Την τελευταία εβδομάδα, όλοι όσοι ασχολούνται με την τεχνολογία έχουν ακούσει την είδηση που θέλει την Lanovo να έχει εγκαταστήσει το Superfish adware μαζί με ένα πιστοποιητικό ασφαλείας στις συσκευές της.
Εντωμεταξύ η Microsoft, η Lenovo και άλλες εταιρείες έχουν εκδώσει λογισμικό για την αφαίρεση του Superfish και του πιστοποιητικού ασφαλείας, αλλά το πρόβλημα φαίνεται να υπάρχει και στις κινητές συσκευές.
Το ισοδύναμο του Superfish για τις κινητές συσκευές ονομάζεται LikeThat και είναι διαθέσιμο για συσκευές με iOS και Android, στα ειδικά app stores κάθε πλατφόρμας.
Η εφαρμογή έχει σχεδιαστεί για να “διευκολύνει” τους χρήστες της σε αγορές με τη λήψη φωτογραφιών. Η φωτογραφία στη συνέχεια ανεβαίνει σε διακομιστές του Superfish και τη συγκρίνει για να ανακαλύψει οπτικά παρόμοια αποτελέσματα παρέχονται από χιλιάδες άλλους λιανοπωλητές.
Ο Jonathan Zdziarski, ένας ειδικός ερευνητής του iOS, ελέγχοντας τον κώδικα της εφαρμογής ανακάλυψε ότι συμπεριλάμβανε ορισμένα χαρακτηριστικά που προσδίδουν σε κάθε συσκευή μια μοναδική ταυτότητα, και διατηρούν όλα τα EXIF δεδομένα που είναι διαθέσιμα στις φωτογραφίες.
Το ID της συσκευής, αποστέλλεται επίσης σε μια εταιρεία analytics, που έχει εκχωρηθεί στη συσκευή χωρίς καμία ειδοποίηση στο χρήστη ενώ αποστέλλει και τη διεύθυνση MAC του κινητού.
Όσον αφορά τα δεδομένα EXIF που υπάρχουν στις εικόνες η ιδιωτική ζωή του κάθε χρήστη καταπατείται ειδικά αν έχει ενεργοποιημένο το GPS. Έτσι οι εταιρείες εκτός των άλλων, έχουν την ακριβή τοποθεσία του αλλά και τον χρόνο που τραβήχτηκε η φωτογραφία. Φανταστείτε πολλές φωτογραφίες από διαφορετικές θέσεις μπορούν κάλλιστα να δείξουν τις κινήσεις ενός χρήστη σε μια συγκεκριμένη χρονική περίοδο.
Ο ερευνητής διαπίστωσε ότι το LikeThat Superfish για το iOS είναι αρκετά επεμβατικό και περιλαμβάνει κώδικα που μπορεί να διαρρεύσει πληροφορίες σχετικές με τη συσκευή, όπως τον ελεύθερο χώρο στο δίσκο, τη διεύθυνση MAC, την μνήμη που χρησιμοποιείται, τη συχνότητα της CPU ή τον τύπο της οθόνης.
Σε μία δημοσίευση που έκανε την Παρασκευή, ο ερευνητής επισημαίνει ότι, αν ορισμένες από τις δυνατότητες παρακολούθησης είναι απενεργοποιημένες (κλειστό GPS) σε εκδόσεις της εφαρμογής για iOS ή Android, η δυνατότητα συλλογής και μετάδοσης της θέσης του χρήστη είναι δυνατή μέσω του SFLocationAPI που χρησιμοποιούν.
“Φαίνεται ότι το Superfish αν δεν έχει τον τρόπο συλλογής πληροφοριών από μια εικόνα που επιλέγετε από το άλμπουμ φωτογραφιών σας (UIImagePicker), χρησιμοποιεί μια τεχνική που θα μπορούσε να επιτρέψει την πρόσβαση σε υποκείμενα μεταδεδομένα εικόνας που οι περισσότεροι χρήστες δεν γνωρίζουν ότι αποθηκεύονται,” αναφέρει ο ερευνητής.
Μπορείτε να δείτε όλη την ανάλυση του ερευνητή από εδώ.
