Лучше не устанавливать на смартфон: популярные приложения могут шпионить за вами

Опасность несут в себе программы для автоматизации, включая нативные программы, такие как Apple Shortcuts и Bixby Routines на телефонах Samsung, а также подобные сторонние программы, такие как Tasker и IFTTT, говорится на официальном сайте университета.

С помощью этих приложений пользователи могут настраивать такие функции, как автоматическое уменьшение громкости телефона в школе или на работе, сортировка фотографий в определенные папки, процедуры для устройств умного дома, таких как освещение и термостаты, или запуск определенного списка воспроизведения, когда пользователь садится в машину.

Как отмечается в пресс-релизе, студенты-волонтеры клиники Madison Tech Clinic, которые помогают помочь жертвам насилия, заметили, что некоторые обидчики пользовались программами автоматизации, такими как Apple Shortcuts, чтобы быстро и легко захватить устройства жертв. Из-за особенностей этих программ пользователям было трудно обнаружить цифровые вторжения.

"Благодаря всем возможностям этих программ для автоматизации вы можете выполнять ряд действий, которые ранее требовали бы большей технической сложности, например установка шпионского программного обеспечения или использование GPS-трекера. Но теперь партнеру, который совершает насилие, нужно лишь немного времени, чтобы настроить эти возможности на устройстве", — пояснил доцент кафедры электротехники и компьютерной инженерии Кассем Фаваз.

По словам исследователей, обидчик, который имеет доступ к телефону другого лица даже на несколько минут, может настроить автоматизированные процедуры, которые передадут информацию о местонахождении или текстовые сообщения, или позволят ему перегружать или управлять телефоном, снимать несанкционированные видео и выдавать себя за другое лицо, среди прочего.

Каждая из этих автоматизаций действует как мини-приложение однако, телефоны и планшеты не воспринимают их как отдельные приложения. Другими словами, в отличие от звуков, значков или баннеров, которые оповещают пользователей, например, о получении текстового сообщения, автоматизации не запускают уведомления, когда они активированы или работают. Это означает, что вредоносные действия могут остаться незамеченными.

Докторантка факультета компьютерных наук Ширли Чжан и студент факультета компьютерных наук Джейкоб Вервельде выяснили, как злоумышленники могут использовать программы автоматизации. После этого исследователи разработали систему анализа на основе ИИ для выявления опасных комбинаций клавиш. В конце концов, они нашли 1014 комбинаций, которые, если их разместить на чьем-то устройстве, могут привести к злоупотреблениям.

Тестирование подтвердило, что эти 1014 комбинаций клавиш можно использовать для отправки вредоносных электронных писем с учетной записи другого лица, перегрузки телефона, чтобы он был непригодным для использования, блокировки пользователя, включения режима полета и кражи фотографий. Все это можно делать, не оставляя заметных следов. Об этих проблемах команда оповестила технологические компании.

"Одна компания сказала нам, что пользователи несут ответственность за свои устройства, и они должны создавать надежные пароли и убедиться, что устройства недоступны для других людей. Но это не отражает реальности. В отношениях, где царит насилие, все происходит не так", — отметила Чжан.

Анализ также показал, что традиционные стратегии безопасности малоэффективны. Настройки разрешений применяются к программам, а не к отдельным автоматизациям, оповещения можно легко отключить, а сторонние детекторы вредоносного программного обеспечения не сканируют на наличие вредоносных автоматизаций.

Фокус также сообщал, что хакеры начали использовать искусственный интеллект для взлома облачных хранилищ, прибегая к социальной инженерии на основе дипфейков.