Android Q все ещё позволяет рекламодателям отслеживать пользователей

Олег Иванов 29 Июля 2019 - 09:48

Домашние пользователи

Корпорации

Android

Google

Защита персональных данных

...

Android Q все ещё позволяет рекламодателям отслеживать пользователей

В готовящейся к выходу мобильной операционной системе Android Q разработчики обещают обеспечить максимальный уровень конфиденциальности пользователей. Однако представители Фонда Электронных Рубежей (EFF) считают, что ряд проблем приватности все ещё актуален для пользователей ОС от Google.

Как известно, в Android Q пользователи смогут лучше контролировать доступ приложений к геолокации, более гибко ограничивать доступ к файлам, находящимся во внешнем хранилище, а также запрещать использование аппаратной составляющей и сенсоров устройства.

Но в EFF считают, что разработчики упустили как минимум один нюанс, который может негативно отразиться на конфиденциальности пользователей.

«Android все ещё позволяет рекламодателям отслеживать вас. Более того, эта версия операционной системы не даёт пользователям контролировать доступ приложений к интернету, а такая возможность решила бы многие проблемы», — пишет инженер EFF Беннетт Сайферс.

По словам Сайферса, приложения в Android Q могут без проблем получать доступ к рекламному идентификатору пользователя, а у последнего нет возможности запретить или ограничить такое поведение.

Таким образом, рекламодатели всегда смогут «узнать» конкретного юзера, запросив его рекламный ID из приложения.

Сотрудник Фонда Электронных Рубежей привёл в пример iOS — Apple предоставила людям возможность отключить отслеживание по рекламному идентификатору.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 24 Января 2025 - 16:45

Эксплойты Уязвимости программ Общее

В реализациях LTE и 5G нашли более 100 уязвимостей

Группа исследователей раскрыла подробности более 100 уязвимостей, затрагивающих реализации LTE и 5G. Злоумышленники могут использовать эти бреши для ограничения доступа к сервисам и получения контроля над ядром сотовой сети.

Специалисты нашли в общей сложности 119 уязвимостей, которым присвоены 97 уникальных идентификаторов CVE. Они охватывают семь реализаций LTE (Open5GS, Magma, OpenAirInterface, Athonet, SD-Core, NextEPC, srsRAN) и три реализации 5G (Open5GS, Magma, OpenAirInterface).

Результаты исследования представлены в отчёте «RANsacked: A Domain-Informed Approach for Fuzzing LTE and 5G RAN-Core Interfaces» (PDF).

«Каждую из выявленных уязвимостей можно использовать для вывода из строя всех сотовых коммуникаций (телефонных звонков, сообщений и передачи данных) в масштабах целого города», — отмечают исследователи.

«Условный атакующий может выводить из строя узлы управления мобильностью (MME) в сетях LTE или функции управления доступом и мобильностью (AMF) в сетях 5G. Для этого нужно отправить всего один небольшой пакет данных через сеть, при этом нет необходимости использовать сим-карту или проходить аутентификацию».

Экспертам удалось наткнуться на бреши в ходе экспериментов с фаззингом, объектом которого стали интерфейсы Radio Access Network (RAN), способные принимать данные напрямую от мобильных устройств и базовых станций.

Исследователи подчеркнули, что многие из выявленных уязвимостей связаны с переполнением буфера и ошибками управления памятью, которые могут быть использованы для проникновения в ядро сотовой сети.

Это, в свою очередь, позволяет злоумышленникам отслеживать местоположение абонентов и получать данные о соединении в масштабах города. Соответствующий эксплойт открывает возможность для целевых атак на конкретных пользователей.

Кроме того, проблемы делятся на две основные категории:

Те, которые могут быть использованы любым неавторизованным мобильным устройством.
Те, которые могут эксплуатироваться злоумышленником, получившим контроль над базовой станцией или фемтосотой.

Из 119 обнаруженных уязвимостей: