На прошлой неделе журналисты издания 404 Media написали про адаптер для подключения смартфона Apple к внешнему монитору или телевизору, с крайне сомнительным поведением с точки зрения приватности пользователя. В принципе, такие устройства вообще не должны существовать, но этот переходник — далеко не единственный пример техники, которая не заботится о защите личных данных пользователя.
По внешнему виду и дизайну упаковки китайский адаптер максимально копирует официальный (и традиционно дорогой) переходник «Lightning to HDMI» компании Apple. Но если последний действительно является «безмозглым» переходником, то безымянное устройство вызывает массу подозрений уже при первом подключении к iPhone. Потому как смартфон попросит вас «разрешить подключение к компьютеру». И после этого всё становится только хуже.
Слева на фото — оригинальный адаптер Apple. Остальные два фото демонстрируют героя исследования 404 Media. Когда переходник подключается к смартфону и телевизору, на первом выводится тот самый запрос на разрешение «подключения к компьютеру», а на втором — QR-код, который ведёт пользователя на пестрящий баннерами сайт производителя. Помимо назойливой рекламы какого-то малоизвестного, но платного сервиса видеостриминга, там находится ссылка на приложение, без которого устройство отказывается работать.
Собственно, весь скандал заключается в наборе данных, к которым приложение запрашивает доступ. Чтобы подключить смартфон к телевизору, вы должны предоставить разработчику адаптера ваши координаты, допуск к фото, видео и сенсорам телефона. Приложение собирает данные о посещённых веб-сайтах, версии браузера, других установленных программах, вашем IP-адресе, закладках, поведении пользователя (предположительно во время работы адаптера). В соглашении об использовании «сервиса» прямо указано, что вся эта информация отправляется на серверы в Китае.
Само приложение включает в себя браузер, фотокамеру и клиент для просмотра видео с YouTube. В статье 404 Media приведены слова эксперта, который отмечает, что приложение, скорее всего, не является вредоносным. Это просто пример безответственной разработки с полным пренебрежением к приватности пользователя. Вероятно, проводной адаптер максимально унифицирован с похожим беспроводным, для которого стриминг данных может быть оправдан (хотя для этой задачи есть и куда более приличные решения).
Наконец, статья ссылается на исследование компании Check Point Software семилетней (!) давности, в котором описывается именно беспроводной адаптер, использующий аналогичное ПО EZCast. Для работы с переходником создаётся беспроводная сеть с восьмизначным цифровым паролем, который крайне легко подобрать. Прошивка устройства содержит массу багов, и благодаря им можно без особых усилий получить права суперпользователя. Устройства, использующие ПО EZCast, под разными названиями множество раз упоминаются и на Хабре.
Данные устройства представляют собой интересный пример отвратительного отношения к приватности. При этом они в большинстве случаев не являются вредоносными, хотя сомнительные практики разработки и делают их потенциальной целью для атак. Если вы приобретаете дешёвое беспроводное устройство из Китая, фактически, можете заранее принять на себя сопутствующие риски. Но больше всего в статье 404 Media поражает, что их девайс — проводной, и творить подобное непотребство не должен в принципе.
Материалы: Блог компании «Лаборатория Касперского»