Робот-пылесос следит за тобой

Ещё не так давно Интернет облетели скандальные фотографии, сделанные… роботом-пылесосом. На фотографиях были запечатлены домашние сцены, в том числе довольно интимные, снятые с низких ракурсов.

Все эти изображения были сделаны не скрытой камерой и не человеком, ворвавшимся в чей-то дом. Они принадлежали одной из версий робота-пылесоса iRobot Roomba. Оказалось, что фотографии от пылесоса автоматически отправляются в стартап Scale AI, который нанимает сотрудников из бедных стран для маркировки аудио-, фото- и видеоданных, используемых для обучения искусственного интеллекта. А потом эти сотрудники при желании делятся этими данными друг с другом.

Кто смотрит видео с камеры?

Чаще всего — никто. Но из этого правила могут быть исключения. В частности, скандальный случай с фото хозяйки на унитазе стал возможен потому, что прототип (инженерный образец) пылесоса Roomba J7 отсылал видеопоток производителю, фирме iRobot, для разработки алгоритмов нового робота.

Из других снимков можно узнать, как живут люди во многих домах по всему миру. Мебель, декор и предметы, расположенные высоко на стенах и потолках, часто обведены прямоугольниками и снабжены надписями вроде «телевизор», «растение», «книга» или «светильник».

Чтобы улучшать системы машинного зрения, инженерам требуется не просто видео с камеры пылесоса, а размеченное видео. На нем должны быть распознаны и верно обозначены элементы меблировки. Первичная разметка фото и видео проводится людьми, а когда компьютер уже обучен на этих примерах, люди проверяют качество распознавания и исправляют ошибки. Вот iRobot и передала видео специализированному подрядчику Scale AI, который содержит целый штат низкооплачиваемых сотрудников, часами просматривающих фото или видео, маркируя нужные объекты. Как раз эти суб-субподрядчики из Венесуэлы и допустили утечку особо забавных, на их вкус, фото, в группу Facebook.

Фирма iRobot утверждает, что все прототипы обклеены соответствующими предупреждениями и передаются испытателям только после письменного согласия на съемку — то есть случайно купить такой пылесос в магазине невозможно. То есть, по оценке iRobot, любой, чьи фото или видео появлялись в стримах, соглашался на то, чтобы их роботы-пылесосы их снимали.

Конечно, звучит успокаивающе. Если мы не подпишем такой контракт, наши данные в Сеть утекать не будут! Но на деле потребители регулярно соглашаются на отслеживание своих данных на различных устройствах, от айфонов до стиральных машин. Мало кто разбирается в политиках конфиденциальности и вчитывается во все расплывчатые формулировки (будем честны, я такое последний раз делал лет 10 назад). Достаточно поставить галочку напротив нужной формы. А потом, оказывается, ваше голое тело, фотографии ваших детей и интерьеры вашей квартиры будут обсуждаться на форумах в Венесуэле или на Филиппинах.

Массовый сбор данных

Развитие умной домашней электроники, особенно автономных роботов, невозможно без масштабного сбора информации. Все системы машинного обучения способны чему-либо научиться, только проанализировав миллионы миллионов образцов. Это одна из основных причин, по которой в длинном лицензионном соглашении об использовании продукта почти всегда есть пункт о том, что производитель требует вашего согласия на сбор «диагностических» данных для улучшения продуктов и услуг. При этом далеко не всегда список этих данных детализирован, а «улучшение продуктов и услуг» не детализировано никогда.

Иногда в соглашении явно указано, что данные не будут продаваться или использоваться в коммерческих целях, но «улучшение продукта» часто связано с обработкой собранных материалов субподрядчиками или партнерами. Таким образом, в большинстве случаев невозможно понять, какие данные собираются, куда передаются и где закончат свой путь.

Хорошую попытку исправить эту ситуацию, впрочем, делает некоммерческая организация Mozilla Foundation, выпускающая гид Privacy Not Included. В нем отмечаются приложения и гаджеты, которые особо цинично нарушают права покупателей на защиту информации. Список далеко не полон, но несколько «хороших» и «плохих» роботов-пылесосов там уже есть.

Нецелевое использование

Даже если предположить, что производитель робота-пылесоса максимально этичен, судьба собранных данных не всегда безоблачна. Они подолгу хранятся на серверах производителя, где их защита порой не поддерживается на должном уровне. Поэтому, кроме субподрядчиков, к ним внезапно может появиться доступ у совершенно посторонних людей — от исследователей безопасности до киберкриминала или политически мотивированных хакеров.

Еще одна, хоть и более экзотическая угроза, — взлом самого пылесоса. Под контролем хакера он может выполнять любые нецелевые действия (даже играть музыку из Spotify), включая, конечно, и разные формы шпионажа.

Как минимизировать риски

Несложно устроить свой быт с пылесосом таким образом, чтобы сбор данных был минимизирован и не мог привести к утечке важных данных о вашей частной жизни. Например, в настройках можно отключить передачу карты квартиры или дома на сервер производителя, всегда проводить уборку, когда домочадцев нет дома, а при необходимости — запретить въезд пылесоса в какие-то особо важные места квартиры, будь то спальня или библиотека. Такой запрет иногда доступен в настройках, но еще надежнее использовать для этого «виртуальные стены» от производителя вашего устройства.

Другой реалистичный вариант: подобрать модель пылесоса, работающую вообще без доступа в Интернет. Целый ряд моделей той же iRobot на это вполне способны, хотя запуск по расписанию и просмотр статистики уборки все же нуждаются и в доступе в Сеть, и в установке на телефон соответствующего приложения.

Если без Интернета настроить пылесос невозможно, может сработать комбинированный вариант: провести первоначальную настройку пылесоса при помощи мобильного приложения, установить нужный график уборки, а потом отключить пылесосу доступ в Интернет.

Сделать это можно через настройки роутера: либо при помощи смены пароля точки доступа, либо внесением пылесоса в специальный «черный список».

Более сложный способ: организовать управление пылесосом без связи с интернет-серверами производителя, непосредственно из локальной сети. Пылесос даже можно интегрировать с системой автоматизации «умного дома»! Подобные проекты есть, например, для популярных моделей iRobot и Xiaomi, но они требуют определенных технических навыков.

оригинал статьи на habr.com

Илон Маск считает, что мессенджеру WhatsApp нельзя доверять

Основатель Tesla и владелец Twitter Илон Маск раскритиковал популярный мессенджер WhatsApp*. Согласно снимку экрана, опубликованному одним из пользователей Twitter, WhatsApp* самопроизвольно активировал микрофон его смартфона несколько раз за ночь. «WhatsApp нельзя доверять», — написал Маск.

Со схожей критикой выступил создатель мессенджера Telegram Павел Дуров. Он напомнил об уязвимостях WhatsApp, которые позволяли взламывать смартфоны пользователей.

«Например, в WhatsApp простого принятия звонка или просмотра видеозаписи было достаточно, чтобы злоумышленник получил полный доступ к Вашему телефону. Из-за этой уязвимости WhatsApp становился шпионской программой, которая позволяла хакерам взломать любой смартфон с WhatsApp.»

Как защитить приватность обычному пользователю

В современном мире, когда цифровые технологии стали неотъемлемой частью нашей жизни, вопросы безопасности и конфиденциальности данных приобретают особую важность. Все больше людей задумывается о том, насколько надежно они защищены от вмешательства собственных смартфонов в личную жизнь. Проблемы с приватностью даже у популярных приложений с многомиллионной аудиторией доказывают, что опасения небезосновательны.

Один из немногих способов гарантированной защиты личной конфиденциальности от мобильных гаджетов — физическое отключение смартфонов от беспроводных сетей. Блокировка информационного обмена делает невозможной дистанционную прослушку и отслеживание через телефон, а также удаленную активацию камеры или микрофона.

Защитные чехлы и другие гаджеты со встроенной клеткой Фарадея блокируют все радиосигналы и на физическом уровне отключают смартфоны от сети. Защиту невозможно обойти — пока смартфон находится в чехле, устройство теряет возможность использовать функции беспроводной связи.

У нас вы найдете решения разного типа и форм-факторов. Используйте их тогда, когда вы хотите быть уверены в своей приватности на 100%.

*принадлежат компании Meta, признанной 21.03.2022 г. экстремистской организацией в России.

Какие данные о вас собираются, а какие закрываются?

Государство активно взяло курс на формирование реестра граждан и наполнение его разнородными данными. Про это высказываются самые разные чиновники после главного шага — введения системы «электронных повесток». К этому готовились. Напомним, что именно было сделано в последние два года для сбора максимального объема данных внутри госсистем.

  1. Государство в декабре принудило все коммерческие компании отдать себе биометрические данные 70 миллионов трудоспособных россиян (закон 211535 о «Единой информационной системе»). Всё, что собрали банки, телекомы, интернет-сервисы.
  2. В январе 2023 Путин поручил принять закон «об обезличивании» (992331). Несмотря на название, закон позволит государству принудительно забирать любые другие персональные данные к себе в «единую систему». Официально — чтобы разрабатывать сервисы и развивать ИИ, об этом прямым текстом говорили чиновники. Закон был скандальный и забуксовал осенью, но в январе президент придал ему импульс.
  3. Закон о класифайдах (141597). Принуждает HH, CIAN, Авито и других поставить себе спец.счётчик, собирающий данные с каждого вашего визита. Законом позволяется использовать данные для «иных целей» и — внимание — «развивать системы различного назначения для госорганов (ФЗ 149). А также интегрирует их данные в «Госуслуги».
  4. Закон о госсчётчике (ФЗ 2124) принуждает 79 крупнейших приложений, сервисов и сайтов установить трекер, который собирает каждый факт проигрывания видео, содержание страницы, её URL, первые 256 символов контента.

Вместе эти законы уникальны и такого набора нет ни в одной стране мира. Таким образом, «реестры» будут хранить профиль, в котором будет про вас всё, от внешности и данных с камер, до того, какую статью вы читали на прошлой неделе, какой товар изучали на Авито и какими квартирами интересовались. И там уже хранятся данные из ФНС о каждом вашем чеке и его составе. Можно будет неплохо предсказывать ваше поведение и использовать это для поощрения или наказания, разрешения или ограничения услуг одним кликом. Всё это — за рамками традиционных институтов. Такой вот идеальный мир глазами технократа.

Хроники закрытых данных

У нас не только оперативно создают новые электронные реестры граждан и «передовые системы мобилизационного развёртывания». Но так же оперативно закрывают данные о работе государственных систем. И вот несколько примеров:

  • Закрыт портал открытых данных data.gov.ru. На «пересборку», но характерно, что никаких сроков открытия не заявлено. Текущий сайт не поддерживается и закрыт.
  • Целиком закрыты данные Россотрудничества, Россморечфлота, Росимущества (24 набора данных).
  • Прекращена публикация статистики преступности.
  • Большинство показателей Росстата и системы ЕМИСС исчезнут с сайта или перестанут обновляться (для этого принят новый закон)
  • Закрыты данные об энергопотреблении.
  • Скрыты данные о собственниках в Едином государственном реестре недвижимости.
  • Закрываются даже региональные порталы. Например, портал города Перми (480 наборов данных) заменили на лендинг с телефонным справочником.
  • На 2023 год 23% бюджета страны засекречено. Эта доля в три раза больше, чем в «воинственных США».
  • Прекращена публикация деклараций чиновников.

Всего не менее 14 ведомств скрыли всю или часть статистики. Это целенаправленный тренд, который сложно объяснить безопасностью. Ведь чужим разведкам доступны более глубокие данные, официальные датасеты для них вторичны.

Очень жаль, ведь открытые данные — это возможность работы для независимых аналитиков и дата-журналистов, которые помогают государству и обществу развиваться. А также это «топливо» для data-driven стартапов, в том числе маркетинговых. Теперь полагаться стоит только на те данные, которые ты собираешь сам.

Что в итоге?

Мы видим систему, которая строит железобетонную стену вокруг себя, и при этом проламывает последние преграды на пути к вашему поведению в сети. Делается это успешно и системно.

Кому достанутся ваши аккаунты после смерти

Что произойдет с вашими цифровыми активами после смерти и как при жизни позаботиться о том, чтобы они попали в правильные руки.

То, что человек смертен, — не новость. Однако за последние двадцать лет люди обзавелись новыми видами активов, связанных с цифровой жизнью. И наверняка многие из вас задумывались: а что будет потом со всеми моими аккаунтами в соцсетях и мессенджерах, со всеми облачными архивами почты и фотографий, с доменами и сайтами, счетами в электронных кошельках и на биржах?

Посмертный аккаунт

В 2012 году родители 15-летней девушки из Берлина попытались зайти в ее аккаунт на Facebook* — после того как их дочь упала под поезд и погибла. Родители хотели выяснить, что привело к такому печальному исходу; подозревали, что самоубийство связано с кибербуллингом. Однако аккаунт уже подвергся «мемориализации»: никто не мог получить к нему доступ.

Только через шесть лет судебных разбирательств, в 2018 году, Высший суд Германии постановил, что с точки зрения наследования аккаунты в соцсетях не отличаются от личных писем и дневников, то есть должны передаваться законным наследникам, в данном случае — родителям.

Но почему этот процесс так затянулся? Потому что IT-индустрия не соглашается с подобной трактовкой цифровых активов. Обычно выдвигается два контраргумента. Во-первых, Facebook* и другие сервисы ссылаются на законы о защите персональных данных: эти данные нельзя передавать третьим лицам без разрешения владельца. Правда, владелец в данном случае мертв — но ведь те, с кем он переписывался, еще живы, а они не давали разрешения читать их переписку.

Другой вариант отказа потенциальным наследникам связан с тем, что многие цифровые сервисы предоставляют свои продукты по лицензии, как услугу временного пользования. А законодательство не предусматривает наследования такой «аренды». Например, регистрация доменного имени в России происходит на основании договора оказания услуг, а услуги в наследственную массу не входят.

Правила цифровых кладбищ

Когда законы о наследовании не покрывают цифровой актив, остается надежда на политику компании и шаги наследодателя. Например, доменный регистратор может предложить клиенту заключить дополнительное соглашение о переходе прав администрирования доменного имени в случае смерти администратора. Некоторые регистраторы предусматривают возможность передачи домена ближайшим родственникам при условии предоставления необходимых документов.

Аналогичные возможности постепенно появляются и в других сервисах. Последние версии iOS позволяют вам указать цифрового наследника — лицо, которое получит доступ к вашим данным в облачных сервисах Apple в случае вашей смерти. Правда, наследнику будут доступны не все ваши цифровые активы. В частности, он не получит электронные книги, фильмы, музыку и другие ваши покупки, сделанные в Интернете (вы ведь помните, что цифровая книга — это не книга, а всего лишь услуга временной аренды).

Для аккаунтов Google подобная функция называется «На всякий случай» — указанный вами человек получит доступ к вашим данным в случае, если аккаунт неактивен в течение продолжительного времени (период неактивности вы задаете самостоятельно).

Нечто похожее есть теперь и в правилах установки памятного статуса для аккаунтов Facebook*. Можно заранее сообщить сервису свою последнюю волю относительно аккаунта: либо удалить его полностью после смерти владельца, либо указать контакт «хранителя», который будет присматривать за мемориальным аккаунтом умершего. Именно присматривать: менять старый контент, читать сообщения или удалять друзей умершего нельзя, можно лишь сменить фото в профиле, повесить мемориальный пост, а также дать возможность выбранным френдам опубликовать свои воспоминания о покойном в специальной мемориальной ленте. Кроме того, у хранителя должен быть свой аккаунт в Facebook* (да-да, социальная сеть и здесь не забывает план по окучиванию населения).

Однако правила у всех сервисов разные, и мы еще не раз будем сталкиваться со всякими странностями в этой сфере. Сейчас в соцсетях десятки миллионов аккаунтов мертвых людей. Причем только часть из них превращена в «мемориалы». Ведь для этого, как и для удаления аккаунта, нужно предоставить сервису документы о смерти владельца (подобные правила работают в Instagram*, ВКонтакте и других соцсетях). Но во многих случаях аккаунты продолжают вести родственники, а иногда и совсем посторонние люди, используя популярность умерших для своих целей. А сами сервисы автоматически предлагают нам поздравлять мертвых с днем рождения или присылают пользователям обзоры «лучших дней года», куда попадают самые тяжелые воспоминания. Не исключено, что в виртуальных метавселенных будущего толпы покойников будут бродить по площадям на автопилоте, напоминая худшие фильмы про зомби-апокалипсис.

Что делать, пока жив

Универсальных решений нет, но каждый может самостоятельно позаботиться о том, что будет с его цифровыми активами после смерти. Сделать это можно двумя способами: сложным и простым. Если вы избрали сложный путь, в нем будут следующие шаги:

  • Составьте завещание у нотариуса, указав там свои цифровые активы и людей, которым вы эти активы завещаете. Даже если наследственное право не распространяется на описанные активы, наличие завещания поможет в спорах.
  • Выясните про каждый цифровой сервис, какое именно наследование он поддерживает и что нужно для этого сделать в настройках или договорах. Например, деньги с электронных кошельков могут перейти законным наследникам без дополнительных мер, поскольку на деньги распространяется наследственное право. А вот в случае электронной почты, различных цифровых хранилищ и социальных сетей имеет смысл установить в сервисе контакт хранителя-наследника (legacy contact). Для этого придется найти и изучить соответствующую инструкцию каждого конкретного сервиса.
  • Вашим наследникам придется со своей стороны выяснить, какова процедура получения доступа в каждом из сервисов. Если вы установили контакт наследника (legacy contact), ваш наследник для получения доступа должен будет со своей стороны предъявить определенный документ или электронный код, в зависимости от правил конкретного сервиса.
  • Многие сервисы (включая Twitter, Instagram* и «ВКонтакте») не передают никому доступ к аккаунтам умерших. Однако они могут по просьбе родственников удалить аккаунт или «мемориализовать» его — но даже для этого нужно предоставить сервису соответствующие документы. Возможно, в определенных случаях вам потребуется доказывать свои права через суд.

Но если не хочется так заморачиваться, то есть и более простой путь: вы можете записать все свои аккаунты и пароли в единое хранилище паролей, защитив их главным паролем, и передать доступ к этому хранилищу надежному человеку вместе со своей последней волей — например, «всё удалить».

В этом методе главное — правильно выбрать человека. Помните, что у писателя Владимира Набокова это не получилось: он завещал уничтожить рукопись своего последнего незаконченного романа, но жена этого не сделала, а сын опубликовал отцовские черновики в «Плейбое».

*Facebook и Instagram принадлежат компании Meta, признанной 21.03.2022 г. экстремистской организацией в России.

Кто и как следит за вами в Интернете

Что такое веб-маяки и трекинговые пиксели, чем они неприятны и как их отключить.

Представьте: как только вы заходите в торговый центр, за вами по пятам начинает ходить незнакомый человек. Он тщательно конспектирует, в какие магазины вы заходите. Вам дают в руки рекламную листовку — он заглядывает через плечо и следит, внимательно ли вы ее прочитали. Когда вы в магазине, он с секундомером замеряет, сколько времени вы простояли возле каждой полки. Звучит нелепо и несколько неприятно, правда? К сожалению, примерно это и происходит каждый раз, когда вы посещаете крупные веб-сайты, читаете почтовые рассылки интернет-магазинов и онлайн-сервисов, а также пользуетесь их фирменными мобильными приложениями. «Человек с секундомером» на практике — это системы аналитики, которыми оснащены практически все сайты, приложения и даже почтовые рассылки.

Зачем компаниям эта информация? Ответов несколько, и зачастую данные используются для всех целей одновременно.

  • Чтобы лучше знать ваши предпочтения, предлагать товары и услуги, которые вы купите с наибольшей вероятностью. Сюда же отнесем назойливую рекламу велосипедов, которая будет вас преследовать еще два месяца после посещения сайта с велосипедами.
  • Чтобы лучше подбирать тексты и изображения на сайтах и в письмах. Компания тестирует разные варианты описаний, заголовков и баннеров, а потом выбирает тот, который покупатели чаще и внимательней читают.
  • Чтобы определять, какие разделы мобильного приложения или сайта пользуются наибольшей популярностью и как вы с ними взаимодействуете.
  • Чтобы тестировать новые продукты, услуги, функции.
  • Чтобы просто перепродавать данные о поведении и предпочтениях пользователей другим компаниям.

Как работают веб-маяки и трекинговые пиксели

Слежка, описанная выше, основана на технологии веб-маяков (web beacons), также называемых трекинговыми или шпионскими пикселями. Самый популярный способ отслеживания — вставить в письмо, приложение или на веб-страницу невидимую картинку крошечного размера, например 1х1 или даже 0 пикселей. При отображении информации у вас на экране почтовый клиент или браузер обращается к серверу для загрузки этой картинки, передавая ему массу информации о вас, а сервер записывает, в какое время, с какого устройства, под управлением какой ОС, из какого браузера и с какой страницы эта точка была загружена. Так владелец маяка узнает, что вы открыли его письмо или веб-страницу, и при каких условиях. Часто вместо точки используется короткий программный код внутри веб-страницы (Javascript), который может собирать еще более подробную информацию. В любом случае, трекинг никак не виден в письме, приложении или на сайте — вы его просто не замечаете. Но наличие маяков на каждой странице или на каждом экране приложения позволяет буквально «ходить за вами по пятам», отслеживая все маршруты ваших переходов на сайте и время, потраченное на каждом этапе этого пути.

Преступники и веб-маяки

Кроме легальных маркетинговых и технологических кампаний, веб-маяки используют и киберпреступники. С их помощью удобно проводить предварительную разведку для целенаправленных атак по e-mail. Маяки позволяют злодеям узнать, например, в какое время их жертва обычно читает (или не читает) почту, чтобы выбрать наилучшее время атаки. Когда пользователь в офлайн-режиме, удобнее взламывать его аккаунты или рассылать поддельные письма от его имени.
Бывает, что собранная маркетинговой фирмой информация о пользователях, включая данные о поведении и интересах, «утекает» после хакерской атаки. Даже лидеры рынка — Mailchimp, Klaviyo, ActiveCampaign — порой допускают такие утечки. И эта информация может быть использована для проворачивания различных мошеннических схем. Например, в атаке на Klaviyo мошенники украли списки тех, кто интересуется криптоинвестициями, — для этой аудитории хакерам будет легко разработать специализированный фишинг и выманивать криптовалюту.

Как защититься от слежки

Мы не можем контролировать утечки и взломы, но в наших силах сделать так, чтобы на серверах техногигантов скапливалось меньше информации о нас. Рекомендации ниже применимы как по отдельности, так и все вместе.

  1. Отключите автозагрузку картинок в почте. Настройте почту в телефоне, на компьютере, в установках веб-клиента так, чтобы картинки в письме не отображались. Почти все письма читабельны и без иллюстраций. В большинстве почтовых программ кнопка «Показать изображения» выводится прямо над текстом письма, поэтому при необходимости подгрузить иллюстрации можно в одно касание.
  2. Заблокируйте отслеживания в вебе. Загрузку подавляющего большинства веб-маяков легко предотвратить. В Firefox можно включить и гибко настроить режим «Защита от отслеживания» (Tracking protection). Для Chrome, Firefox и Safari доступны специализированные плагины в официальном каталоге рекомендованных дополнений (находим их по словам privacy или tracking protection).
  3. Дополнительно защищайте интернет-соединение. Защита от трекинга хорошо работает на уровне всей операционной системы или даже в домашнем роутере. Если заблокировать «маяки» на роутере, то они перестанут работать не только в почте и веб-страницах, но и внутри приложений, и даже на вашем Smart TV. Для этого рекомендуем включить Secure DNS в настройках ОС или роутера и указать DNS-сервер, блокирующий слежку. Порой защиту от слежки обеспечивает и VPN-соединение. Если вам удобней всего именно этот вариант, то убедитесь, что ваш провайдер VPN действительно предлагает блокировку трекеров.

Смартфоны на Android можно прослушивать с помощью датчиков движения

Группа ученых из пяти американских университетов разработала side-channel атаку EarSpy, с помощью которой можно прослушивать устройства на Android: распознать пол и личность звонящего, а также частично разобрать содержимое разговора. Прослушку предлагается осуществлять при помощи датчиков движения, которые способны улавливать реверберацию динамиков мобильных устройств.

Атаку EarSpy представили эксперты из Техасского университета A&M, Технологического института Нью-Джерси, Темпльского университета, Дейтонского университета, а также Ратгерского университета. Они рассказали, что ранее подобные side-channel атаки уже изучались, но несколько лет назад динамики смартфонов были признаны слишком слабыми, чтобы генерировать достаточную для подслушивания вибрацию.

В современных смартфонах используются более мощные стереодинамики (по сравнению с моделями прошлых лет), которые обеспечивают лучшее качество звука и более сильные вибрации. Точно так же в современных устройствах используются более чувствительные датчики движения и гироскопы, способные регистрировать даже мельчайшие нюансы работы динамиков.

Наглядное доказательство этих слов можно увидеть на иллюстрации ниже, где работа динамиков OnePlus 3T 2016 года выпуска едва заметна на спектрограмме и сравнивается со стереодинамики OnePlus 7T 2019 года выпуска, которые очевидно позволяют извлечь значительно больше данных.

Слева направо: OnePlus 3T, OnePlus 7T, OnePlus 7T

В своих экспериментах исследователи использовали устройства OnePlus 7T и OnePlus 9, а также различные наборы предварительно записанных звуков, которые воспроизводились через динамики устройств. Также специалисты использовали в работе стороннее приложение Physics Toolbox Sensor Suite для сбора показаний акселерометра во время имитации вызова, а затем передавали их в MATLAB для анализа.

Алгоритм машинного обучения тренировали с использованием легкодоступных наборов данных для распознавания речи, идентификации вызывающего абонента и определения пола. В итоге данные, полученные в результате тестов, варьировались в зависимости от использованного набора данных и устройства, но в целом эксперименты исследователей дали многообещающие результаты и доказали, что такая прослушка возможна.

Например, точность определения пола звонящего на OnePlus 7T колебалась от 77,7% до 98,7%, классификация идентификатора вызывающего абонента колебалась от 63,0% до 91,2%, а распознавание речи удавалось с точностью от 51,8% до 56,4%.

На устройстве OnePlus 9 точность определения пола превысила 88,7%, зато идентификация вызывающего абонента упала в среднем до 73,6%, а распознавание речи и вовсе показало результат от 33,3% до 41,6%.

Исследователи признают, что значительно снизить эффективность атаки EarSpy может громкость, которую пользователи сами выбирают для динамиков своих устройств. То есть низкая громкость динамика вполне может помешать реализации прослушки в целом.

Кроме того, на реверберации и получаемый результат заметно влияют расположение аппаратных компонентов устройства и плотность сборки, а также точность данных снижают движение пользователя и вибрации, вызванные окружающей средой.

Устройство OnePlus 7T

Авторы EarSpy резюмируют, что производители телефонов должны обеспечивать стабильный уровень звукового давления во время телефонных разговоров, а также размещать датчики в корпусе таким образом, чтобы внутренние вибрации не влияли на них или оказывали минимально возможное воздействие.

Исследователи научились обнаруживать прослушку, осуществляемую через микрофон ноутбука

Эксперты из Национального университета Сингапура и Университета Ёнсе разработали устройство TickTock, которое может проверить, не используется ли микрофон ноутбука или смартфона для тайной записи разговоров пользователя. Девайс построен на базе Raspberry Pi 4 Model B, но в будущем его хотят сделать похожим на обычную USB-флешку.

Гаджет и процесс его создания подробно описаны документе, опубликованном на ArXiv. Авторы разработки отмечают, что удаленных «шпионских» атак становится все больше, но если для веб-камер давно разработаны средства защиты (или всегда можно заклеить камеру изолентой, как делает Марк Цукерберг), аналогичных барьеров для предотвращения прослушивания не существует.

Документ гласит, что в последнее время производители ноутбуков стараются сделать активацию микрофона более очевидной для пользователя и невозможной для малвари. Например, у устройств Apple появилось аппаратное отключение микрофона, предназначенное для блокировки микрофона при закрытой крышке.

В 2020 году Dell добавила в Linux драйверы для обеспечения конфиденциальности при работе с микрофоном и камерой. В Windows 10 и macOS 12 присутствуют видимые индикаторы активации микрофона, а Purism и вовсе встроила аппаратный выключатель для микрофона и камеры в свой смартфон Librem 5 USA, ориентированный на конфиденциальность.

Исследователи пишут, что у всех перечисленных подходов есть недостатки:

«Во-первых, эти решения требуют, чтобы пользователи доверяли производителям ноутбуков или операционных систем, которые в прошлом неоднократно подвергались взлому, а порой даже сами производители могут действовать со злым умыслом. Во-вторых, такие решения встроены лишь в небольшую часть устройств, поэтому большинство современных ноутбуков не имеют способа обнаружения/предотвращения прослушки».

Прототип TickTock, собранный учеными, состоит из датчиков ближнего поля, РЧ-усилителя, SDR и Raspberry Pi 4 Model B. При этом эксперты пишут, что окончательная форма устройства скорее будет похожа на USB-флешку, которую можно будет положить рядом с ноутбуком или запретить на нем, чтобы гаджет мог предупредить пользователя о любых изменениях в состояния микрофона устройства.

Принцип работы TickTock весьма прост: он опирается на тот факт, что MEMS-микрофоны на обычных ноутбуках излучают электромагнитные сигналы, когда работают и активны.

«Излучение исходит от кабелей и разъемов, которые передают тактовые сигналы железу микрофона, чтобы в конечном счете оперировать аналого-цифровым преобразователем. TickTock фиксирует такие утечки, чтобы определить состояние включения/выключения микрофона ноутбука», — объясняют эксперты.

Во время создания TickTock исследователи столкнулись с рядом проблем. Во-первых, частота тактового сигнала различается в зависимости от чипа аудиокодека в конкретном ноутбуке. Во-вторых, область ноутбука, из которой будет исходить утечка наиболее сильного ЭМ-сигнала, зависит от модели и конфигурации устройства. В-третьих, не все захваченные ЭМ-сигналы будут свидетельствовать об активности микрофона, они также могут исходить от других цепей, и необходимо отфильтровать это, чтобы предотвратить ложные срабатывания.

По этим причинам TickTock показал себя хорошо примерно с 90% протестированных ноутбуков (включая различные модели Lenovo, Dell, HP и Asus), но он не может обнаружить активность микрофона на трех ноутбуках Apple MacBook. Алюминиевые корпуса и короткие гибкие кабели устройств Apple ослабляют утечку электромагнитных сигналов до такой степени, что TickTock не может ее обнаружить.

Также с помощью TickTock прослушку искали на 40 других устройствах, включая смартфоны, планшеты, умные колонки и USB веб-камеры. Гаджет сумел зафиксировать активность микрофона на 21 устройстве из 40. Вероятно, высокий процент неудач связан с использованием аналоговых, а не цифровых микрофонов в некоторых моделях смартфонов, а также с тем, что малое оборудование чаще полагается на более короткие провода, что снижает электромагнитное излучение.

В будущем специалисты планируют расширить функциональность TickTock, чтобы прибор мог также обнаруживать несанкционированный доступ к камерам и блокам инерциальных датчиков.

Zoom, Discord и другие сервисы подслушивают даже с выключенным микрофоном

Группа учёных из Висконсинского и Чикагского университетов выяснили, что популярные приложения для аудио- и видеоконференций «подслушивают» за пользователями, даже если те нажимают кнопку отключения записи звука. В исследовании участвовали сервисы Zoom, Skype, Google Meet, Discord и другие — всего десять приложений.

Эксперты пришли к выводу, что кнопка отключения звука работает не так, как представляет большинство пользователей — микрофон не только не отключается, но и продолжает собирать аудиоданные. По сути, кнопка Mute в большинстве случаев лишь отключает передачу звука собеседникам.

Проблема с «ложным» отключением микрофона наблюдалась практически у всех сервисов. Большая часть из них собирает данные лишь какое-то время и, в отличие от основного режима работы, не передаёт информацию постоянно. Только одно приложение — Cisco Webex — даже после отключения микрофона собирало данные в том же объёме.

Компания Cisco признала, что непрерывно собирала аудиоданные даже при выключенном микрофоне, но отметила, что не записывала звуки или голоса — лишь информацию вроде громкости, чтобы улучшить пользовательский опыт. В январе 2022 года учёные связались с Cisco по поводу исследования, после чего разработчики отключили функцию.

Даже частичной записи оказалось достаточно, чтобы, например, определить, чем занимается пользователь. Учёные убедились, что при помощи фонового звука, записанного сервисами с «выключенным» микрофоном, и нейросети можно с точностью около 82% распознать один из сценариев — приём пищи, вождение, уборка, просмотр видео и так далее.

Несмотря на то, что большая часть компаний не использовала информацию, собранную во время отключения звука, авторы работы беспокоятся о рисках, связанных с конфиденциальностью. Эксперты предлагают решить проблему созданием программных переключателей, которые будут проще и доступнее, чем меню настроек системы, либо аппаратных выключателей микрофона на устройствах.

Веб-камеру можно выключить или, в конце концов, просто закрыть её рукой — что бы вы ни делали, вас никто не увидит. Не думаю, что такое возможно с микрофоном.

Касем Фаваз
доцент электротехники и вычислительной техники в Университете Висконсина

Подробный доклад об исследовании авторы представят на мероприятии Privacy Enhancing Technologies Symposium, которое состоится в июле 2022 года.

Tracking with AirTag

Слежка с помощью AirTag, и как от нее защититься

За последний год стало известно о множестве случаев слежки с помощью меток AirTag. Рассказываем, как это работает и что делать для защиты.

Брелоки AirTag компании Apple поступили в продажу только весной прошлого года, но уже успели заслужить дурную репутацию как средство помощи криминалу и слежки за людьми без спроса. В этой статье мы разбираемся, как работает AirTag, почему он может быть опасен, а также как защититься от слежки с использованием AirTag и других видов киберсталкинга.

Как работает AirTag

Метки AirTag были представлены в апреле 2021 года как средство поиска легко теряемых вещей. Внутри метки находится плата с беспроводным модулем и заменяемая батарейка. Также в AirTag есть достаточно крупный динамик, частью которого, по сути, является корпус устройства.

В самом простом случае работают метки так: вы цепляете «таблетку» как брелок к ключам, и если вдруг опаздываете на работу, а ключи потерялись где-то в квартире — активируете режим поиска в вашем айфоне. Используя технологию ultra-wide band (она же UWB), телефон указывает вам направление в сторону метки и дает подсказки типа «горячо-холодно».

Более сложный случай: вы прикрепляете AirTag к рюкзаку, а рюкзак успешно забываете в метро. Поскольку вы и ваш айфон на момент обнаружения пропажи от рюкзака уже очень далеко, то UWB тут не поможет. В дело вступают все пользователи относительно современных мобильных устройств Apple (iPhone 7 и более новых). При помощи технологии Bluetooth они определяют наличие метки поблизости и передают примерные или точные координаты в вашу учетную запись Apple. При помощи сервиса Apple Find My вы можете посмотреть, куда в итоге попал ваш рюкзак — в бюро находок или к новому владельцу. Самое главное, что все это происходит автоматически, и даже устанавливать ничего не надо. Все нужное для работы системы поиска AirTag уже встроено в iOS у сотен миллионов пользователей.

Правда, учитывая максимальную дальность работы Bluetooth в десятки метров, такая схема работает только в крупных городах, где людей с айфонами очень много. Если ваш рюкзак попал в деревню, где все жители поголовно пользуются смартфонами на Android, установить местоположение AirTag будет затруднительно. В этом случае срабатывает третий механизм обнаружения: встроенный в метку динамик через несколько часов отсутствия связи хоть с каким-то iPhone начнет издавать звук. Если нашедший сообразит приложить к метке смартфон с поддержкой NFC, та сообщит ему номер телефона для связи с владельцем пропажи.

AirTag и темные дела

В теории AirTag — полезный и относительно недорогой аксессуар для повседневного отслеживания легко теряемых вещей, который поможет найти спрятавшиеся ключи или забытую сумку. Один из примеров полезного применения технологии, который довольно часто обсуждали за последний год, — это возможность прикрепить AirTag к чемодану перед авиаперелетом. Уже неоднократно путешественникам удавалось установить местоположение утерянного багажа быстрее, чем сотрудникам авиакомпаний.

На практике же сразу после поступления устройств в продажу начали появляться сообщения о не совсем правомерном их использовании или даже об откровенном криминале. Вот самые важные примеры:

  • Активистка из Германии раскрыла местоположение засекреченного государственного агентства, отправив им конверт с AirTag по почте. Подобной деятельностью — более или менее легальной в зависимости от законодательства конкретной страны — занимаются многие, отслеживая, например, реальные пути доставки почты. Но возможен и такой вариант использования, как у немецкой активистки: если кто-то использует абонентский ящик для получения посылок, чтобы не светить свой почтовый адрес, посылка с меткой внутри раскроет его реальное место жительства.
  • А теперь серьезно: в декабре прошлого года полиция Канады расследовала несколько случаев использования AirTag для угона автомобилей. Преступники действовали так: на общественной парковке приклеивали метку к автомобилю, определяли таким образом домашний адрес владельца и ночью угоняли автомобиль, пока он стоит на стоянке в пригороде, подальше от возможных свидетелей.
  • Наконец, есть множество свидетельств слежки за женщинами с помощью AirTag. Метку приклеивают к машине, подкладывают в сумку, определяя таким образом и место жительства, и повседневные маршруты передвижения по городу. Против такой слежки в AirTag есть защита — если метка постоянно перемещается, а телефона, к которому она привязана, рядом нет, она начинает издавать звук при помощи того самого динамика. Однако народные умельцы довольно быстро сообразили, что можно этому противопоставить: некоторое время назад в сети начали торговать модифицированными AirTag с отключенной пищалкой.

И знаете, это еще не самый страшный сценарий. Теоретически AirTag можно взломать и модифицировать поведение метки программно. Определенные шаги к этому уже сделаны: в частности, уже в мае прошлого года исследователю удалось получить доступ к защищенной прошивке устройства. И вот это будет наиболее опасным и для Apple, и для пользователей — ситуация, когда кто-то сможет воспользоваться сетью из сотен миллионов iPhone для незаконной слежки без ведома производителя, владельцев участвующих в поисковой операции смартфонов и самих жертв.

Насколько опасны AirTag?

Самое страшное пока не произошло, и вряд ли произойдет — Apple все-таки заботится о безопасности собственной инфраструктуры. Также надо понимать, что AirTag — далеко не единственное устройство подобного плана. Различного рода легальные и нелегальные устройства для слежки существуют уже не одно десятилетие.

Более того, даже потребительские брелоки с похожей функциональностью давно продаются. Метки Tile выпускаются с 2013 года, и они также имеют средства поиска потерянных вещей на большом расстоянии с использованием того же самого принципа. Конечно, этой компании вряд ли удастся достичь «покрытия» из сотен миллионов iPhone — тут нужна мощь экосистемы Apple. Плюс подобные устройства стоят денег, иногда немалых, и относительно легко обнаруживаются.

В случае с AirTag метки нужно обязательно привязывать к учетной записи Apple, которую сложно завести анонимно, без указания реального имени и (чаще всего) номера кредитной карты. Если полиция обратится в Apple по поводу незаконной слежки, то компания эти данные предоставит (остается, правда, убедить полицию запросить такие данные, что, по свидетельствам жертв в разных странах, получается не всегда).

В итоге все как обычно: AirTag — это полезная технология, которая также может использоваться во вред. Apple не изобрела киберсталкинг, но придумала удобную технологию, которая, так уж получилось, позволяет реализовать незаконную слежку. Поэтому на компании лежит и ответственность для усложнения нежелательного использования.

Здесь снова стала актуальной критика закрытой экосистемы программ и устройств Apple. Если вы владелец iPhone и кто-то подложил вам в сумку AirTag, ваш телефон сообщит об этом. А если у вас нет iPhone? Пока производитель решил эту проблему выпуском приложения для Android-смартфонов. Которое еще надо установить, чтобы обнаружить слежку. Получается, Apple создала проблему для всех, а простое решение предложила только для собственных клиентов. Всем остальным приходится как-то подстраиваться.

В феврале 2022 года Apple постаралась ответить на массу критики одним большим заявлением. В нем она признала, что далеко не все сценарии использования AirTag (как легальные, так и незаконные) были предусмотрены до выпуска устройства. Пообещала более четко сообщать покупателям AirTag о том, что использовать их для слежки нельзя. Планирует сделать погромче звуковой сигнал, по которому вы можете найти «чужой» AirTag. Это похвально, но всех проблем пока не решает. Будем надеяться, что со временем Apple удастся четко разделить законные и незаконные варианты использования AirTag.

Защитная шторка для веб-камеры: паранойя или необходимость

Обычно люди делятся на два лагеря: те, кто заклеивает камеру и те, кто нет. Кто из них прав и почему? Для начала разберемся с понятиями. Шторки для веб-камеры – это накладка, которая блокирует камеру вашего устройства, обеспечивая защиту от её взлома. Такие защитные шторки предназначены не только для ноутбуков, их можно использовать на смартфонах и планшетах. Если оставить камеру незакрытой на цифровых устройствах, то вы можете стать объектом нежелательного наблюдения со стороны киберпреступников. Поэтому использовать шторку – хорошая идея для защиты вашей частной жизни от шпионажа.

Вебкам-шпионы

Сложно ли взломать веб-камеру? Боимся, что ответ может вас напугать. Если судить по количеству роликов на YouTube, получить контроль над вашей камерой под силу даже школьнику. Есть несколько видов «сетевых подглядывателей». Одни делают это ради веселья и дают о себе знать жертве, а вторые делают это тихо и человек даже не подозревает, что за ним наблюдают. Оба сценария неприятны и могут быть чреваты последствиями.

Какой тип накладки для веб-камеры выбрать?

Думаете как закрыть свою веб-камеру? Тогда давайте разберем плюсы и минусы всех возможных вариантов.

Вариант 1: специальные шторки для веб-камеры

Плюсы. Совместимость со всеми устройствами: от смартфона до ноутбука. Тонкий и прочный. Хорошо выглядит. Легко открывать и закрывать.

Минусы. Дороже остальных вариантов.

Вариант 2: самоклеящиеся стикеры

Плюсы. Недорогие и их легко найти дома либо в офисе.

Минусы. Недолговечны. Могут отвалиться в самый неподходящий момент. Выглядят не очень привлекательно. Никакой функциональности.

Вариант 3: наклейка

Плюсы. Недорогой вариант. Легко найти. Симпатично смотрятся.

Минусы. Низкая долговечность. Легко отваливается. Неудобно постоянно отклеивать и приклеивать.

У каждого из этих вариантов есть свои за и против. Cамоклеящиеся стикеры и наклейки могут стать краткосрочным решением, пока вы не найдете подходящую универсальную шторку для камеры.

А что, если не использовать шторку?

Конечно, это выбор каждого, но в таком случае нужно понимать возможные риски. Многие из нас до сих пор работают из дома, и защитная накладка может уберечь от неприятностей. Помните, если оставить камеру незакрытой, вы можете стать уязвимым для слежки и атак через веб-камеру.

Риск 1: вымогательство. Согласно статье в журнале Forbes, некоторые атаки на веб-камеры могут происходить с целью получения видео или изображений людей в компрометирующих позах. Например, киберпреступник заснял как вы переодеваетесь или выходите из душа. Затем он может угрожать обнародовать эти изображения, если ему не заплатят определенную сумму.

Риск 2: дети могут подвергнуться опасности. Журналистка Wall Street Journal попросила этичного хакера взломать ее веб-камеры. Она была шокирована, когда спустя время он отправил ей фотографию ребенка. Оставляя веб-камеру незакрытой, вы можете поставить под угрозу конфиденциальность окружающих вас людей, включая ваших близких.

Риск 3: проблемы с безопасностью. Zoom столкнулся с изрядной долей проблем с безопасностью. Некоторые пользователи подверглись кибератакам через приложение. Поскольку работа из дома становится новой нормой, наличие шторки для веб-камеры актуально как никогда!

Риск 4: неизвестные риски. Работаете вы дома, в офисе или в дороге, незакрытая камера может представлять риск для конфиденциальности. Как? Давайте вспомним, сколько раз вы брали с собой смартфон в туалет или в ванну. Ведь вы бы не хотели, чтобы хакеры получили ваше изображение при таких условиях. Потому для сохранения душевного спокойствия, вы знаете, что делать.

Остались сомнения?

  • Эксперты по безопасности рекомендуют и своим примером показывают, что это необходимость! ФБР часто советует закрывать веб-камеру. Даже Марк Цукерберг был замечен прикрывающим веб-камеру своего ноутбука, а некоторые производители гаджетов сразу продают решение со встроенной накладкой. Думаете это просто так?
  • Наклеить шторку – это простой шаг, который поможет сохранить вашу конфиденциальность. Лучше подстраховаться, чем подвергнуться потенциальным кибератакам.
  • Шторки для веб-камер очень просты в использовании. Установка займет не более пары секунд, а открывать-закрывать накладку можно простым движением руки.