КЕЙС В 2018 г. на платные рассылки самостоятельно подписались ворота, оборудованные GSM-реле компании МТС для управления с мобильного устройства. Как выяснил владелец, ворота выбрали «Полезные советы» и «Новости», самостоятельно оформив платную подписку за 15 рублей в сутки. Об этом владелец узнал, когда счет обнулился и ворота перестали реагировать на команды (видимо, соскучились по новостям). Устройство неспособно отправлять SMS-сообщения и USSD-команды, поэтому вероятно, что сотрудники компаний сотовой связи оформляют подписки без ведома абонентов
[937].
Примечание. Несанкционированные платные подписки замечены и абонентами компании «Мегафон». Соответствующее исследование провел один из пользователей ресурса Habr
[938].
Также платные подписки часто из-за невнимательности оформляют дети, переходя по различным ссылкам в поисках контента.
Для борьбы с платными подписками можно подключить услугу «Контентный счет». Это отдельный лицевой счет, с которого списываются средства в случае совершения вызова или отправки SMS-сообщения на номер, связанный с контентной услугой; перехода на платную страницу в интернете; оформления мобильной подписки и использования прочих платных сервисов, которые не связаны с основными услугами связи. Соответственно, если баланс такого счета нулевой, то и услуга оказана не будет. А с основного лицевого счета будут списываться средства только за основные услуги связи – голосовые вызовы и SMS на обычные номера, интернет-трафик, роуминг, разные пакеты и дополнительные услуги операторов связи и т. п.
[939] По умолчанию операторы сотовой связи не подключают контентный счет и не продвигают эту услугу, поэтому подключение осуществляется вручную (см. в конце этой главы).
Геолокация
Самая серьезная опасность, угрожающая владельцам современных смартфонов (как и многих планшетов и ноутбуков), – то, что злоумышленники могут определить их местонахождение. Телефон круглосуточно оповещает о своем местонахождении операторов сотовой связи, разработчиков мобильной операционной системы и установленных приложений (в зависимости от разрешений). Существует по крайней мере пять способов определить местонахождение владельца устройства:
■ По данным с вышек сотовой связи. Эти сведения доступны как минимум оператору сотовой связи, а также сотрудникам спецслужб (с помощью СОРМ и т. п.). С помощью таких систем сбора информации о гражданах, как «Умный город» в Москве, данные о местонахождении и передвижении людей (обычно обезличенные) получают городские администрации (например, выявляя живущих без официальной регистрации)
[940]. Точность такого метода зависит от многих факторов и будет выше в городах и ниже за их пределами. Если смартфон или обычный мобильный телефон включен, способов защиты от этого метода нет. Оператору доступна информация обо всех устройствах, подключенных к определенной вышке в определенное время.
Примечание. Обратите внимание: сказанное выше не означает, что слежка ведется абсолютно за всеми пользователями мобильных устройств. Обычно слежку ведут целенаправленно – за определенными лицами, в том числе за преступниками.
КЕЙС В 2019 г. по недосмотру разработчиков оказалась в открытом доступе база данных популярного приложения Family Locator, применяемого для определения местоположения членов семьи пользователя. К примеру, с его помощью родители могут узнавать, где находятся их дети. Приложение также позволяет настраивать уведомления о входе того или иного члена семьи в определенную зону (например, на место учебы или работы) или выходе из нее. Каждая учетная запись в базе данных содержала имя пользователя, адрес электронной почты, фотографию профиля и пароль. Помимо этого, в каждом профиле содержалась информация о местоположении (с точностью до нескольких метров) других членов семьи, обновляемая в реальном времени. Все эти данные вообще никак не были зашифрованы. Любой пользователь, зарегистрированный в приложении, имел доступ к координатам других. Проблема оставалась актуальной в течение нескольких недель и затронула свыше 238 000 пользователей
[941].
■ С помощью специальной аппаратуры. IMSI-перехватчики и подобное оборудование мы обсуждали в главе 4.
■ С помощью беспроводных сетей Wi-Fi и Bluetooth. Перехватив сигнал, который передает устройство при поиске сети и подключении к ней, можно вычислить MAC-адрес смартфона. Полученные данные позволят злоумышленнику определить, когда владелец устройства подключается к той или иной сети (например, если входит в здание или выходит из него), и помогут сформировать карту и график перемещений этого человека. Для получения доступа к информации о MAC-адресах подключенных к сети устройств злоумышленнику предварительно понадобится взломать саму сеть (точку доступа).
Примечание. С помощью MAC-адреса злоумышленник может определить
[942] производителя сетевого оборудования устройства (например, встроенного модема) и в некоторых случаях сформировать специфические векторы атаки, руководствуясь известными уязвимостями данного аппаратного обеспечения.
■ С помощью операционной системы, приложений и веб-сервисов. Установка множества приложений и посещение сайтов (в том числе и легитимных) с назначением им избыточных разрешений существенно повышает риск утечки сведений о местонахождении. Кроме того, за пользователем по умолчанию следит сама операционная система. Чаще всего для определения местонахождения используются данные системы спутниковой навигации (GPS, ГЛОНАСС, Beidou и др.), лишь в некоторых случаях это могут быть другие способы (беспроводные и сотовые сети). Нередко приложения следят за пользователем, даже не имея такого предназначения. Так происходит в случаях, если при разработке приложений программисты используют сторонние SDK, включающие алгоритмы сбора и передачи геолокационных данных компании-разработчику SDK. Впоследствии такая компания продает собранные данные заинтересованным лицам.
КЕЙС Директор компании Kaspersky GReAT Костин Райю проанализировал мобильные приложения на предмет присутствия в них компонентов, передающих геолокационные данные на серверы компании-разработчика SDK X-Mode. Он обнаружил свыше 240 подобных приложений с суммарным количеством загрузок, превышающим 500 млн. Существуют и другие SDK, содержащие алгоритмы для сбора и передачи сведений о местонахождении
[943].