Szpieg w kieszeni pracownika

W firmach powszechnie wykorzystuje się telefony klasy smartphone. Oprócz ryzyka związanego z przełamaniem zabezpieczeń takich telefonów, dochodzi jeszcze jedno - ujawnianie lokalizacji użytkownika.

Trzeba analizować umowy licencyjne

Należy przyjąć żelazną zasadę, że jeśli z korzystaniem z jakiegoś urządzenia wiąże się umowa licencyjna, treść tej umowy musi być konsultowana z prawnikiem. Dopiero po analizie prawnej skutków takiej umowy dla przedsiębiorstwa można będzie analizować przydatność danej technologii i sposoby jej wykorzystania.

W umowie licencyjnej Apple dotyczącej korzystania z iPhone'a jest następujący zapis:

[...] Apple i partnerzy firmy mogą przesyłać, gromadzić,

zachowywać, przetwarzać i używać danych dotyczących lokalizacji, w tym geograficznego położenia w czasie rzeczywistym iPhone'a użytkownika.

Jak widać, informacja o rejestracji położenia jest zapisana w umowie, ponadto jasno napisano tutaj o tym, że z tych danych mogą korzystać firmy trzecie.

Przed rozważeniem wykorzystania każdej technologii należy się zastanowić nad ryzykiem związanym z eksploatacją danego urządzenia. Najczęściej podejmowanym zagrożeniem jest przełamanie zabezpieczeń i kradzież przechowywanej w urządzeniu informacji lub możliwość wykorzystania przejętego systemu operacyjnego urządzenia do przeprowadzania dalszych ataków. Są to scenariusze możliwe, ale ich prawdopodobieństwo trudno ocenić.

Zagrożeniem, które ma bardzo wysokie prawdopodobieństwo zdarzenia i dość poważne skutki, jest ujawnienie kompletnej historii lokalizacji telefonu, wliczając w to parametry sieci bezprzewodowych i zapisane położenie pozyskane z odbiornika GPS. Takie informacje można pozyskać z telefonu iPhone, są to informacje dostępne także dla firm trzecich, takich jak partnerzy Apple i niektórzy dostawcy oprogramowania.

Lokalizacje zapisane w bazie

Badacze zajmujący się bezpieczeństwem i prywatnością użytkowników telefonów komórkowych niedawno zajęli się dokładną analizą zapisywania lokalizacji przez te urządzenia. Bliższa analiza pokazała, że gromadzą kompletną historię swojego położenia od chwili aktywacji, zapisując ją w pliku consolidated.db. Informacje dotyczą parametrów sieci bezprzewodowych, stacji bazowych oraz znacznika czasu określającego liczbę sekund od 1 stycznia 2001 r.

Baza ta jest synchronizowana do wszystkich urządzeń za pomocą iTunes, jest przechowywana w kopii bezpieczeństwa Time Capsule, a także przenosi się do nowego iPhone'a, gdy użytkownik wymieni telefon na nowszy model. Dane są zapisywane w formacie SQLite, zatem można do odczytu wykorzystać praktycznie dowolną aplikację, która zna ten format, istnieje nawet dodatek do przeglądarki Firefox (SQLite Manager), który to potrafi.

Co dziwniejsze, baza ta jest zapisywana praktycznie w niechronionej części zasobów iPhone'a oraz w nieszyfrowanej kopii bezpieczeństwa, zatem może być bardzo łatwo pozyskana przez osoby trzecie.

Dlaczego iPhone szpieguje?

Nie jest jeszcze znana przyczyna, dla której Apple zachowuje tak szczegółową historię położenia telefonu. Być może ma to coś wspólnego z usługami, które firma z Cupertino zamierza wprowadzić w przyszłości, albo jest to zasób sprzedawany partnerom handlowym, dostarczającym aplikacji na tę platformę.


TOP 200