и нейросети можно с точностью около 82% распознать один из сценариев — приём пищи, вождение, уборка, просмотр видео и так далее.

Несмотря на то, что большая часть компаний не использовала информацию, собранную во время отключения звука, авторы работы беспокоятся о рисках, связанных с конфиденциальностью. Эксперты предлагают решить проблему созданием программных переключателей, которые будут проще и доступнее, чем меню настроек системы, либо аппаратных выключателей микрофона на устройствах.

Веб-камеру можно выключить или, в конце концов, просто закрыть её рукой — что бы вы ни делали, вас никто не увидит. Не думаю, что такое возможно с микрофоном.

Касем Фаваз
доцент электротехники и вычислительной техники в Университете Висконсина

Подробный доклад об исследовании авторы представят на мероприятии Privacy Enhancing Technologies Symposium, которое состоится в июле 2022 года.

Tracking with AirTag

Слежка с помощью AirTag, и как от нее защититься

За последний год стало известно о множестве случаев слежки с помощью меток AirTag. Рассказываем, как это работает и что делать для защиты.

Брелоки AirTag компании Apple поступили в продажу только весной прошлого года, но уже успели заслужить дурную репутацию как средство помощи криминалу и слежки за людьми без спроса. В этой статье мы разбираемся, как работает AirTag, почему он может быть опасен, а также как защититься от слежки с использованием AirTag и других видов киберсталкинга.

Как работает AirTag

Метки AirTag были представлены в апреле 2021 года как средство поиска легко теряемых вещей. Внутри метки находится плата с беспроводным модулем и заменяемая батарейка. Также в AirTag есть достаточно крупный динамик, частью которого, по сути, является корпус устройства.

В самом простом случае работают метки так: вы цепляете «таблетку» как брелок к ключам, и если вдруг опаздываете на работу, а ключи потерялись где-то в квартире — активируете режим поиска в вашем айфоне. Используя технологию ultra-wide band (она же UWB), телефон указывает вам направление в сторону метки и дает подсказки типа «горячо-холодно».

Более сложный случай: вы прикрепляете AirTag к рюкзаку, а рюкзак успешно забываете в метро. Поскольку вы и ваш айфон на момент обнаружения пропажи от рюкзака уже очень далеко, то UWB тут не поможет. В дело вступают все пользователи относительно современных мобильных устройств Apple (iPhone 7 и более новых). При помощи технологии Bluetooth они определяют наличие метки поблизости и передают примерные или точные координаты в вашу учетную запись Apple. При помощи сервиса Apple Find My вы можете посмотреть, куда в итоге попал ваш рюкзак — в бюро находок или к новому владельцу. Самое главное, что все это происходит автоматически, и даже устанавливать ничего не надо. Все нужное для работы системы поиска AirTag уже встроено в iOS у сотен миллионов пользователей.

Правда, учитывая максимальную дальность работы Bluetooth в десятки метров, такая схема работает только в крупных городах, где людей с айфонами очень много. Если ваш рюкзак попал в деревню, где все жители поголовно пользуются смартфонами на Android, установить местоположение AirTag будет затруднительно. В этом случае срабатывает третий механизм обнаружения: встроенный в метку динамик через несколько часов отсутствия связи хоть с каким-то iPhone начнет издавать звук. Если нашедший сообразит приложить к метке смартфон с поддержкой NFC, та сообщит ему номер телефона для связи с владельцем пропажи.

AirTag и темные дела

В теории AirTag — полезный и относительно недорогой аксессуар для повседневного отслеживания легко теряемых вещей, который поможет найти спрятавшиеся ключи или забытую сумку. Один из примеров полезного применения технологии, который довольно часто обсуждали за последний год, — это возможность прикрепить AirTag к чемодану перед авиаперелетом. Уже неоднократно путешественникам удавалось установить местоположение утерянного багажа быстрее, чем сотрудникам авиакомпаний.

На практике же сразу после поступления устройств в продажу начали появляться сообщения о не совсем правомерном их использовании или даже об откровенном криминале. Вот самые важные примеры:

  • Активистка из Германии раскрыла местоположение засекреченного государственного агентства, отправив им конверт с AirTag по почте. Подобной деятельностью — более или менее легальной в зависимости от законодательства конкретной страны — занимаются многие, отслеживая, например, реальные пути доставки почты. Но возможен и такой вариант использования, как у немецкой активистки: если кто-то использует абонентский ящик для получения посылок, чтобы не светить свой почтовый адрес, посылка с меткой внутри раскроет его реальное место жительства.
  • А теперь серьезно: в декабре прошлого года полиция Канады расследовала несколько случаев использования AirTag для угона автомобилей. Преступники действовали так: на общественной парковке приклеивали метку к автомобилю, определяли таким образом домашний адрес владельца и ночью угоняли автомобиль, пока он стоит на стоянке в пригороде, подальше от возможных свидетелей.
  • Наконец, есть множество свидетельств слежки за женщинами с помощью AirTag. Метку приклеивают к машине, подкладывают в сумку, определяя таким образом и место жительства, и повседневные маршруты передвижения по городу. Против такой слежки в AirTag есть защита — если метка постоянно перемещается, а телефона, к которому она привязана, рядом нет, она начинает издавать звук при помощи того самого динамика. Однако народные умельцы довольно быстро сообразили, что можно этому противопоставить: некоторое время назад в сети начали торговать модифицированными AirTag с отключенной пищалкой.

И знаете, это еще не самый страшный сценарий. Теоретически AirTag можно взломать и модифицировать поведение метки программно. Определенные шаги к этому уже сделаны: в частности, уже в мае прошлого года исследователю удалось получить доступ к защищенной прошивке устройства. И вот это будет наиболее опасным и для Apple, и для пользователей — ситуация, когда кто-то сможет воспользоваться сетью из сотен миллионов iPhone для незаконной слежки без ведома производителя, владельцев участвующих в поисковой операции смартфонов и самих жертв.

Насколько опасны AirTag?

Самое страшное пока не произошло, и вряд ли произойдет — Apple все-таки заботится о безопасности собственной инфраструктуры. Также надо понимать, что AirTag — далеко не единственное устройство подобного плана. Различного рода легальные и нелегальные устройства для слежки существуют уже не одно десятилетие.

Более того, даже потребительские брелоки с похожей функциональностью давно продаются. Метки Tile выпускаются с 2013 года, и они также имеют средства поиска потерянных вещей на большом расстоянии с использованием того же самого принципа. Конечно, этой компании вряд ли удастся достичь «покрытия» из сотен миллионов iPhone — тут нужна мощь экосистемы Apple. Плюс подобные устройства стоят денег, иногда немалых, и относительно легко обнаруживаются.

В случае с AirTag метки нужно обязательно привязывать к учетной записи Apple, которую сложно завести анонимно, без указания реального имени и (чаще всего) номера кредитной карты. Если полиция обратится в Apple по поводу незаконной слежки, то компания эти данные предоставит (остается, правда, убедить полицию запросить такие данные, что, по свидетельствам жертв в разных странах, получается не всегда).

В итоге все как обычно: AirTag — это полезная технология, которая также может использоваться во вред. Apple не изобрела киберсталкинг, но придумала удобную технологию, которая, так уж получилось, позволяет реализовать незаконную слежку. Поэтому на компании лежит и ответственность для усложнения нежелательного использования.

Здесь снова стала актуальной критика закрытой экосистемы программ и устройств Apple. Если вы владелец iPhone и кто-то подложил вам в сумку AirTag, ваш телефон сообщит об этом. А если у вас нет iPhone? Пока производитель решил эту проблему выпуском приложения для Android-смартфонов. Которое еще надо установить, чтобы обнаружить слежку. Получается, Apple создала проблему для всех, а простое решение предложила только для собственных клиентов. Всем остальным приходится как-то подстраиваться.

В феврале 2022 года Apple постаралась ответить на массу критики одним большим заявлением. В нем она признала, что далеко не все сценарии использования AirTag (как легальные, так и незаконные) были предусмотрены до выпуска устройства. Пообещала более четко сообщать покупателям AirTag о том, что использовать их для слежки нельзя. Планирует сделать погромче звуковой сигнал, по которому вы можете найти «чужой» AirTag. Это похвально, но всех проблем пока не решает. Будем надеяться, что со временем Apple удастся четко разделить законные и незаконные варианты использования AirTag.

Защитная шторка для веб-камеры: паранойя или необходимость

Обычно люди делятся на два лагеря: те, кто заклеивает камеру и те, кто нет. Кто из них прав и почему? Для начала разберемся с понятиями. Шторки для веб-камеры – это накладка, которая блокирует камеру вашего устройства, обеспечивая защиту от её взлома. Такие защитные шторки предназначены не только для ноутбуков, их можно использовать на смартфонах и планшетах. Если оставить камеру незакрытой на цифровых устройствах, то вы можете стать объектом нежелательного наблюдения со стороны киберпреступников. Поэтому использовать шторку – хорошая идея для защиты вашей частной жизни от шпионажа.

Вебкам-шпионы

Сложно ли взломать веб-камеру? Боимся, что ответ может вас напугать. Если судить по количеству роликов на YouTube, получить контроль над вашей камерой под силу даже школьнику. Есть несколько видов «сетевых подглядывателей». Одни делают это ради веселья и дают о себе знать жертве, а вторые делают это тихо и человек даже не подозревает, что за ним наблюдают. Оба сценария неприятны и могут быть чреваты последствиями.

Какой тип накладки для веб-камеры выбрать?

Думаете как закрыть свою веб-камеру? Тогда давайте разберем плюсы и минусы всех возможных вариантов.

Вариант 1: специальные шторки для веб-камеры

Плюсы. Совместимость со всеми устройствами: от смартфона до ноутбука. Тонкий и прочный. Хорошо выглядит. Легко открывать и закрывать.

Минусы. Дороже остальных вариантов.

Вариант 2: самоклеящиеся стикеры

Плюсы. Недорогие и их легко найти дома либо в офисе.

Минусы. Недолговечны. Могут отвалиться в самый неподходящий момент. Выглядят не очень привлекательно. Никакой функциональности.

Вариант 3: наклейка

Плюсы. Недорогой вариант. Легко найти. Симпатично смотрятся.

Минусы. Низкая долговечность. Легко отваливается. Неудобно постоянно отклеивать и приклеивать.

У каждого из этих вариантов есть свои за и против. Cамоклеящиеся стикеры и наклейки могут стать краткосрочным решением, пока вы не найдете подходящую универсальную шторку для камеры.

А что, если не использовать шторку?

Конечно, это выбор каждого, но в таком случае нужно понимать возможные риски. Многие из нас до сих пор работают из дома, и защитная накладка может уберечь от неприятностей. Помните, если оставить камеру незакрытой, вы можете стать уязвимым для слежки и атак через веб-камеру.

Риск 1: вымогательство. Согласно статье в журнале Forbes, некоторые атаки на веб-камеры могут происходить с целью получения видео или изображений людей в компрометирующих позах. Например, киберпреступник заснял как вы переодеваетесь или выходите из душа. Затем он может угрожать обнародовать эти изображения, если ему не заплатят определенную сумму.

Риск 2: дети могут подвергнуться опасности. Журналистка Wall Street Journal попросила этичного хакера взломать ее веб-камеры. Она была шокирована, когда спустя время он отправил ей фотографию ребенка. Оставляя веб-камеру незакрытой, вы можете поставить под угрозу конфиденциальность окружающих вас людей, включая ваших близких.

Риск 3: проблемы с безопасностью. Zoom столкнулся с изрядной долей проблем с безопасностью. Некоторые пользователи подверглись кибератакам через приложение. Поскольку работа из дома становится новой нормой, наличие шторки для веб-камеры актуально как никогда!

Риск 4: неизвестные риски. Работаете вы дома, в офисе или в дороге, незакрытая камера может представлять риск для конфиденциальности. Как? Давайте вспомним, сколько раз вы брали с собой смартфон в туалет или в ванну. Ведь вы бы не хотели, чтобы хакеры получили ваше изображение при таких условиях. Потому для сохранения душевного спокойствия, вы знаете, что делать.

Остались сомнения?

  • Эксперты по безопасности рекомендуют и своим примером показывают, что это необходимость! ФБР часто советует закрывать веб-камеру. Даже Марк Цукерберг был замечен прикрывающим веб-камеру своего ноутбука, а некоторые производители гаджетов сразу продают решение со встроенной накладкой. Думаете это просто так?
  • Наклеить шторку – это простой шаг, который поможет сохранить вашу конфиденциальность. Лучше подстраховаться, чем подвергнуться потенциальным кибератакам.
  • Шторки для веб-камер очень просты в использовании. Установка займет не более пары секунд, а открывать-закрывать накладку можно простым движением руки.
Россия расширила систему видеонаблюдения за последние годы

Как Россия расширила систему видеонаблюдения за последние годы

В 2020 году Россия заняла третье место в мире по количеству камер видеонаблюдения на своей территории. Страна также инвестировала миллионы долларов в программное обеспечение для распознавания лиц и запустила в Москве одну из самых всеобъемлющих систем наблюдения в мире.

Власти заявляют, что это повысит общественную безопасность и поможет бороться с пандемией коронавируса, однако правозащитники выразили обеспокоенность отсутствием регулирования и возможными нарушениями конфиденциальности данных.

Чем Россия отличается от других стран?

Согласно исследованию информационно-аналитического агентства TelecomDaily, в 2020 году в России насчитывалось более 13 миллионов камер видеонаблюдения. Только в Китае и Соединенных Штатах их было больше 200 миллионов и 50 миллионов соответственно. По количеству камер на 1000 человек Россия заняла третье место после США и Китая.

Количество камер видеонаблюдения на 1000 человек

(топ-5 стран)

Более половины камер в России (почти 8 миллионов) были установлены коммерческими организациями с целью защиты собственности. Около трети (почти 4,5 миллиона) в школах, больницах и государственных учреждениях. Они финансировались из государственного бюджета. Остальные камеры (около 1,1 миллиона) были установлены частными лицами.

Кто устанавливает камеры в России?

(процент камер)

Предыдущие исследования (например, CompariTech и PreciseSecurity.com ) показали, что Россия не предоставляла данные о камерах во всех своих городах, что усложняло сравнение с другими странами. Тем не менее, было выявлено, что в 2019 году в Москве было установлено 193000 камер, а в Санкт-Петербурге 55000 камер. Оба города вошли в топ-50 самых просматриваемых городов мира: в Москве было 15,4 камеры на 1000 человек (29-е место), а в Санкт-Петербурге 10,1 камеры на 1000 человек (37-е место)

Плотность камер видеонаблюдения в отдельных городах

(количество камер на квадратный километр)

Почему используются камеры видеонаблюдения?

Власти многих стран считают, что камеры видеонаблюдения могут снизить уровень преступности, повысить общественную безопасность или помочь с дорожными ситуациями. С другой стороны, существуют серьезные опасения по поводу конфиденциальности людей в общественных местах и того, безопасно ли обрабатываются данные с камер.

В 2020 году пандемия коронавируса открыла новый взгляд на эту проблему, поскольку несколько стран начали использовать высокотехнологичное наблюдение, чтобы убедиться, что люди остаются дома, если их поместили в карантин. Например, люди в Гонконге должны были носить карантинный браслет, а данные о местоположении телефона использовались для отслеживания перемещения пациентов в Южной Корее.

После нескольких лет тестирования Россия запустила систему распознавания лиц в январе 2020 года. Этой технологией были оснащены более 100 000 камер, которые уже были установлены в Москве.

Следовательно, в начале пандемии в России существовала система, которая позволяла властям контролировать соблюдение людьми карантинных правил. По некоторым данным, камеры могли фиксировать «нарушителей» даже тогда, когда они покидали свои дома всего на несколько минут, чтобы вынести мусор.

Как работает распознавание лиц?

Сколько тратится на камеры?

В 2019 году для Москвы было потрачено более 53 миллионов долларов на оборудование для технологии распознавания лиц.

Согласно недавнему отчету MBH Media, мэрия Москвы потратила еще 35 миллионов долларов в 2020 году. Самую большую часть бюджета (примерно 19 миллионов долларов) взял на себя Московский метрополитен, который должен иметь по восемь камер примерно в четверти своих вагонов. Другие средства пошли на системы распознавания лиц для трамваев и автобусов, решения для хранения данных и техническое обслуживание.

Что Россия планирует дальше?

В июне 2020 года был подписан контракт на систему распознавания лиц под названием «Оруэлл» для всех своих школ — в общей сложности более 43000. По словам властей, это было сделано для мониторинга перемещений детей и выявления потенциальных посторонних в школьных помещениях в целях повышения безопасности.

Три месяца спустя было объявлено, что по всей стране будут установлены дополнительные системы распознавания лиц. Помимо Москвы, еще в 10 городах должны быть установлены камеры в общественных местах и в подъездах многоквартирных домов. Полный список городов пока не раскрывается, но чиновники заявили, что, например, в Нижнем Новгороде должно быть установлено около 3000 камер.

Полиция России также разрабатывает систему, которая будет распознавать людей по их татуировкам, радужной оболочке глаза, голосу или движениям тела. Распознавание походки позволяет идентифицировать человека на расстоянии 50 метров, даже если он не смотрит в камеру. Система анализирует походку человека на основе длины шагов, угла наклона ступней или движения рук, и её нелегко обмануть.

Функции, контролируемые системами распознавания походки

Поскольку все технологии наблюдения в значительной степени зависят от баз данных, Россия хочет создать централизованный банк отпечатков пальцев, изображений лиц и других биометрических данных. В базе данных будет собираться информация как о россиянах, так и об иностранцах. План состоит в том, чтобы разработать его в течение следующих трех лет.

Что россияне думают о видеонаблюдении?

С тех пор как в Москве была запущена система распознавания лиц, появились сообщения о предполагаемых утечках данных. Например, организация «Роскомсвобода» задокументировала несколько случаев, когда в интернете продавались данные жителей Москвы. Волонтер Роскомсвободы Анна Кузнецова якобы смогла получить данные с 79 московских камер, включая ее личную информацию. Она подала в суд на Департамент информационных технологий Москвы.

Однако мнения москвичей относительно видеонаблюдения разделились. Около 47 процентов испытывают скорее положительные чувства, говоря, что камеры будут бороться с преступностью и обеспечивать большую безопасность, в то время как 42 процента испытывают скорее негативные чувства. В основном они обеспокоены тем, что система может нарушить их свободу. Некоторые респонденты также считали, что камеры не нужны и являются пустой тратой денег.

Как москвичи относятся к видеонаблюдению?

(в процентах)

Хорошо или плохо?

В то время как использование систем распознавания лиц может показаться оправданным во время глобальной пандемии, правозащитные группы призывают принять нормативные акты, чтобы эти меры были временными, соразмерными текущей ситуации и не использовались в гнусных целях. Например, власти России, Беларуси или других странах могут использовать такую технологию для идентификации участников несогласованных антиправительственных акций.

Многие организации по защите прав человека отмечают продолжающееся ухудшение положения в области прав человека в России. Остается вопрос: сможет ли Россия, когда пандемия закончится, найти правильный баланс между слежкой ради безопасности и защитой частной жизни людей?

В России обнаружено более шести тысяч незащищенных камер

В России обнаружено более шести тысяч незащищенных камер

Более 6,3 тыс. камер видеонаблюдения, размещенных в том числе на объектах критической инфраструктуры и промышленных предприятиях России, имеют открытые IP-адреса, а доступ к ним может получить любой желающий. На базе камер с открытым IP злоумышленники могут организовать нелегальную систему видеонаблюдения или использовать их как вычислительный ресурс, предупреждают эксперты.

Порядка 6,3 тыс. камер видеонаблюдения, расположенных на электростанциях, промышленных предприятиях, заправках и в системах «умных» домов в России, оказались уязвимы, рассказали “Ъ” в компании Avast со ссылкой на данные поисковой системы по интернету вещей Shodan.io. IP-адреса этих камер открыты, и к ним могут получить доступ киберпреступники, говорят эксперты.

К системе большинства таких камер можно получить доступ без имени пользователя и пароля, либо пароль к ним установлен по умолчанию»,— пояснили в Avast.

Россия, по данным Shodan.io, находится на пятом месте по числу камер видеонаблюдения с открытым IP. На первых строчках располагаются Вьетнам, Тайвань, Южная Корея и США. Во всем мире около 124 тыс. камер имеют такую уязвимость.

Россия сейчас занимает третье место в мире по числу установленных камер видеонаблюдения, оценивали ранее аналитики Telecom Daily. В стране их почти 100 на каждую тысячу человек (всего около 13,5 млн камер), и около трети установлено за государственный счет. В Москве, например, число городских камер видеонаблюдения превышает 170 тыс. а затраты столицы на модернизацию систем видеонаблюдения и анализа информации с камер постоянно растут. Если в 2019 году департамент информационных технологий Москвы потратил на эти цели 60,8 млрд руб., в 2020-м — около 68 млрд руб., то по итогам 2021 года расходы ожидаются на уровне 70,8 млрд руб., следует из информации на сайте Мосгордумы. В январе стало известно, что мэрия Москвы до 2025 года потратит почти 3 млрд руб. на систему видеонаблюдения в Новой Москве.

При этом данные с городских камер уже неоднократно утекали.

В сентябре прошлого года общественная организация «Роскомсвобода» в суде потребовала от властей Москвы остановить работу уличной системы по распознаванию лиц. Организацию беспокоило, что в даркнете можно легко купить подробные данные о передвижениях людей, которые собираются с помощью городских камер. В январе пользователь сайта Habr обнаружил уязвимость, позволяющую проникнуть в систему видеонаблюдения ОАО РЖД. По его словам, проблема была связана с незамененными паролями, установленными по умолчанию на маршрутизаторах компании MikroTik.

Обнаружено более шести тысяч незащищенных камер

Доступ к ряду камер сегодня защищен самыми простыми паролями, которые легко можно подобрать, подтверждает гендиректор компании «Интернет Розыск» Игорь Бедеров. Такие камеры, по его словам, могут быть размещены в том числе в банках, что потенциально грозит утечками данных кредитных карт и паспортов клиентов кредитных организаций. На базе камер с открытым IP можно организовать нелегальную систему видеонаблюдения или аналитики, допускает господин Бедеров. Если дополнить такую систему модулями распознавания лиц, получится система тотальной слежки, рассуждает он.

Злоумышленники могут, например, зайти в корпоративную сеть компании через уязвимые камеры, создать сеть ботов или использовать их как вычислительный ресурс, говорит руководитель группы по оказанию услуг в области кибербезопасности КПМГ в России и СНГ Илья Шаленков.

Если уязвимые камеры видеонаблюдения установлены дома, то, по его словам, их взлом грозит потерей частной жизни.

Данные, собираемые с камер как коммерческих, так и государственных структур, можно отнести к персональным, отмечает исполнительный директор компании Faceter Russia Эдуард Костырев. По такой информации можно, например, определять геолокацию человека, предупреждает эксперт. Такая информация, по его мнению, может продаваться в рекламных целях.

Google собирает в 20 раз больше телеметрии с Android, чем Apple с iOS

Профессор Дуглас Дж. Лейт (Douglas J. Leith) из дублинского Тринити-колледжа опубликовал научное исследование, посвященное сбору телеметрии в мобильных ОС. Оказалось, что компания Google собирает примерно в 20 раз больше телеметрии с устройств на базе Android, чем компания Apple с устройств на базе iOS.

Для сбора статистики и проведения анализа эксперт изучил трафик, исходящий от устройств iOS и Android на серверы Apple и Google на различных этапах работы девайса, например:

  • при первом запуске после восстановления заводских настроек;
  • когда SIM-карта вставлена​/ извлечена;
  • когда телефон простаивает;
  • при просмотре экрана настроек;
  • когда геолокация включена/отключена;
  • когда пользователь входит в предустановленный магазин приложений.

При этом в исследовании учтено, что данные могут собираться как самой операционной системой, так и приложениями по умолчанию, включая поисковики (Siri, OkGoogle), облачные хранилища (iCloud, Google Drive), карты и геолокационные сервисы (Apple Maps, Google Maps), хранилище фотографий (ApplePhoto, Google Photos). Разделив эту активность, Лейт сосредоточился именно на сборе данных ОС.

В итоге профессор пришел к выводу, что «и iOS, и Google Android собирают телеметрию, несмотря на то, что пользователь явно отказался от этой [опции]». Хуже того, «эти данные передаются компаниям, даже если пользователь не вошел в систему (даже если он никогда не входил в систему)».

Согласно документу, Apple склонна собирать больше типов данных со своих iOS-устройств, но Google собирает «заметно больший объем данных».

«В течение первых 10 минут после запуска смартфон Pixel отправляет в Google около 1 Мб данных, тогда как iPhone отправляет в Apple около 42 Кб данных.
Когда телефоны простаивают, Pixel отправляет примерно 1 Мб данных в Google каждые 12 часов по сравнению с iPhone, отправляющим 52 Кб в Apple. То есть Google собирает примерно в 20 раз больше данных с мобильных устройств, чем Apple», — пишет эксперт.

Столь обширная телеметрия может повлечь за собой как минимум две серьезные проблемы. Во-первых, ее можно использовать для привязки физических устройств к личным данным, которые обе компании, скорее всего, используют в рекламных целях. Во-вторых, процесс сбора телеметрии позволяет производителям отслеживать местоположение пользователей на основе их IP-адресов.

Издание The Record, равно как и сам профессор Тринити-колледжа, попросило представителей Apple и Google прокомментировать выводы, сделанные в научной работе. Компания Apple не ответила на запросы профессора и журналистов, а в Google Лейту пообещали обнародовать общедоступную документацию по собираемым данным, хотя не назвали точную дату, когда это произойдет. Журналистам же в Google ответили несколько иначе:

«В этом исследовании рассказывается о том, как работают смартфоны. Современные автомобили регулярно отправляют производителям основные данные о компонентах транспортного средства, состоянии их безопасности и графиках обслуживания, и мобильные телефоны работают аналогичным образом. В этом отчете подробно рассказывается о таких сообщениях, которые помогают гарантировать, что программное обеспечение iOS или Android обновлено, службы работают должным образом, а телефон безопасен и работает эффективно».

Кроме того, производитель оспаривает саму методологию сбора данных. По мнению Google, в исследовании недооценивается объем телеметрии iOS, и исключаются определенные типы трафика, а это приводит к искажению результатов.

Может ли полиция злоупотреблять вашими данными, чтобы преследовать вас?

«Особое мнение» – научно-фантастический фильм Стивена Спилберга.

Представьте себе отдел полиции, который может предсказывать преступления до того, как они произойдут. Чем то напоминает фантастический фильм «Особое мнение» Стивена Спилберга. Правоохранительные органы спешат разработать программы прогнозирования преступлений, распознавания лиц и цифрового наблюдения. Однако злоупотребления этим наглядно демонстрируют, как эти технологии могут лишить нас наших же основных прав.

Рейды за преступления, которых вы не совершали

В 2011 году шериф округа Паско представил новую программу прогнозирования преступности. Он работает, генерируя списки людей, которые могут нарушить закон, изучая истории арестов и другие “неопределенные разведданные».”

Компьютер генерирует новый список потенциальных преступников каждые 90 дней, и полицейские аналитики затем решают, кого посетить, чтобы проверить.

Но вместо того, чтобы защищать общество и предотвращать преступления, депутаты округа Паско начали преследовать людей, навещая их среди ночи, допрашивая без всякой причины и арестовывая за легкие нарушения.

В 2018 году 15-летний Рио Войтецки был арестован за кражу моторизованных велосипедов, и его регулярно проверял сотрудник службы надзора за несовершеннолетними. Однако Рио оказался в списке потенциальных преступников, и его дом был посещен депутатами 21 раз с сентября 2019 года по январь 2020 года.

Тревожная тенденция злоупотреблений

Подобные программы прогнозирования преступлений уже были опробованы в других городах США. Аналогичная программа была закрыта в полицейском управлении Лос-Анджелеса после того, как выяснилось, что половина людей в их базе данных не была арестована за тяжкие преступления.

Офис шерифа округа Паско утверждал, что система использует только криминальные данные, но отказался раскрыть их базу данных или рассказать, какой информацией они обладают. Учитывая агрессивную тактику полицейского управления Паско, остается много вопросов, оставшихся без ответа.

Концепция предсказания работы полиции игнорирует презумпцию невиновности. Вместо того, чтобы быть «невиновными до тех пор, пока вина не будет доказана», люди автоматически воспринимаются как потенциальные преступники и даже могут быть подтолкнуты к преступлениям, которых они не совершили бы в повседневной жизни.

Сбор фотографий из учетных записей социальных сетей

В августе 2020 года Департамент полиции Нью-Йорка арестовал активиста Black Lives Matter Деррика Ингрэма за то, что он якобы кричал в ухо полицейскому с МегаФоном. Ингрэма выследили с помощью программы распознавания лиц, а его квартиру окружили полицейские.

Полиция Нью-Йорка утверждала, что они только сравнивали видеозаписи с законно хранящимися фотографиями ареста для своих расследований, но во время ареста Ингрэма один офицер держал фотографию, сделанную из его аккаунта в Instagram.

Ранее в этом году отчет показал, что полиция Нью-Йорка регулярно использует программное обеспечение для распознавания лиц от Clearview AI, спорной фирмы, известной тем, что она накопила базу данных из миллиардов фотографий, взятых из социальных сетей и Интернета.

Clearview AI сотрудничает с сотнями правительственных учреждений, компаний и частных лиц по всему миру. ФБР, таможня и пограничная служба, Интерпол и десятки полицейских управлений используют их программное обеспечение для распознавания лиц. Facebook, Instagram, YouTube или где-либо еще в интернете, возможно, в конечном итоге оказались в их базе данных.

Нет никаких строгих руководящих принципов для того, кто может получить доступ к базе данных, что вызывает озабоченность по поводу потенциальных злоупотреблений. Кроме того, Clearview AI пострадала от утечки данных в 2020 году, когда был получен доступ к ее списку клиентов. Такая обширная база данных обязательно привлечет хакеров, подвергая риску нашу личную информацию.

Спрятаться негде

Известно также, что правоохранительные органы используют так называемые скаты-симуляторы сотовых вышек, которые обманом заставляют телефоны подключаться к поддельной антенне для отслеживания вашего местоположения, перехвата сообщений или даже внедрения вредоносных программ.

Любой смартфон в непосредственной близости может подключиться к фальшивой вышке и получить информацию о ней. Хотя эта технология может помочь поймать злоумышленников, она также может быть использована для создания или объединения с обширной базой данных, доступной для правоохранительных органов или таких компаний, как Clearview AIR.

Скаты обычно используются для преследования подозреваемых в уголовных расследованиях, но многие считают, что эта технология также применялась в Black Lives Matter и других протестах по всей территории США. Многие юридические критики также считают скатов формой неконституционного поиска или отслеживания без каких-либо гарантий.

Как защитить свою конфиденциальность

Используйте сквозное шифрование. Такие сервисы обмена сообщениями, как WhatsApp, Signal или Telegram, предлагают сквозное шифрование . Даже если кто-то перехватил ваши сообщения, он не сможет их прочитать.

Отключите отслеживание местоположения Google. Хотя эта функция может предоставлять вам обновления трафика, более полезную рекламу и рекомендации, она также дает подробную картину вашего местонахождения. Если вам случится оказаться рядом с местом преступления, вы можете стать главным подозреваемым в преступлении, которого не совершали.

Будьте осторожны с вашими постами в социальных сетях. Ваши аккаунты в социальных сетях — это золотая жила. Чем больше личных данных вы раскрываете в интернете, тем больше вероятность, что они будут использованы не по назначению и окажутся в какой-то секретной базе данных без вашего согласия.

Подключите VPN. VPN маскирует ваш IP-адрес и шифрует трафик, благодаря чему вы можете избежать слежки, получить доступ к гео-заблокированному контенту любимым Роскомнадзором и взять конфиденциальность в свои руки.

Прикрыть камеру. Закройте камеру, когда та не используется вами. Для этого отлично подходит защитная шторка для камеры, которая будет сочетаться и дополнять ваше устройство.

Безопасно ли приложение FaceApp?

Кто бы не хотел заглянуть в будущее, чтобы увидеть себя старше? Это то, что делает FaceApp, но есть одна загвоздка — пользователи отправляют горы данных и дают право использовать свои изображения практически при любых обстоятельствах. Учитывая сомнительное право собственности на приложение, невозможно точно сказать, как эти данные могут использоваться.

FaceApp существует уже несколько лет, но в какой то момент оно стало вирусным из-за своего нового фильтра старения. Приложение использует ИИ, чтобы показать, как вы можете выглядеть через 20 или 30 лет. Эти изображения стали настолько популярными, что даже знаменитости начали публиковать их в социальных сетях с тегом #faceappchallenge. Однако многие люди были удивлены, когда начали копать глубже и читать Условия и положения приложения, в которых говорится:

“Вы предоставляете FaceApp бессрочную, безотзывную, неисключительную, безвозмездную, всемирную, полностью оплаченную, передаваемую сублицензионную лицензию на использование, воспроизведение, модификацию, адаптацию, публикацию, перевод, создание производных работ, распространение, публичное исполнение и отображение вашего пользовательского контента, а также любого имени, имени пользователя или подобия, предоставленного в связи с вашим пользовательским контентом во всех медиа-форматах и каналах, известных в настоящее время или разработанных позже, без какой-либо компенсации вам.”

Это означает, что приложение имеет право использовать ваше имя, фотографии и другой контент так, как захочет.

Зачем это нужно?

Помимо расплывчатых заявлений о правилах и условиях, политика конфиденциальности приложения также вызывает множество вопросов с кибербезопасностью. Вот почему:

1. Вы не контролируете свои данные

Основатель FaceApp Ярослав Гончаров — бывший руководитель «Яндекса», которого обвиняют в передаче конфиденциальных данных пользователей Кремлю. Поэтому критики задались вопросом, где будут храниться ваши данные и у кого будет к ним доступ.

FaceApp утверждает, что данные хранятся на серверах в США, а не в России, где было разработано приложение. Однако в Условиях нет ничего, что мешало бы этим данным пересекать границы или передаваться сомнительным третьим лицам.

Также заявляется, что большинство загружаемых вами изображений хранятся в облаке и автоматически удаляются через 48 часов. Однако FaceApp также заявляет в своей политике конфиденциальности, что они сохраняют за собой право хранить ваши фотографии на своих серверах, даже если они удалили их из вашего приложения. По сути, они могут хранить ваши фотографии и данные столько, сколько захотят.

2. Сомнительные разрешения для приложения

Приложению требуется доступ к вашей камере и содержимому вашей карты памяти, но некоторые пользователи iOS заметили, что FaceApp также может получить доступ ко всем фотографиям в их библиотеке фотографий, несмотря на ограничительные настройки общего доступа.

Также смущает широкий спектр других разрешений, которые запрашивает приложение. Если вы согласны с условиями, оно также получит доступ к истории вашего браузера, местоположению, файлам cookie, метаданным и многому другому. Трудно сказать, сколько еще данных приложение может собрать без вашего согласия.

3. Эти данные могут быть использованы против вас

Ваши данные могут быть сопоставлены с вашим изображением и информацией, которой вы делитесь в социальных сетях, чтобы создавать ваш точный профиль.

Затем он может быть использован против вас, если вы живете или несогласованные массовые мероприятия, если вы активист или политик, или чтобы влиять на ваши решения. В конце концов, именно так и начался скандал с Cambridge Analytica — с невинного, забавного маленького приложения для викторин.

Ваши данные также могут быть использованы для создания новых социальных сетей или других учетных записей, которые могут быть использованы в атаках социальной инженерии.

4. Ваше лицо-это ваша подпись

Мы часто забываем, что распознавание лиц превращает наши лица в цифровые подписи. У нас есть новые и мощные технологии, которые разблокируют наши телефоны, просто взглянув на них. Ученые использовали 3D-принтеры с фотографиями, чтобы обойти распознавание лиц, в то время как некоторые системы могут быть обмануты самими фотографиями. Поддельные видео могут вложить слова в чей-то рот, используя только фотографию его лица.

Однажды ваше лицо может стать ключом к вашей двери или вашему банковскому счету. Будьте осторожны, кому вы отдаете свой ключ.

Мораль этой истории

Основной вывод заключается в том, что пользователи должны больше ценить свои данные и не делиться ими свободно. Это может показаться несущественным компромиссом, но это не так.

Никогда не игнорируйте Условия и положения приложений, особенно когда они обрабатывают конфиденциальные данные, такие как ваша личная информация или ваши изображения. Условия и положения приложений могут быть длинными и скучными, поэтому их легко слепо принять. Однако иногда достаточно посмотреть на ключевые вещи, например, как хранятся данные, как они используются и к каким другим файлам или настройкам приложение сможет получить доступ. В следующий раз, когда вы скачаете приложение, о котором все говорят, потратьте несколько минут, чтобы просмотреть разрешения, которые вы ему даете. Это может окупиться сильнее, чем вы думаете!