За последние несколько недель TikTok оказался в горячей воде из-за проблем безопасности. Во-первых, это было Axed в Индии вместе с 58 китайскими приложениями для «кражи и тайной передачи данных пользователей несанкционированным способом». Позже это стало основным цель для администрации Трампа на фоне неустойчивых отношений Америки с Китаем и даже запрещенный для сотрудников Wells Fargo и Amazon, которые позже проследили новости, заявив, что не намерены запрещать использование TikTok.
Хотя осуждение привычек TikTok к сбору данных, по-видимому, обусловлено главным образом геополитическими причинами – его самые суровые критики обвиняют приложение в том, что оно является шпионским ПО для Коммунистической партии Китая, – некоторые исследования предполагает что TikTok не сильно отличается от западных приложений с точки зрения конфиденциальности и безопасности, и скандал с данными Facebook-Cambridge Analytica является, пожалуй, самым ярким примером.
Можно с уверенностью сказать, что на этом этапе пользовательские данные стали основным товаром для основных приложений, но как обстоят дела с популярными криптографическими приложениями?
Крипто и кибербезопасность
Кибербезопасность остается основным слабым местом для криптовалюты и блокчейна. Каждый год хакерам удается извлекать все большие суммы денег из криптовалютных бирж и невежественных инвесторов, в то время как сама технология и чрезвычайная ситуация с монетами конфиденциальности позволяют преступникам оставаться относительно анонимными.
Однако сбор данных – это немного другой вопрос. В отличие от хаков, он попадает в более серую область регулирования. «Личные данные» – это довольно абстрактный общий термин, и обычно пользователи соглашаются на сбор данных при загрузке приложения и утверждают его условия. Тем не менее, они часто не понимают, к каким данным они предоставили доступ этому приложению – и иногда это гораздо больше, чем просто их адрес электронной почты и приблизительное местоположение.
«Мобильные приложения, как правило, очень« основательны », когда речь идет о целевой рекламе», – сказал Хартей Соухни, генеральный директор и соучредитель агентства кибербезопасности Zokyo Labs, в беседе с Cointelegraph по электронной почте. Далее он сказал: «Многие приложения отслеживают пользователей, даже если их мобильное приложение не используется. Кроме того, есть даже опасения по поводу доступа приложений к микрофону вашего телефона ».
Действительно, с Бинансом недавно произошла похожая история. Ранее в этом месяце пользователь Twitter Sherpa опубликовал в своем твите скриншот издателя сертификата, показывающий, что разрешения, запрашиваемые ведущей биржей криптовалют в его приложении Android, включают доступ к камере и возможность записи звука. В то время директор службы безопасности Binance сказал Cointelegraph, что камера используется во время процесса проверки KYC, подчеркнув, что «код, разработанный внутри приложения Binance, определенно не использует микрофон».
Позже генеральный директор Binance Чанпенг Чжао сказал, что он попросил свою команду пересмотреть код, пояснив Cointelegraph, что Binance решил удалить разрешение на запись звука и «свести к минимуму другие разрешения, необходимые для спокойствия наших пользователей».
CZ также поделился списком разрешений от обновленной версии приложения, который казался намного более ориентированным на конфиденциальность по сравнению со скриншотами, размещенными Sherpa. Кроме того, Чжао подчеркнул, что Binance не продает пользовательские данные «любого рода, такие как упаковка данных KYC вместе с аналитикой блокчейна».
Сбор данных и плохие последствия для безопасности
Как ранее CZ рассказывал Cointelegraph, приложения с доступом к данным буфера обмена пользователя представляют наибольшую угрозу безопасности пользователей, потому что они потенциально могут украсть их личные ключи. «Большинство криптографических приложений, которые запрашивают ваш ключевой материал, могут просто украсть ваши средства, а вы уверены, что они этого не делают», – подтвердил Cointelegraph генеральный директор Mixnet по конфиденциальности Nym Technologies Гарри Холпин, добавив: «Любая кастодиальная служба может украсть. ваша криптовалюта.
Кража монет является одним из основных рисков, связанных с приложениями криптовалюты, и в частности приложениями кошелька. Алекс Хайд, директор по исследованиям и разработкам в информационной безопасности SecurityScorecard, добавил в беседе с Cointelegraph:
«Злоумышленники, как известно, используют вредоносные программы, скомпрометированные репозитории разработчиков и социальную инженерию для получения кошелька и закрытых ключей уязвимых пользователей. Примеры этого имели место в прошлом, такие как продолжающаяся чума мошеннических приложений в магазинах мобильных приложений, атака на кошельки Copay через скомпрометированную библиотеку JavaScript в 2018 году и атака на серверы обмена сообщениями узлов Electrum в 2019 году ».
Криптоприложения в целом безопаснее?
Отличаются ли криптографические приложения от основного программного обеспечения с точки зрения сбора данных? Мнения экспертов разделились. «Природа крипто-приложений во многом схожа с другими финансовыми приложениями», – заявил Хайд, уточнив: «Пользователи часто обязаны предоставлять идентификационную информацию для соответствия требованиям KYC / AML. В прошлом были случаи, когда злоумышленники получали данные KYC / AML в результате успешных попыток взлома криптовалютных сервисов ».
Мэтт Сентер (Matt Senter), соучредитель и директор по технологиям приложения вознаграждений Bitcoin Lolli, сказал Cointelegraph, что «стимул лгать, обманывать и воровать намного выше в приложениях Bitcoin, чем в традиционных приложениях», но предупреждает, что «пользователи должны быть бдительными для всех типы приложений. »
Хэлпин сказал, что он был бы «шокирован», если бы в приложениях криптовалюты не было больше вредоносных программ и слежки, чем в других приложениях, учитывая, что криптовалюта имеет дело с деньгами. «Отправка криптовалюты в открытую книгу позволяет любому следить за вашей транзакцией», – добавил он.
Брайан Керр (Brian Kerr), генеральный директор кредитной платформы Kava Labs, сказал Cointelegraph, что «он гораздо больше обеспокоен тем, что данные, передаваемые из финтех-приложений, таких как Robinhood, и приложений для делового общения, таких как Zoom, гораздо больше, чем данные из крипто-торговых приложений».
Как оставаться в безопасности?
Но как можно быть в безопасности при использовании криптографических приложений? Сентер считает, что знание основ криптовалюты является обязательным условием, когда речь идет об использовании отраслевых приложений или работе с цифровыми активами в целом. Senter ссылается на недавний взлом Twitter в качестве примера:
«Пользователям, которые не понимают, как работает Биткойн, грозит полная потеря всего этого. Недавно мы увидели атаку в Твиттере, когда люди были обмануты, чтобы передать свои средства на случайный адрес. Хотя атака на Твиттер не является приложением Биткойн, она подчеркивает отсутствие понимания ».
Согласно Senter, криптографические приложения, которые не имеют удобного интерфейса, чтобы направлять своих клиентов через проверку транзакций, «оставляют непосвященным гадать, в безопасности ли их средства». Он также напомнил, что есть и приложения-аналогы, отметив, что это угрозы, «которые можно легко смягчить, если учить биткойны и хороший уровень безопасности».
Тем не менее, «для пользователя почти невозможно проверить конфиденциальность и безопасность приложения», – заявил Хэлпин из NYM Technologies, добавив: «Даже разработчики часто создают технологии, которые, по их мнению, являются безопасными и конфиденциальными, и облажаются». Он также в значительной степени скептически относится к предположению, что децентрализованные приложения обеспечивают большую безопасность по сравнению с решениями, разработанными централизованными компаниями, по крайней мере в их текущем состоянии:
«Безопаснее ли доверять случайной группе людей с вашим приложением, чем одной третьей стороне? Чтобы децентрализация работала, нам нужна более сильная ответственность и реальная децентрализация. Большая часть того, что я вижу в пространстве блокчейна, – это театр децентрализации ».
В результате Хэлпин пришел к выводу, что лучше обратиться за советом к «авторитетным третьим сторонам», таким как ученые или отраслевые компании, которые имеют хорошую репутацию в поиске и устранении уязвимостей до того, как средства или личные данные их пользователей будут скомпрометированы.