Technology >> Securitate >> Stiri si comunicate

Symantec analizează securitatea identităţii virtuale cuantificate

Radu Ghitulescu

03 Septembrie 2014

Specialiștii Symantec au descoperit că aplicațiile contactează, în medie, 5 domenii diferite de iInternet. Există însă și aplicații care se conectează la 14 domenii diferite într-o perioadă scurtă de executare. Este de înțeles că aplicațiile necesită interacțiunea cu un anumit număr de domenii web pentru a transmite datele și informațiile colectate și accesul la anumite interfețe de programare a aplicațiilor (Application Programming Interface – API) pentru a intermedia publicitate și alte servicii, dar faptul că un număr considerabil de aplicații contactează mai mult de 10 domenii diferite în scopuri diverse este surprinzător. Multe aplicații raportează activitatea proprie serviciilor de statistici de date, aceste servicii adună și analizează aplicații și comportamente ale utilizatorilor pentru scopuri de marketing. Unele aplicații folosesc serviciile de statistică pentru a examina performanțele aplicației în sine, prin raportarea problemelor de performanță și anumitor defecțiuni.
Deși dezvoltatorii de aplicații sunt bine intenționați, informațiile despre activitatea unui utilizator pot fi dezvăluite în maniere neprevizionate, prin intermediul interacțiunilor dintre aplicație și serviciile terțe. De exemplu, o aplicație care monitorizează anumite activități fizice transmite anumite solicitări către adresa URL a unui serviciu de statistici la începutul și finalul fiecărei sesiuni. În cadrul acestui schimb de informație, aplicația transmite un ID unic pentru instanța proprie de aplicație, alături de numele aplicației și mesajele care indică începutul și finalul activității monitorizate.
Pe lângă scenariul prezentat anterior, există multiple alte scenarii care permit scurgerea neintenționată de date și informații de natură personală, scenarii care întâmpină erori umane, inginerii sociale sau gestionare improprie de date.
De ce este acesta un motiv de îngrijorare? Deși mulți dintre noi împărtășesc cu lejeritate detalii privind viața personală alături de prieteni și familie, există anumite informații care nu trebuie în mod neapărat împărtășite. Când utilizatorii aleg să nu publice unele actualizări, în mod sigur nu își doresc ca furnizorii de servicii să comunice, direct sau indirect, respectivele informații.

Alte slăbiciuni de securitate

În orice serviciu care partajează informații, conturile de utilizator sunt folosite pentru a separa actualizările și informațiile unui anumit utilizator de cele ale altuia. Sesiunile de înregistrare sunt folosite pentru a gestiona fluxul de date și de procesare cu scopul de a permite utilizatorilor să acceseze datele personale și a efectua sarcini distincte exclusiv asupra datelor și informațiilor pentru care dețin permisiune de acces. Sesiunile care prezintă riscuri de securitate pot fi exploatate de infractorii cibernetici, ducând chiar la operațiuni de tipul scurgerilor de informații sau vandalismului de date.
În cercetările Symantec, specialiștii companiei au descoperit anumite website-uri care nu gestionează corect sesiunile de înregistrare ale utilizatorilor. Spre exemplu, unul dintre site-uri oferea posibilitatea de a căuta și vizualiza informații personale ale altor utilizatori. Un altul le permitea atacatorilor să creeze tabele în baza de date, prin comenzi SQL, și să le trimită pe server pentru a fi executate. Aceste lipsuri flagrante de securitate pot conduce la breșe majore în bazele de date ale utilizatorilor.
De ce este acesta un motiv de îngrijorare? Sistemele construite sau implementate defectuos pot expune vulnerabilități importante pe care atacatorii le vor exploata. Acestea pot conduce la compromiterea totală a datelor utilizatorilor de partea furnizorilor de servicii. În funcție de sensibilitatea datelor stocate, implicațiile pentru utilizatori variază de la informații nesemnificative, precum numărul de pahare de apă băute zilnic, până la informații sensibile precum localizarea geografică.

Ce este de făcut?

La prima vedere, monitorizarea stilului de viață și confidențialitatea datelor nu par să fie congruente. Cum pot fi asigurate simultan înregistrarea datelor personale și menținerea unui nivel oportun de securitate? Având în vedere problemele de securitate și confidențialitate a datelor descoperite de specialiștii Symantec, concluzia evidentă ar fi ca utilizatorii să nu efectueze niciun fel de monitorizare personală dacă prețuiesc confidențialitatea datelor personale.
Mai presus de riscurile potențiale de natura securității și confidențialității datelor, fenomenul „Quantified Self” își continuă expansiunea, iar studiile indică o creștere semnificativă în anii viitori. Symantec recomandă măsuri de precauție care pot reduce riscul ca datele personale să fie expuse odată cu informațiile de monitorizare a stilului de viață, astfel încât utilizatorii să se bucure pe deplin de astfel de activități:
Folosiți aplicația de blocare a ecranului sau o parolă care previne accesul neautorizat asupra dispozitivelor proprii;
Nu refolosiți aceeași parolă sau nume de utilizator pe mai multe website-uri;
Folosiți parole puternice;
Închideți serviciul Bluetooth atunci când acesta nu este necesar;
Fiți sceptici în legătură cu acele website-uri sau servicii care pretind informații excesive sau inutile;
Fiți precauți atunci când folosiți facilitățile de partajare cu rețelele sociale;
Evitați partajarea detaliilor privind propria locație în mediile sociale virtuale;
Evitați aplicațiile și serviciile care nu oferă în mod clar politicile de confidențialitate;
Citiți și înțelegeți politicile de confidențialitate ale aplicațiilor și serviciilor online;
Instalați actualizările aplicațiilor și sistemului de operare atunci când acestea sunt disponibile;
Folosiți o soluție de securitate pentru dispozitive electronice;
Folosiți criptare completă pentru dispozitive electronice.