Читайте также
В "Большом брате по вызову" (№ 67, "Новая" от 29 июня 2020 г.) я пощекотал нервы читателя рассказом о том, как на торговых площадках Даркнета ведется бойкая торговля всеми нашими исподними: от детализации телефонных звонков до персональных записей в базах данных МВД / ГИБДД / ФНС/ ПФР/ НБКИ и проч. Предельная актуализация предлагаемой информации не оставляет сомнений: данные крадут не "злые хацкеры", а сотрудники ведомств, ответственных за ведение этих самых баз данных.
Предлагаю сегодня углубить наши познания в вопросах цифрового нудизма и познакомиться с главным поставщиком приватной информации, которая разными окольными путями рано или поздно становится достоянием широкой общественности. Если я сейчас скажу, что основным источником утечки выступаем мы сами, вряд ли кто-то удивится.
Не удивится, потому что нам давно все уши прожужжали о том, как надлежит ответственно относиться к личной цифровой безопасности, придумывать только надежные пароли, хранить их в укромном месте и т.д. Однако история, которую собираюсь сегодня поведать, немного о другом.
Если коротко, то: не так важно, с какой ответственностью и серьезностью вы оберегаете свои персональные данные, потому что их все равно рано или поздно украдут.
Почему? Потому что в наших мобильных телефонах, планшетах и компьютерах воруют информацию почти все приложения. Редкие исключения случаются, что лишь усиливает общую тенденцию.
Подобный поворот сам по себе опять-таки не удивляет, потому как мы худо-бедно уже смирились с ключевой аксиомой современной цифровой экономики: если мы видим, что вокруг нас все товары бесплатные, значит единственным товаром на рынке являемся мы сами.
Народ наш, кстати, о таком положении вещей в мире догадывался задолго до цифрового века и оформил догадку в замечательной поговорке: "Бесплатный сыр бывает только в мышеловке". К сожалению, при переходе из риаллайфа в цифровую реальность народная мудрость где-то по пути потерялась, поэтому безответственность нашего поведения в мышеловках, расставленных на каждом углу виртуального мира, порой просто потрясает.
Особенно меня умиляют друзья-филологи, некогда - собратья по альма-матер, ныне же - убеленная сединами и житейской мудростью профессура (а кое-кто так даже членкоры Академии наук). С нескрываемой радостью выкладывают они в своей ленте ФБ ответы на "онлайн-тесты", из которых цифровые фраера выносят фотки того, "как вы будете выглядеть через 20 лет", а цифровые авторитеты - сотни мегабайт бесценной информации с приватными фотографиями, видео, личной перепиской и - главное - полной картограммой социальных связей и предпочтений.
Рискну, однако, предположить, что даже продвинутый в техническом отношении читатель едва ли догадывается об истинных масштабах творимого цифрового воровства и о циничности тех, кто ворует у пользователей личные данные.
Есть на свете одно массовое умопомрачение, которое называется TikTok. Придумала его в 2016 году в Пекине, якобы частная компания под названием ByteDance. Любой человек, знакомый с устройством китайской экономики, эпитет "частная компания" обязан пропустить мимо ушей, потому что в КНР во всем, что касается больших денег, ничего частного быть не может в принципе: там все де-факто государственное - и деньги, и активы, и люди.
Фасад может быть каким угодно, но суть неизменна:
удачливые "миллиардеры" и гениальные "бизнесмены" - люди, несомненно, состоятельные, но никогда не свободные.
Они служащие, а их успешный бизнес - это еще один кирпичик в стене исторического триумфа Коммунистической партии.
Так вот, "частная компания" ByteDance придумала в 2016 году социальную сеть для создания и просмотра коротеньких (по 15 секунд) видеоклипов местным китайским населением. Сеть называлась "Доуинь".
Два года "Доуинь" развлекал китайских людей, а затем выплыл летом 2018 года в международные воды: под другим названием - TikTok - на других серверах, с другими правилами цензуры (вернее, без всяких правил).
Сегодня у TikTok открыты представительства по всему миру - в Берлине, Лондоне, Париже, Лос-Анджелесе, Нью-Йорке, Дубае, Мумбаи, Джакарте, Сеуле, Токио. Скоро будет в Москве (а, может, уже и открыли, потому как еще прошлым летом велись успешные переговоры на этот счет).
Масштабная экспансия объясняется уникальной популярностью китайского сервиса: в мире у этой "социальной сети" (кавычки объясню чуть позже) под миллиард пользователей! Больше всего поклонников незамысловатых видеоприколов - в Индии и США. Россия, Бразилия и Мексика стараются не отставать.
По итогам 2019 года наши соотечественники ежемесячно просматривали в TikTok более 16 млрд видеороликов и сами выкладывали 20 млн клипов. "Лайкали", разумеется, тоже до самозабвения: 1,62 млрд раз!
Проблемы у TikTok начались почти сразу после выхода за пределы Поднебесной: в феврале 2018 года китайцев обвинили в США в незаконном сборе данных у детей до 13 лет без согласия их родителей. По первому разу TikTok отделался комариным укусом - штрафом в 5,7 миллиона долларов.
Следующие 20 месяцев TikTok успешно отбивался от обвинений в "отрицании Холокоста", пропаганде педофилии и рассаднике конспирологии, ссылаясь на очевидное: за всеми пользователями-идиотами уследить никак не получается.
Летом 2019 года к TikTok попытался было прицепиться Роскомнадзор, но духовная и идеологическая близость мешала утаить театральность действия.
О том, в какой обстановке проходили переговоры дружественных структур, можно судить по релизу РИА Новости:
"Состоялась встреча руководителей профильных управлений Роскомнадзора с представителями китайской социальной сети TikTok. На встрече обсуждался широкий круг вопросов взаимодействия управляющей TikTok компании ByteDance и надзорного ведомства. Стороны также обсудили вопрос локализации баз персональных данных российских пользователей на расположенных в России серверных мощностях. Представители компании подтвердили намерение выполнить данное требование российского законодательства".
Риторика рапорта о дружеской беседе до того напоминает киножурнал "Новости дня", предварявший каждый киносеанс в Советском Союзе, что прям слезы на глаза наворачиваются.
Враг тем временем не дремал. 27 ноября 2019 года в калифорнийский суд отправился групповой иск против ByteDance Inc. и TikTok Inc., в котором выдвигались феерические обвинения:
"Пользователи не догадываются о том, что программный код TikTok содержит модули китайской разведывательной службы. TikTok секретно выкачивает и пересылает на серверы, расположенные в Китае, огромные объемы частной информации, которая позволяет идентифицировать пользователя, составить его профиль, отследить местоположение и перемещения по территории Соединенных Штатов. TikTok также тайно перехватывает без ведома и разрешения пользователей файлы, например, видеозаписи, не предназначенные для публикации".
В январе 2020 года, не дожидаясь вердикта суда, Госдепартамент и министерство внутренней безопасности США запретили своим сотрудникам использовать на служебных устройствах TikTok. Все это, однако, в отсутствие прямых доказательств, смотрелось как очередной виток торговой войны с Китаем, поэтому позволяло TikTok уходить в глухой отказ и даже симулировать праведное возмущение.
Колокол на китайском погосте пробил 10 марта 2020. Программисты Талаль Хадж Бакри и Томми Миск проанализировали системные логи мобильных устройств и пришли к заключению, что TikTok высасывает из смартфонов пользователей данные, которые могут содержать адреса криптовалют, линки для восстановления паролей, личную переписку, а также все, что попадает в буфер обмена мобильного устройства.
В исследовании Бакри и Миска содержался, однако, нюанс, который по-прежнему позволял TikTok сохранять сносную хорошую мину при плохой игре: в воровстве пользовательских данных были также уличены еще… 50 мобильных приложений!
Перечислять их все нет нужды, поэтому назову лишь те, что наверняка знакомы каждому читателю: Viber, Russia Today, AliExpress, Hotels.com, Bejeweled, The Wall Street Journal, Reuters, New York Times, CNBC и т.д.
Обстоятельство того, что пользовательские данные воруют также крупнейшие СМИ, торговые площадки и популярные игрушки, позволило TikTok сослаться на общепринятую практику, приплести борьбу со спамом и объявить - для снижения напряжения в обществе - о прекращении воровства данных из буфера обмена мобильных устройств пользователей уже в ближайшем релизе.
К счастью, доверие оказалась безвозвратно подорванным, поэтому полное разоблачение TikTok стало лишь вопросом времени.
В мае софтверный инженер по прозвищу bangorlol провел успешную декомпиляцию кода TikTok и от того, что он обнародовал, волосы встали дыбом у всего непрогрессивного человечества.
Оказалось, что функционал "социальной сети" для TikTok - лишь фасад, за которым скрывается мощнейшая разведывательная машина, сопоставимая по эффективности работы и объему украденных данных разве что с американским "Эшелоном". TikTok перехватывает пользовательские данные после каждого 1-3 ударов по виртуальной клавиатуре!
Засасывает при этом в себя абсолютно все, что пользователь позволяет засасывать (то есть набирает на клавиатуре): пароли, личную переписку, заметки, денежные переводы. Гребет фотографии. Гребет видеофайлы.
В приложении даже предусмотрена возможность время от времени заливать из сервера на смартфон пользователя какой-то неведомый Zip-архив, распаковывать его и запускать опять-таки неведомый исполняемый код.
Забавно, что в коде TikTok установлено множество защитных барьеров от декомпиляции. Дальше больше: как только TikTok понимает, что вы проявляете интерес к тому, какие данные программа у вас изымает, она меняет свое поведение, ложится как бы на дно и на время прекращает шпионский сбор информации.
Иными словами, код TikTok писали не просто люди, озабоченные воровством данных, но еще и искушенные в приемах контрразведки.
Похоже, что китайские "частные предприниматели" уже осознали, что игра проиграна, поэтому даже не пытаются что-то исправить. В марте, после публикации исследования Бакри и Миска, TikTok пообещал срочно удалить функционал слежения за буфером обмена, однако буквально на днях удалось достоверно доказать, что ничего сделано не было.
В июне компания Apple передала разработчикам для широкого тестирования бета-версию новой операционной системы iOS 14, которая предоставляет, среди прочего, дополнительную возможность повысить безопасность: всякий раз, как сторонняя программа делает запрос к буферу обмена, наполненному данными из другого приложения, ОС выводит на экран соответствующее уведомление.
Первая же проверка показала, что TikTok как гребла, так и продолжает грести данные без разбора.
29 июня 2020 года правительство Индии торжественно объявило о запрете китайской "социальной сети" TikTok, а за одно и еще… 58 китайских мобильных приложений! Официальное основание: "Озабоченность угрозой, которую китайские программы представляют для национальной безопасности, суверенитета и территориальной целостности, а также безопасности данных, приватности и общественного порядка".
P.S.
Спешу уверить читателя, что у меня нет предвзятого отношения ни к TikTok, ни к иным китайским софтоделам. У меня просто давно не осталось иллюзий по поводу нашей с вами роли в пищевой цепочке, сложившейся сегодня в мировом информационном пространстве.
В качестве иллюстрации предлагаю посмотреть коротенький видеоролик, в котором видно, как iOS 14 предотвращает попытки перехватить ранее сохраненную в буфер обмена частную переписку.
Попытки, которые предпринимают не какие-то там нерукопожатные разведчики из TikTok, а самые что ни на есть респектабельные приложения - AccuWeather, Wall Street Journal, AliExpress, Fox News, VICE News, Overstock, Google News, Chrome, Pigment…
В удивительное время мы живем, товарищи. Время, о котором не мечталось ни Феликсу Эдмундовичу, ни Эрику Артуровичу (более известному в миру под псевдонимом Джордж Оруэлл).