Ваш смартфон может содержать секретные «функции», делающие вас уязвимыми.
Я не говорю о случайных недостатках дизайна, которыми могут воспользоваться хакеры. Вопросы безопасности существовали всегда. Они представляют собой игру в кошки-мышки между злоумышленниками, которые пытаются нарушить безопасность смартфонов, и производителями смартфонов, которые пытаются выявить и устранить случайные уязвимости, делающие телефоны уязвимыми для хакеров. Ничего нового в этом нет.
Я говорю о новом явлении — тренде, о котором мы узнали только в последние несколько недель.
Я говорю о дизайнерских решениях, принятых производителями смартфонов, которые заставляют телефоны делать что-то невидимо, за кулисами и за вашей спиной, что делает телефоны потенциально менее безопасными.
Google, Apple и OnePlus недавно были уличены в том, что преднамеренно внедряли уязвимости в телефоны так, как ни один пользователь даже не подозревал. Телефоны с программным обеспечением, установленным этими тремя компаниями, делают потенциально небезопасные вещи, даже когда пользователи предпринимают действия, чтобы предотвратить эти самые вещи.
Мотивы индустрии смартфонов частично обусловлены благими намерениями. Целью этих решений является повышение производительности или простота использования. Но решение делать эти вещи без четкого информирования пользователей противоречит новому типу неуважения к клиентам.
Вот что мы узнали за последние несколько недель.
Шумиха с Google Android Cell ID
На этой неделе Quartz сообщил, что в течение последних 11 месяцев Android отправлял данные о местоположении пользователей обратно в Google, даже если службы определения местоположения отключены, приложения не использовались и в телефоне не было SIM-карты. Данные о местоположении основаны на близости к вышкам сотовой связи, что называется «Cell ID».
Представитель Google сказал мне, что в январе Google «начал изучать использование кодов Cell ID в качестве дополнительного сигнала для повышения скорости и производительности доставки сообщений».
Google никогда не использовал и даже не хранил эти данные, и данные не имели никакого отношения к службам определения местоположения, целевой рекламе или другим функциям. Компания в основном включила его с намерением позже изучить настройки производительности.
Google планирует удаленно отключить эту функцию определения местоположения в течение следующего месяца для всех пользователей в результате разногласий. Прекращение не требует программного исправления или загрузки.
Компания не объявила о судьбе этой функции. Вполне возможно, что компания могла бы использовать его в будущем для ускорения обмена сообщениями либо универсально, либо в качестве опции пользователя.
Поэкспериментировать с Cell ID как способом ускорить обмен сообщениями было правильным решением для Google.
Внедрение Cell ID на всех телефонах Android без уведомления пользователей о том, что данные о местоположении передаются даже при отключенных службах определения местоположения, было неверным решением.
Беспроводная связь Apple iOS 11 Control Center
Приложение «Настройки iOS» всегда позволяло пользователям включать и выключать Wi-Fi и Bluetooth.
Когда вы отключаете Wi-Fi и Bluetooth в настройках, iOS отключает телефон от любых сетей Wi-Fi или устройств Bluetooth, к которым телефон подключен, а затем отключает радиомодули Wi-Fi и Bluetooth внутри телефона, чтобы предотвратить любые возможные использование Wi-Fi или Bluetooth с этим телефоном. Wi-Fi и Bluetooth остаются отключенными, пока пользователь не включит их снова.
Вот как пользователи ожидают, что это будет работать, и как это работает на самом деле.
Для удобства Apple четыре года назад выпустила Центр управления для iOS 7. Доступен сегодня свайпом вверх от нижней части телефона (на всех телефонах, кроме нового iPhone X, который вызывает Центр управления свайпом вниз по в правой части экрана), Пункт управления позволяет пользователям быстрее включать и выключать Wi-Fi и Bluetooth, а также выполнять другие функции.
Apple мудро поместила это переключение беспроводной сети в Центр управления, потому что есть много причин включать или выключать их быстро и часто. Например, отключение Wi-Fi и Bluetooth экономит заряд батареи.
Есть только одна проблема: хотя Центр управления управляет отключением телефона от сетей Wi-Fi и устройств Bluetooth, он не отключает Wi-Fi или Bluetooth.
Когда Wi-Fi или Bluetooth отключаются в Центре управления, iOS 11 автоматически повторно подключается к новым точкам доступа или устройствам Bluetooth, если они появляются в пределах досягаемости. Или если телефон перезагрузить. Или если 5 утра случается. (Верно. В 5 утра телефон автоматически переподключится к тем самым ресурсам Wi-Fi и Bluetooth, от которых пользователь активно отключался.)
Отключение Wi-Fi и Bluetooth в настройках является абсолютным и постоянным. А вот «отключение» Wi-Fi и Bluetooth в Центре управления — это иллюзия. Wi-Fi и Bluetooth остаются включенными и работают.
(Apple не ответила на мой запрос о комментарии.)
Пользователи, естественно, предполагают, что переключение Wi-Fi и Bluetooth в Центре управления идентично тому же действию в Настройках, хотя на самом деле они совершенно разные. (Apple сообщила пользователям об этом различии только на малоизвестной странице справки, которую Apple знает, что подавляющее большинство пользователей iPhone никогда не увидят и не узнают о ней.)
Поведение Apple Control Center позволяет быстро отключаться от сетей и ресурсов, продолжая включать такие функции, как AirDrop, Personal Hotspot и Handoff, а также отдавать предпочтение периферийным устройствам Apple, таким как Apple Pencil и Apple Watch. Он существует для простоты использования и удобства, и это было правильным решением.
Но было бы неправильно информировать пользователей о том, что переключение Wi-Fi и Bluetooth в Центре управления не делает того, что делает Настройки.
Неразбериха с OnePlus EngineerMode
В этом месяце было обнаружено, что компания-производитель смартфонов OnePlus поставляла телефоны с установленным приложением, которое могло рутировать телефоны.
Приложение называется «EngineerMode», и это диагностическое программное обеспечение, которое часто устанавливается на прототипы или телефоны перед поставкой, но удаляется или никогда не устанавливается на телефоны для отправки в продажу.
Есть три способа активировать «EngineerMode»: с помощью команды номеронабирателя, средства запуска активности Android или командной строки.
Функция приложения, обеспечивающая root-доступ, защищена паролем, но это был неверный пароль, который быстро обнаружили и опубликовали в Интернете. Для использования приложения требуется физический доступ к телефону.
(OnePlus не ответил на мой запрос о комментарии.)
OnePlus заявил в своем блоге, что компания «не считает это серьезной проблемой безопасности» из-за маловероятной комбинации факторов, необходимых для ее использования, но компания удалит приложение в следующем обновлении программного обеспечения.
EngineerMode был модифицированным приложением Qualcomm, и есть некоторые свидетельства того, что другие телефоны, в том числе телефоны от Asus и Xiaomi, могут содержать аналогичные приложения.
Хотя вполне возможно, что крупный производитель смартфонов может поставлять телефон, не зная точно, какое программное обеспечение установлено, мне такая возможность кажется маловероятной.
Более вероятно, что OnePlus специально решила включить EngineerMode в телефон, чтобы ускорить производство, пропустив трудоемкий процесс удаления на каждом телефоне.
Если заверения OnePlus о том, что EngineerMode не представляет «серьезной проблемы безопасности», верны, то включение программного обеспечения было правильным решением.
Но включать его тайно, не информируя пользователей явно и не сообщая им, как его удалить, было неправильным поступком.
Почему покупатели смартфонов должны требовать доверия
Преднамеренная установка функций, которые создают потенциальные риски безопасности (или даже функции, которые, по мнению пользователей, создают такие риски), а затем даже не информирование клиентов об этих функциях свидетельствует о новом пренебрежительном, снисходительном и бесцеремонном отношении к покупателям.
Во всех трех случаях эти компании-производители смартфонов отняли контроль у пользователей, скрыв свою активность.
Во всех трех случаях компании, по сути, говорят: «Мы доверяем себе, поэтому пользователям не нужна информация, чтобы принимать собственные решения об этих функциях».
Телефоны Android тайно передавали данные о местоположении после того, как пользователи специально отключали службы определения местоположения.
Радиомодули Wi-Fi и Bluetooth телефонов iOS 11 тайно оставались включенными и работали после того, как пользователи специально отключили Wi-Fi и Bluetooth.
Телефоны OnePlus содержали секретное приложение, способное рутировать телефон.
Ни поведение Google Cell ID, ни приложение OnePlus EngineerMode не были раскрыты компаниями, но были рассмотрены и исправлены только после того, как исследователи обнаружили их.
Этот факт заставляет меня задаться вопросом, что еще происходит на наших телефонах, о чем мы не знаем.
Прозрачность порождает доверие. Обфускация порождает недоверие.
Теперь у нас есть основания не доверять нашим смартфонам и компаниям, которые их производят.
Хуже того, эти решения Google, Apple и OnePlus демонстрируют неуважение к клиентам.
Промышленность: Пришло время вернуть наше доверие, проявив уважение.
Работайте усерднее, чтобы информировать нас о том, что делают смартфоны, особенно по вопросам, связанным с передачей данных о местоположении, функционированием беспроводной сети и возможностью рутирования наших телефонов.
Авторское право © 2017 IDG Communications, Inc.
