211service.com
Hoe app-ontwikkelaars de deur openlaten voor NSA-surveillance
Nieuws dat de National Security Agency jarenlang persoonlijke gegevens heeft verzameld die zijn gelekt uit mobiele apps zoals Angry Birds, veroorzaakte gisteren een nieuwe golf van geklets over de omvang van het bereik van de NSA. De NSA en zijn Britse equivalent, GCHQ, hoefden echter nauwelijks technisch terrein te doorbreken om die gegevens op te zuigen. Er zijn maar weinig mobiele apps die coderingstechnologie implementeren om de gegevens die ze via internet verzenden te beschermen, zodat de bureaus die gegevens triviaal kunnen verzamelen en decoderen met behulp van hun bestaande toegang tot internetnetwerken.
Documenten gezien en gepubliceerd door de New York Times en Voogd kranten laten zien dat de NSA en GCHQ informatie zoals iemands leeftijd, locatie en seksuele geaardheid kunnen verzamelen uit de gegevens die door apps via internet worden verzonden. Dergelijke persoonlijke gegevens zitten vervat in de gegevens die apps terugsturen naar de bedrijven die ze onderhouden en ondersteunen. Dit omvat gegevens die zijn verzonden naar bedrijven die advertenties weergeven en targeten in mobiele apps.
Dit is een bewijs van nalatige niveaus van onveiligheid door app-bedrijven, zegt Peter Eckerly , directeur technologieprojecten voor de Electronic Frontier Foundation. Eckersly zegt dat zijn inspanningen om bedrijven te overtuigen om veilig webverkeer toont wijdverbreide minachting voor de risico's van het verzenden van gegevens van mensen via internet zonder bescherming tegen onderschepping. De meeste bedrijven hebben geen legitieme reden om die gegevens niet te beveiligen, zegt Eckersly. Vaak staan de veiligheid en privacy van hun gebruikers zo ver op de prioriteitenlijst dat ze er niet eens aan hebben gedacht om het te doen.
NAAR 2012 studie van 13.500 Android-apps door onderzoekers in Duitsland ontdekte dat slechts 0,8 procent uitsluitend versleutelde verbindingen gebruikte en dat 43 procent helemaal geen versleuteling gebruikt. Vorige week beveiligingsbedrijf voor mobiele apps MetaIntell gemeld dat 92 procent van de 500 populairste Android-applicaties bepaalde gegevens onveilig communiceerde.
Het is vaak moeilijk te zeggen of een app codering gebruikt of niet om gegevens te verzenden. Webbrowsers tonen een hangslotpictogram naast het webadres van een site als deze codering gebruikt, maar er is geen equivalent voor mobiele apps. Handmatig controleren of een mobiele app gegevensoverdracht beveiligt, omvat het inspecteren van netwerklogboeken om te onderzoeken hoe een app verbinding maakt met servers.
Uit de documenten die maandag zijn gepubliceerd, blijkt dat Google Maps bijzonder nuttige gegevens lekt voor bewakingsdoeleinden. Documenten van zowel de NSA als de GCHQ laten zien hoe zoekopdrachten die door deze app worden onderschept, de bewegingen van een persoon kunnen onthullen. Een document uit 2008 van GCHQ stelt dat een systeem dat is opgezet om die gegevens te onderscheppen, in feite betekent dat iedereen die Google Maps op een smartphone gebruikt, werkt ter ondersteuning van een G.C.H.Q. systeem.
Google heeft afgelopen september codering tot standaard gemaakt voor zijn webzoekopdracht, maar maakt niet bekend welke van zijn mobiele apps codering gebruiken. Een woordvoerder van het bedrijf vertelde MIT Technology Review dat de huidige versies van de Google Maps-app codering gebruiken om gegevens te beschermen die worden teruggestuurd naar de servers van het bedrijf. Dat suggereert dat inlichtingendiensten de plekken waar mensen zoeken niet meer kunnen zien door internetverkeer te onderscheppen.
De gelekte documenten laten ook zien hoe technologie voor advertentietargeting die in veel apps is ingebouwd, persoonlijke informatie kan lekken. Veel app-bedrijven maken gebruik van technologie van externe advertentiebedrijven die gegevens over het bijhouden en targeten van advertenties verzamelen en verzenden (zie Mobiele advertentiebedrijven zoeken nieuwe manieren om u te volgen en maken zich klaar voor advertenties die u van het ene apparaat naar het andere volgen ).
Die gegevens bevatten vaak profielgegevens over een persoon, zoals geslacht, geschatte leeftijd en locatie. Een GCHQ-rapport uit 2012 beschrijft technologie die is ontworpen om dergelijke profielen te plukken uit de gegevens die door de game Angry Birds worden verzonden. Uit MetaIntell's analyse van de huidige Android-versie van die app bleek dat deze niet-versleutelde gegevens naar AdMob, het mobiele advertentiebedrijf van Google, verzendt. In het rapport van 2012 wordt ook een advertentiebedrijf genoemd millennial , die profielen samenstelt die ook iemands etniciteit, burgerlijke staat en seksuele geaardheid kunnen bevatten. Een woordvoerder van Millennial vertelde: MIT Technology Review dat het bedrijf alleen gegevens te zien krijgt die zijn partners mogen verzamelen van hun gebruikers en dat advertenties niet zijn getarget op basis van seksuele geaardheid.
Advertentietechnologiebedrijven zoals Millennial hebben minder prikkels om tijd te besteden aan het beschermen van de gegevens die ze verzenden dan app-makers, omdat ze achter de schermen werken. Vooral advertentiebedrijven lijken weinig gebruik te maken van encryptie, zegt onafhankelijk onderzoeker Ashkan Soltani . Hij heeft bijgedragen aan een enquête 2010 van privacy en beveiliging van mobiele apps door de Wall Street Journal die ontdekte dat de meeste gegevens die door apps werden verzonden, niet beschermd waren door codering. De meeste advertentieplatforms ondersteunen het niet.
Marc Rogers, hoofdonderzoeker beveiliging bij mobiel beveiligingsbedrijf Pas op , zegt dat het nieuws van maandag zou kunnen helpen om dingen te veranderen. Als branche zullen ontwikkelaars van mobiele apps en vooral mobiele adverteerders hun begrip van wat als gevoelig moet worden beschouwd, moeten verleggen naar het opnemen van persoonlijke informatie die via de draad wordt verzonden, zegt hij.
Als dat niet gebeurt, ligt dat niet aan de technische en financiële lasten. Met de huidige stand van de technologie zou geen enkele mobiele app de juiste codering mogen gebruiken, zegt Rogers.