Üzenetküldők, amik felfedik az új mobilszámod (is) egy creepy fícsörön keresztül

viber-sebezhetosegMindenki számára ismerős jelenség, aki használ Vibert, Whatsappot, Telegramot, Signalt, LINE-t vagy hasonlót, hogy időnként megjelenik egy üzenet arról, hogy “Alice éppen regisztrált, köszönj neki!”.

A háttérben persze az történik, hogy amikor Alice regisztrál például a Viberre, az összes olyan felhasználónál, ahol a Viber telepítve van és Alice regisztrációhoz használt hívószáma el van mentve a telefonkönyvükben, amit alapértelmezés szerint a Viber folyamatosan olvas és össze tud vetni a már regisztrált, cloudban tárolt számokkal, ez alapján jelez. Alice erről persze alighanem nem tud, hacsak nem olvasta el a maratoni hosszúságú T&C-t.

Ami viszont ennél sokkal érdekesebb, hogy ha egy Viber felhasználó új mobilszámot kezd használni, ugyanakkor nem akarja a korábbi Viber accountját törölni és teljesen újat létrehozni, lehetősége van a meglévő accounton a szám átírására is. Ekkor pedig olyasmi történik, ami privacy szempontból minimum juicy: az összes kontakt értesítést kap róla, hogy Alice Viberen használt hívószáma megváltozott és arról is, hogy egészen pontosan milyen korábbi számról milyen új számra. Viszont ez már némileg más mechanizmus alapján történik, itt kezdődik az izgalmas rész!

A Viber ugyanis ezt a figyelmeztető üzenetet egyrészt az előbb ismertetett mechanizmus alapján dobja szét, másrészt azoknak a felhasználóknak _szintén_, akik Alice telefonkönyvében el vannak mentve és használják a Vibert. A leginkább creepy az egészben, hogy sajnos azok a felhasználók is értesülnek róla, akiket Alice esetleg le is tiltott, mivel ezt az adatot már az üzenetküldő nem látja, viszont ahhoz, hogy egy szám tiltva legyen, valahol a mobil oprendszerének nyilván tárolnia kell olyan bejegyzéssel, hogy le van tiltva.

IRL: ha Alice szakított Bobbal, majd Bobot mindenhol letiltotta, esetleg azért változtatta meg a mobilszámát (amit csak nagyon kevesen tudnak) hogy Bob nehezebben tudja elérni, a Viber Bob előtt fel fogja fedni Alice új mobilszámát!

Az, hogy a világ legnagyobb felhasználói bázisával rendelkező közösségi webes szolgáltatásai folyamatosan dolgoznak azon, hogy a privacy beállítások áttekinthetőbbek legyenek a felhasználók számára, nemes dolog, ennek ellenére mégis azt látjuk, hogy tömegeknek még mindig túlságosan bonyolult ezeket a beállításokat megfelelően megadni.

A viberes eset pedig pláne olyan, amivel kapcsolatban nem várható el egy átlagos felkészültségű felhasználótól, hogy tudja, ami akár kockázat is lehet, ha ne adja isten, Bob hogy úgy fogalmazzunk, a kelleténél jobban ragaszkodik a Alice-hoz a szakítás után. Külön pikáns a sztoriban, hogy a Viber gyakorlatilag éppen az ellenkezőjét csinálja, mint amit ígér, hiszen elvben nincs kizárva, hogy egy VM-re telepített Androidon, amiben el van mentve több tízezer mobilszám és futtat egy Vibert, kimondottan azt kövesse, hogy ki mikor regisztrált vagy változtatott mobilszámot, olyan finomságokról nem is beszélve, hogy a Viber sokáig, talán még mindig alapértelmezés szerint a Facebook profilképet használta avatarképként ill. nagyon gyakran azt állítja be a felhasználó, valamint a szolgáltatás mutatja, hogy a felhasználó mikor volt utoljára akív.

Ahogy Keleti Arthur megjegyezte egyszer, nagyon közel van az az éra, amikor már teljesen esélytelen lesz még a megfelelő privacy beállítások megadása is a felhasználók saját döntéseik alapján, egyszerűen azért, mert túlságosan bonyolultak, ezért majd beállítja helyettük valamilyen jólnevelt AI. Hogy a beállítások milyen áttekinthetetlenül bonyolultak tudnak lenni, ennek megfelelően épphogy nem az a célt szolgálják, amire kitalálták őket, arról a Google Plus-szal foglalkozó posztban is írtunk.

Bezár a Google Plus – miután alaposan lecsapolták

google-plus-megszunik.jpgHa már a mostani az információbiztonság hónapja, jött a hír, hogy a Google bezárja közösségi webes szolgáltatását, ami igazából csak néhány napig volt sikeres: amikor bejelentették, hogy elindítják, a felhasználók pedig vetélkedtek, hogy kinél lesz korábban elérhető.

A Wall Street Journal egy névtelen forrásra hivatkozva írta meg, hogy 2015-től kezdődően 2018. márciusáig az API-n keresztül olyan információk voltak elérhetők a felhasználókkal kapcsolatban, amiknek az elérését kimondottan korlátozták. A Google nem cáfolta a hírt, hivatalos blogbejegyzésben részletezték, hogy a leak akár félmillió felhasználót is érinthetett, de ahogy az ilyenkor lenni szokott, gyorsan hozzátették, hogy nincs bizonyíték azzal kapcsolatban, hogy valaki ténylegesen csapolta is voltna az adatokat, ami minden ilyen esetben minimum életszerűtlen.

Itt megjegyezzük, hogy egy ujjal sem kellett az API-hoz nyúlni, enélkül is eszelős mennyiségű információt csorgatott ki a felhasználóiról a Google Plus, hacsak azok nem lőtték le a teljes szolgáltatást vagy nem baktattak végig a mezei júzernek szokatlanul bonyolult, ráadásul rendszeresen változó privacy checkupon – nem keverendő a security checkuppal annak beállításait ugyanis átlagos felkészültségű felhasználónak esélye sem volt egészében megérteni, csak egy kis részlet illusztrációként:

google-plus-privacy-1

google-plus-privacy-checkup.png

Egy nagyon egyszerű, konkrét példa: nagyon sokáig ha a Google Contacts szolgáltatásában egy üres bejegyzést hoztunk létre, amibe beírtunk egy mobilszámot vagy email címet, amikről esetleg nem tudtuk, hogy kié, a Google volt olyan kedves és megmutatta az érintett felhasználó Google Plus profilját, mint kényelmi funkció. Ha valaki nem figyelt rá, hogy kik láthatják vagy akár scrapelhetik le, hogy milyen tartalmaknál nyomott a +1-re, nyilván sokkal több információt árult el magáról ezzel, mint amennyit tudatosan megosztott volna a világgal. Ezek a kényelmi feature-ök, amik sokkal inkább voltak bugok, csak még átláthatatlanabbak és persze még inkább kihasználhatóak voltak azzal, hogy a Google a saját szolgáltatásaiban eredetileg külön-külön kezelt információkat elkezdte aggregáltan kezelni. A felvázolt alaptrükk lényege egyébként az AOL-ban, Yahoo-ban teljesen hasonlóan működött.

A hivatalos blogbejegyzés szokásosan diplomatikusra sikerült, annyi viszont egyértelműen kiderül, hogy komoly a baj, amit még akkor is fel lehet fújni, ha alig használ valaki Google Plus-t. A lényeg röviden, hogy a mezei Google-felhasználók számára a szolgáltatást kivezetik, míg a G Suite, azaz a Google vállalati verziójában meghagyják, még ha ilyen módon jórészt értelmetlen is marad az egész.

Nincs új a nap alatt, tényleg nincs. Egy közösségi szolgáltatásban hiába van piktogramként kis lakat, emberke, karikácska, földgömböcske, így vagy úgy, csak az az információ nem férhető hozzá, amit a felhasználó meg sem adott, ami átvezet egy eléggé aggasztó kérdéskörhöz. Több Google-szolgáltatás csak akkor használható, miután bizonyos adatokat, mint amilyen a születési dátumunk, megadjuk, ezen kívül egy androidos eszköz aztán mindent visz, amit lát az eszköz felhasználójával kapcsolatban. Lehet ugyan, hogy rákérdez, hogy a megadott adatok milyen körben legyenek elérhetőek, ahogy ez lenni szokott az antivirus termékek figyelmeztetéseinél is, a felhasználói magatartásban ősi reflex, hogy minél előbb eltüntesse a felugró figyelmeztető ablakot vagy notify-t, ami ellen ugye nincs védelem. Világos, hogy a születési dátum olyan adat, amire szükség lehet, ha valaki a hirdetési rendszert használná, vásárolna vagy korhatáros videókat nézne, ezek megadása indokolt. Viszont később a Plus kérte a felhasználót, hogy menjen végig a privacy checkupon, az eszes felhasználó pedig, hogy minél gyorsabban végezzen a folyamattal, mindennél jóváhagyta az alapértelmezett vagy ajánlott beállítást, így például azt, hogy a születési dátumot láthassa egy ésszerűtlenül széles kör, például aki felveszi a saját körébe, hasonlóan nem korlázozta a felhasználó azt sem, hogy valaki a mobilszáma alapján találjon rá, amit eredetileg korábban éppen biztonsági célból adott meg. A checkupot pedig a felhasználó alighanem 10 perccel később már el is felejtette.

Számtalan áthallást vehetünk észre a Facebook adatkezelési gyakorlatával kapcsolatban: egyik személyes kedvencként emelnénk ki, hogy nagyon sokáig az volt az alapértelmezett beállítás a Facebookon, hogy az email cím valamint a mobilszám pontos megadásával lehessen felhasználót megcímezni, üzenetet küldeni neki. Extra finomság, hogy ehhez nem kellett ténylegesen üzenetet küldeni, csak az új üzenet küldésekor valamelyik adatot be kellett dobni a címzett mezőbe és a rendszer kedvesen feldobta a hozzá tartozó felhasználót képpel és névvel. Mindezt a beállítások közt a “Who can look you up using the email address you provided?” és a “Who can look you up using the phone number you provided?” alapértelmezett Everyone beállítása tette lehetővé korábban. Megjegyzendő, ha valaki a mobilja címjegyzékével vagy más szolgáltatással szinkronizálta, mergelte a szolgáltatásban lévő kontaktjait, ott ugyancsak megjelenhetett a mit sem sejtő felhasználó, ráadásul már kiegészített adatokkal!

facebook-who-can-contact-you

Ami a Google Plus-t illeti, már eleve a beállítások, – amik tehát nem keverendők a Google Account beállításaival – olyan idétlenül el lettek rejtve, hogy azt megtalálni is kisebb bravúr a teljes checkupon pedig itt lehet végigbaktatni, miután valaki megtalálta a Plus oldalán a lehetőséget.

Többen gondolhatják úgy, hogy az egyetlen értelmes beállítás az összes közül a
“Send me occasional reminders about these settings” checkbox.

Az átlag felhasználó részéről a zsigeri reakció lehet ezt olvasva, hogy minél több információt irtson ki a Google szolgáltatásaiból, ami látszólag paradox módon, messze nem a legjobb ötlet több szempontból. A Google bizonyos szolgáltatásai megkerülhetetlenek, aki mondjuk levelezésre is használja, igencsak nagy mennyiségű információ koncentrálódik egy-egy fiókban, ha pedig a fiók hozzáférhetetlenné válik, a Google gépi account recoveryje sokkal kevesebb adat alapján lesz képes ismét hozzáférést adni egy olyan fiókhoz, aminek a jelszavát például megváltoztatta a támadó. Másrészt időszerű lenne már elfogadni azt a tényt, hogy bárki bármit is mond, csak az az adat nem kapcsolható egy felhasználóhoz, ha azt az adatot sosem adta meg konkrétan senkinek. Ennek az abszurditását nagyon jól példázza, hogy ha valakinek megadod a mobilszámod, nem mondhatod neki, hogy papírcetlin sziveskedjen tárolni, mert az androidos mobil küldi fel a ködbe’ a mobil telefonkönyvébe írt más adattal, például email címmel együtt. Azaz megmosolyogtató szélmalomharc, amikor valaki ráadásul utólag nekifut törölni a hozzá kapcsolódó adatokat egy szolgáltatásból, hogy aztán lehintse sóval, mivel ha csak néhány ismerőse van, aki felvette kontaktnak, a LinkedIN, XING, Facebook és a többi alapértelmezés szerint szinkronizálják a kontaktadatokat, ahogy az is alapértelmezés több helyen, hogy mindenki konktaktlistába kerül, akinek valaha is levelet küldtünk vagy más küldött nekünk.

Röviden: lehet használni butamobilt is, ha nem egy őserdőbeli kunyhóban lakik valaki, több-kevesebb adata úgyis ott lebeg a fellegek közt.

ínyenceknek ajánlott a MIT Press egyik sorozatában megjelent Metadata című könyv Jeffrey Pomerantztól, ami szintén megmagyarázza, hogy miért található meg akár valahol a neten egy képen több-kevesebb energiabefektetéssel még nyílt forrásból is olyan, aki egyébként soha nem csinál képeket, ha például valahova elutazik.

metadata-mit-press

Az új világ sokak számára egyszerűen érdektelen, megint mások komolyan úgy gondolják, hogy teljes egészében az ő kezükben van a kontroll a saját adataik fölött, valamint egy töredék rész tisztában van vele, hogy akár tetszik, akár nem, a hagyományos értelembe vett magánszféra teljesen átalakul, ugyan nem világos, hogy milyen módon, de az igen, hogy emiatt aggódni vagy küzdeni ellene értelmetlen vagy az információk megvédése irreális erőbefektetést, ésszerűtlen paranoid titkolózást követel meg.

Visszatérve az eredeti hírhez, nagyon sokszor még csak API-trükközést sem igényel, hogy kivájjon valaki valamit, az szolgáltatásplatform fejlesztőinek a felelőssége, hogy csökkentsék az észrevétlen adatszivárgást akár API-n keresztül, akár prosztóbb módszerekkel, ami nyilván azzal a kompromisszummal jár, hogy az alkalmazásfejlesztőknek sokkal kisebb lesz a mozgástere. És a jó öreg gazdasági oldal? Igen, igen: a túlságosan throttle-olt API-n értelemszerűen kevésbé vagy nehézkesebben lehet bármit is varázsolnia a fejlesztőnek, ilyen módon az API-t nyújtó szolgáltatás versenyhátrányba kerülhet konkurrenst szolgáltatásokhoz képest.

Ami a Google Plus-t illeti, maholnap béke poraira, csak egyetlen példa volt arra, hogy egy olyan szolgáltatás, amit gyakorlatilag nem is használnak, de jelentős felhasználói bázissal működött, mekkora kavart okozhat, egy Google-szolgáltatás ide vagy oda, eléggé megszokott, egy-egy óriásszolgáltatás kivezetése, ahogy arról korábban is írtunk már.

képek: boingboing