В «Большом брате по вызову» (№ 67, «Новая» от 29 июня 2020 г.) я пощекотал нервы читателя рассказом о том, как на торговых площадках Даркнета ведется бойкая торговля всеми нашими исподними: от детализации телефонных звонков до персональных записей в базах данных МВД / ГИБДД / ФНС/ ПФР/ НБКИ и проч. Предельная актуализация предлагаемой информации не оставляет сомнений: данные крадут не «злые хацкеры», а сотрудники ведомств, ответственных за ведение этих самых баз данных.
Предлагаю сегодня углубить наши познания в вопросах цифрового нудизма и познакомиться с главным поставщиком приватной информации, которая разными окольными путями рано или поздно становится достоянием широкой общественности. Если я сейчас скажу, что основным источником утечки выступаем мы сами, вряд ли кто-то удивится.
Не удивится, потому что нам давно все уши прожужжали о том, как надлежит ответственно относиться к личной цифровой безопасности, придумывать только надежные пароли, хранить их в укромном месте и т.д. Однако история, которую собираюсь сегодня поведать, немного о другом.
Если коротко, то: не так важно, с какой ответственностью и серьезностью вы оберегаете свои персональные данные, потому что их все равно рано или поздно украдут.
Почему? Потому что в наших мобильных телефонах, планшетах и компьютерах воруют информацию почти все приложения. Редкие исключения случаются, что лишь усиливает общую тенденцию.
Подобный поворот сам по себе опять-таки не удивляет, потому как мы худо-бедно уже смирились с ключевой аксиомой современной цифровой экономики:если мы видим, что вокруг нас все товары бесплатные, значит единственным товаром на рынке являемся мы сами.
Народ наш, кстати, о таком положении вещей в мире догадывался задолго до цифрового века и оформил догадку в замечательной поговорке: «Бесплатный сыр бывает только в мышеловке». К сожалению, при переходе из риаллайфа в цифровую реальность народная мудрость где-то по пути потерялась, поэтому безответственность нашего поведения в мышеловках, расставленных на каждом углу виртуального мира, порой просто потрясает.
Особенно меня умиляют друзья-филологи, некогда — собратья по альма-матер, ныне же — убеленная сединами и житейской мудростью профессура (а кое-кто так даже членкоры Академии наук). С нескрываемой радостью выкладывают они в своей ленте ФБ ответы на «онлайн-тесты», из которых цифровые фраера выносят фотки того, «как вы будете выглядеть через 20 лет», а цифровые авторитеты — сотни мегабайт бесценной информации с приватными фотографиями, видео, личной перепиской и — главное — полной картограммой социальных связей и предпочтений.
Рискну, однако, предположить, что даже продвинутый в техническом отношении читатель едва ли догадывается об истинных масштабах творимого цифрового воровства и о циничности тех, кто ворует у пользователей личные данные.
Есть на свете одно массовое умопомрачение, которое называется TikTok. Придумала его в 2016 году в Пекине, якобы частная компания под названием ByteDance. Любой человек, знакомый с устройством китайской экономики, эпитет «частная компания» обязан пропустить мимо ушей, потому что в КНР во всем, что касается больших денег, ничего частного быть не может в принципе: там все де-факто государственное — и деньги, и активы, и люди.
Фасад может быть каким угодно, но суть неизменна:
удачливые «миллиардеры» и гениальные «бизнесмены» — люди, несомненно, состоятельные, но никогда не свободные.
Они служащие, а их успешный бизнес — это еще один кирпичик в стене исторического триумфа Коммунистической партии.
Так вот, «частная компания» ByteDance придумала в 2016 году социальную сеть для создания и просмотра коротеньких (по 15 секунд) видеоклипов местным китайским населением. Сеть называлась «Доуинь».
Два года «Доуинь» развлекал китайских людей, а затем выплыл летом 2018 года в международные воды: под другим названием — TikTok — на других серверах, с другими правилами цензуры (вернее, без всяких правил).
Сегодня у TikTok открыты представительства по всему миру — в Берлине, Лондоне, Париже, Лос-Анджелесе, Нью-Йорке, Дубае, Мумбаи, Джакарте, Сеуле, Токио. Скоро будет в Москве (а, может, уже и открыли, потому как еще прошлым летом велись успешные переговоры на этот счет).
Масштабная экспансия объясняется уникальной популярностью китайского сервиса: в мире у этой «социальной сети» (кавычки объясню чуть позже) под миллиард пользователей! Больше всего поклонников незамысловатых видеоприколов — в Индии и США. Россия, Бразилия и Мексика стараются не отставать.
По итогам 2019 года наши соотечественники ежемесячно просматривали в TikTok более 16 млрд видеороликов и сами выкладывали 20 млн клипов. «Лайкали», разумеется, тоже до самозабвения: 1,62 млрд раз!
Проблемы у TikTok начались почти сразу после выхода за пределы Поднебесной: в феврале 2018 года китайцев обвинили в США в незаконном сборе данных у детей до 13 лет без согласия их родителей. По первому разу TikTok отделался комариным укусом — штрафом в 5,7 миллиона долларов.
Следующие 20 месяцев TikTok успешно отбивался от обвинений в «отрицании Холокоста», пропаганде педофилии и рассаднике конспирологии, ссылаясь на очевидное: за всеми пользователями-идиотами уследить никак не получается.
Летом 2019 года к TikTok попытался было прицепиться Роскомнадзор, но духовная и идеологическая близость мешала утаить театральность действия.
О том, в какой обстановке проходили переговоры дружественных структур, можно судить по релизу РИА Новости:
Поддержите
нашу работу!
Нажимая кнопку «Стать соучастником»,
я принимаю условия и подтверждаю свое гражданство РФ
Если у вас есть вопросы, пишите [email protected] или звоните:
+7 (929) 612-03-68
«Состоялась встреча руководителей профильных управлений Роскомнадзора с представителями китайской социальной сети TikTok. На встрече обсуждался широкий круг вопросов взаимодействия управляющей TikTok компании ByteDance и надзорного ведомства. Стороны также обсудили вопрос локализации баз персональных данных российских пользователей на расположенных в России серверных мощностях. Представители компании подтвердили намерение выполнить данное требование российского законодательства».
Риторика рапорта о дружеской беседе до того напоминает киножурнал «Новости дня», предварявший каждый киносеанс в Советском Союзе, что прям слезы на глаза наворачиваются.
Враг тем временем не дремал. 27 ноября 2019 года в калифорнийский суд отправился групповой иск против ByteDance Inc. и TikTok Inc., в котором выдвигались феерические обвинения:
«Пользователи не догадываются о том, что программный код TikTok содержит модули китайской разведывательной службы. TikTok секретно выкачивает и пересылает на серверы, расположенные в Китае, огромные объемы частной информации, которая позволяет идентифицировать пользователя, составить его профиль, отследить местоположение и перемещения по территории Соединенных Штатов. TikTok также тайно перехватывает без ведома и разрешения пользователей файлы, например, видеозаписи, не предназначенные для публикации».
В январе 2020 года, не дожидаясь вердикта суда, Госдепартамент и министерство внутренней безопасности США запретили своим сотрудникам использовать на служебных устройствах TikTok. Все это, однако, в отсутствие прямых доказательств, смотрелось как очередной виток торговой войны с Китаем, поэтому позволяло TikTok уходить в глухой отказ и даже симулировать праведное возмущение.
Колокол на китайском погосте пробил 10 марта 2020. Программисты Талаль Хадж Бакри и Томми Миск проанализировали системные логи мобильных устройств и пришли к заключению, что TikTok высасывает из смартфонов пользователей данные, которые могут содержать адреса криптовалют, линки для восстановления паролей, личную переписку, а также все, что попадает в буфер обмена мобильного устройства.
В исследовании Бакри и Миска содержался, однако, нюанс, который по-прежнему позволял TikTok сохранять сносную хорошую мину при плохой игре: в воровстве пользовательских данных были также уличены еще… 50 мобильных приложений!
Перечислять их все нет нужды, поэтому назову лишь те, что наверняка знакомы каждому читателю: Viber, Russia Today, AliExpress, Hotels.com, Bejeweled, The Wall Street Journal, Reuters, New York Times, CNBC и т.д.
Обстоятельство того, что пользовательские данные воруют также крупнейшие СМИ, торговые площадки и популярные игрушки, позволило TikTok сослаться на общепринятую практику, приплести борьбу со спамом и объявить — для снижения напряжения в обществе — о прекращении воровства данных из буфера обмена мобильных устройств пользователей уже в ближайшем релизе.
К счастью, доверие оказалась безвозвратно подорванным, поэтому полное разоблачение TikTok стало лишь вопросом времени.
В мае софтверный инженер по прозвищу bangorlol провел успешную декомпиляцию кода TikTok и от того, что он обнародовал, волосы встали дыбом у всего непрогрессивного человечества.
Оказалось, что функционал «социальной сети» для TikTok — лишь фасад, за которым скрывается мощнейшая разведывательная машина, сопоставимая по эффективности работы и объему украденных данных разве что с американским «Эшелоном». TikTok перехватывает пользовательские данные после каждого 1–3 ударов по виртуальной клавиатуре!
Засасывает при этом в себя абсолютно все, что пользователь позволяет засасывать (то есть набирает на клавиатуре): пароли, личную переписку, заметки, денежные переводы. Гребет фотографии. Гребет видеофайлы.
В приложении даже предусмотрена возможность время от времени заливать из сервера на смартфон пользователя какой-то неведомый Zip-архив, распаковывать его и запускать опять-таки неведомый исполняемый код.
Забавно, что в коде TikTok установлено множество защитных барьеров от декомпиляции. Дальше больше: как только TikTok понимает, что вы проявляете интерес к тому, какие данные программа у вас изымает, она меняет свое поведение, ложится как бы на дно и на время прекращает шпионский сбор информации.
Иными словами, код TikTok писали не просто люди, озабоченные воровством данных, но еще и искушенные в приемах контрразведки.
Похоже, что китайские «частные предприниматели» уже осознали, что игра проиграна, поэтому даже не пытаются что-то исправить. В марте, после публикации исследования Бакри и Миска, TikTok пообещал срочно удалить функционал слежения за буфером обмена, однако буквально на днях удалось достоверно доказать, что ничего сделано не было.
В июне компания Apple передала разработчикам для широкого тестирования бета-версию новой операционной системы iOS 14, которая предоставляет, среди прочего, дополнительную возможность повысить безопасность: всякий раз, как сторонняя программа делает запрос к буферу обмена, наполненному данными из другого приложения, ОС выводит на экран соответствующее уведомление.
Первая же проверка показала, что TikTok как гребла, так и продолжает грести данные без разбора.
29 июня 2020 года правительство Индии торжественно объявило о запрете китайской «социальной сети» TikTok, а за одно и еще… 58 китайских мобильных приложений! Официальное основание: «Озабоченность угрозой, которую китайские программы представляют для национальной безопасности, суверенитета и территориальной целостности, а также безопасности данных, приватности и общественного порядка».
P.S.
Поддержите
нашу работу!
Нажимая кнопку «Стать соучастником»,
я принимаю условия и подтверждаю свое гражданство РФ
Если у вас есть вопросы, пишите [email protected] или звоните:
+7 (929) 612-03-68