Του Γιάννη Γορανίτη
Μια ακόμη αποκάλυψη που σίγουρα θα προκαλέσει κύματα ανησυχίας μεταξύ των κατόχων smartphones, έγινε από ερευνητές ασφάλειας στις ΗΠΑ. Η ανακάλυψη τους αφορά στην πρωτοφανή παραβίαση και διαρροή δεδομένων χιλιάδων, ενδεχομένως και εκατομμυρίων, κατόχων κινητών τηλεφώνων.
Η παραβίαση γίνεται μέσω μιας «κερκόπορτας», που εσκεμμένα (;) αφήνεται ανοιχτή από κατασκευαστές διάφορων μοντέλων Android smartphones, ώστε να μεταδίδει προσωπικά δεδομένα και ευαίσθητα και μη στοιχεία χρηστών σε έναν server που εντοπίστηκε στην Κίνα.
Αν και ακόμη η υπόθεση δεν έχει εξερευνηθεί στην πλήρη έκτασή της, οι πρώτες ενδείξεις κάνουν λόγο για εκτεταμένη μεταφορά data, μεταξύ των οποίων η ταυτότητα του χρήστη και της συσκευής (αριθμός IMEI), τα μηνύματα SMS, οι λίστες επαφών, το ιστορικό κλήσεων με αριθμούς τηλεφώνου, διάρκεια και ακριβή χρόνο και τοποθεσία.
Ποια είναι η πρώτη εταιρεία που έπεσε στην παγίδα;
Προς το παρόν στο σκάνδαλο εμπλέκεται η κινεζική εταιρεία Blu, κινητά της οποίας πωλούνται σε όλο τον κόσμο. Η εταιρεία αναγνώρισε ότι τουλάχιστον 120.000 κινητά της που έχουν πωληθεί εκτός Κίνας είναι εκτεθειμένα στον συγκεκριμένο κίνδυνο, αλλά δεν έχει ακόμη δώσει αναλυτικότερες πληροφορίες.
Στην Ελλάδα δεν υπάρχει επίσημο κανάλι διανομής των κινητών της Blu, ενός καμία από τις μεγάλες αλυσίδες, ούτε κάποιος από τους παρόχους διαθέτει συσκευές της. Αρκετά μοντέλα της πάντως διατίθενται μέσω μικρότερων e-shops, ενώ αυτονόητο είναι ότι οποιοδήποτε μπορεί να τα αποκτήσει από διεθνή καταστήματα, όπως πχ το Amazon.
Η εταιρεία επιβεβαίωσε ότι το πρόβλημα επηρεάζει έξι από τα μοντέλα της που κυκλοφορούν παγκοσμίως και μέσω του site της δίνει οδηγίες στους κατόχους των κινητών αυτών. Όπως διαβεβαιώνει πάντως η πρόσφατη αναβάθμιση του λειτουργικού είχε ως αποτέλεσμα την επίλυση του προβλήματος.
Μια κατά λάθος αποκάλυψη
Η αποκάλυψη έγινε μάλλον κατά σύμπτωση από έναν συνεργάτη της εταιρείας ασφαλείας Kryptowire, ο οποίος αγόρασε ένα κινητό BLU R1 HD και παρατήρησε ασυνήθιστη δραστηριότητα του δικτύου κατά την αρχική ρύθμιση της συσκευής. Η περαιτέρω ανάλυση έδειξε ότι η συσκευή μετέδιδε δεδομένα σε server στη Σαγκάη. Η μετάδοση μάλιστα δεν γινόταν άπαξ, αλλά συστηματικά κάθε 72 ώρες.
Όπως αποδείχθηκε, οι διακομιστές ανήκουν στην εταιρεία Adups, η οποία αναπτύσσει λογισμικό για κινητά και συνεργάζεται με αρκετούς κατασκευαστές για την over-the-air αναβάθμιση του firmware. Όπως μάλιστα αναφέρεται στο site της, το λογισμικό της έχει ήδη εγκατασταθεί σε περισσότερες από 700 εκατομμύρια συσκευές σε όλο τον κόσμο.
Το στοιχείο αυτό κάνει ακόμη πιο έντονη την ανησυχία, καθώς γίνεται πρόδηλο ότι η διαρροή δεν αφορά μόνο στα κινητά της Blu, αλλά κατά πάσα πιθανότητα επεκτείνεται και σε συσκευές άλλων κατασκευαστών.
Η αναλυτική ανακοίνωση των ευρημάτων της Kryptowire εδώ. http://www.kryptowire.com/adups_security_analysis.html
Παρακολούθηση, αλλά και κακόβουλες εφαρμογές
Εκτός από τη μετάδοση δεδομένων, αποδείχθηκε ότι το firmware διαβίβαζε πληροφορίες σχετικά με τη χρήση των εφαρμογών, και επέτρεπε την μη εξουσιοδοτημένη πρόσβαση σε αυτές, αλλά και δυνατότητα απεγκατάστασης ή αλλαγής του κωδικού τους, χωρίς τη συγκατάθεση του κατόχου της συσκευής.
Η δικηγόρος της Adups στις ΗΠΑ, Lily Lim παραδέχτηκε με δήλωσή της στους New York Times ότι «πρόκειται για ένα λάθος της εταιρείας». H εταιρεία πάντως ανακοίνωσε ότι το συγκεκριμένο κενό ασφαλείας δεν ήταν ακριβώς «κενό» αλλά μια κατά παραγγελία εφαρμογή για έναν κινέζο κατασκευαστή, που είχε ζητήσει έναν τρόπο καταγραφής της συμπεριφοράς των πελατών του, ώστε να μειώσει τα spam μηνύματα και κλήσεις. Ανεξαρτήτως προθέσεων πάντως το αποτέλεσμα ήταν μία ακόμη κολοσσιαίων διαστάσεων απειλή για την ιδιωτικότητα των χρηστών.
Οι αμερικανικές αρχές που συνεχίζουν να διερευνούν το ζήτημα δεν μπορούν να αποφανθούν για το αν η παραβίαση είχε στόχο δεδομένα χρηστών για διαφημιστική χρήση ή αν εντάσσεται σε κάποιο ευρύτερο σχέδιο της κινεζικής κυβέρνησης να συγκεντρώσει δεδομένα.
