Начну со старой истории, которая превратилась в «новую» на исходе этого года. Если помните, почти год назад в центре скандала было программное обеспечение Carrier IQ, которое собирало данные пользователей без их спроса и отправляло на сервера компании. Изюминку той истории придавал факт того, что согласия пользователей не требовалось, а запоминалась вся информация. В основном это касалось рынка США.
В январе 2012 года в центре скандала была компания Vlingo (поглощена Nuance), это производитель приложений для голосового управления смартфонами и планшетами. Неожиданно пользователи обнаружили, что программа собирает их данные и отправляет на сервера VLingo. В частности, собирались такие данные, как список имен в телефонной книге, список музыки, IMEI-номер телефона, GPS-координаты, сеть и ряд других. Об этом подробно писали многие, а представители компании даже объясняли, что это недоразумение. В частности, они говорили о том, что информация о контактах нужна для того, чтобы работал голосовой набор, и в этом есть определенная логика. Не очень, правда, понятно, отчего приложение отправляет эти данные постоянно и даже если вы не приняли условия лицензионного соглашения (то есть, даже до первого запуска приложения).
Объяснение VLingo можно найти вот здесь.
В конце января компания обещала изменить пользовательское соглашение, но этого не произошло или данные изменения не отражают в полной мере то, что делает приложение. Следующий виток скандала, который прошел совершенно незамеченным, пришелся на июнь 2012 года, когда человек, раскопавший уязвимость, решил проверить, а на какие сервера отсылается информация. К его удивлению, это оказались сервера в доменной зоне dhs.gov, то есть они принадлежат государственным учреждениям США, а точнее, министерству безопасности (Department of Homeland Security). Фактически, эта информация должна была взорвать умы, но прошла совершенно незамеченной широкой публикой (первоисточник информации вот здесь).
Чтобы вы понимали масштаб вопроса, следует сказать, что государственное учреждение США, а точнее, одна из спецслужб, выступает провайдером для сервиса VLingo (в том числе S Voice от Samsung, используются те же сервера, так как в основе услуга от VLingo). Для меня остается непонятным, по какой причине это происходит. Но уверен, что та информация, что передается из приложения VLingo/S-Voice, представляет огромный интерес для любой спецслужбы (круг ваших контактов, список вашей музыки, постоянное отслеживание вашего местоположения и страны). Голова идет кругом от возможностей, которые появляются у службистов только от одного обыденного приложения. Старший брат следит за вами в реальности, и от такой слежки практически невозможно избавиться.
Вспомнить про эту историю меня заставил тот факт, что публикации об этом начали вновь появляться спустя почти год. Очень подробный разбор полетов можно прочитать вот здесь (на немецком языке).
Любопытно, что Samsung вывел число установок VLingo на недостижимый компанией ранее уровень, это десятки миллионов (загрузок самого пакета VLingo на Android около 7 миллионов). Проблема Samsung в том, что они в недостаточной мере проверили своего партнера, и теперь он может следить за вами. С другой стороны, в лицензионном соглашении на использование S Voice компания Samsung снимает с себя всякую ответственность. Еще более любопытно, что приняв соглашение, вы не увидите аналогичное лицензионное соглашение от VLingo, а утилита начнет сразу работать. На мой взгляд, это в корне неверно и вам должны показать соглашение и все его условия. Так как иначе получается, что вы соглашаетесь и за вами начинают следить без вашего ведома.
Называя вещи своими именами, надо сказать, что мы имеем дело с историей о массовом шпионаже за пользователями. Возможно, что если история начнет набирать обороты, то кто-то из Vlingo прокомментирует ее (мы отправили запрос на комментарий, но пока не получили никакого ответа). Но боюсь, что внятного ответа на то, почему использованы государственные сервера, относящиеся к спецслужбам США, мы не получим.
Второй скандал, намного более громкий, но в реальности приводящий к меньшим последствиям и ущербу. В ядре процессоров Exynos 4412/4210 нашли уязвимость, которая позволяет реализовать сценарий атаки, при котором в одно нажатие злоумышленник получает полный доступ к устройству. В данный момент такое вредоносное ПО неизвестно, но те, кто беспокоится о наличии уязвимости, могут скачать неофициальный патч, его можно найти вот здесь.
К сожалению, с усложнением устройств мы все чаще будем слышать о наличии в них тех или иных уязвимостей. В данный момент смартфоны и планшеты с точки зрения безопасности находятся на начальной точке развития (в большей мере это относится к Android).
mobile-review.comскачать dle 12.1 |