Хакер #305. Многошаговые SQL-инъекции
В октябре 2016 года бывший сотрудник АНБ, а ныне глава компании Synack и известный эксперт в области информационной безопасности Патрик Вордл (Patrick Wardle) представил бесплатную утилиту OverSight. К созданию программы его подтолкнула различная Mac-малварь, которая шпионит за пользователями при помощи встроенных в устройства камер и микрофонов. OverSight работает на уровне ОС, постоянно наблюдая за другими процессами. Если OverSight замечает, что какой-то процесс запрашивает доступ к микрофону и камере устройства, утилита предупреждает о происходящем пользователя.
Вскоре после релиза OverSight Ворд получил письмо от обеспокоенного пользователя, который заметил, что OverSight предупреждает о странной активности Shazam. Оказалось, что приложение постоянно «слушает», что происходит вокруг. Опасаясь, что его программа выдала ложное срабатывание, Вордл решить отреверсить Shazam и разобраться, что происходит. Как оказалось, OverSight не ошибалась. После нескольких часов изучения кода, Вордл пришел к выводу, что Shazam действительно постоянно «слушает» все вокруг. Хотя исследователь сделал вывод, что ничего плохого при этом не происходит, то есть приложение все же не шпионит за пользователем, тем не менее, такая функциональность – это не баг.
Журналисты Vice Motherboard попросили Джеймса Пирсона (James Pearson), вице-президента Shazam по глобальным коммуникациям, прокомментировать ситуацию. И Пирсон заявил, что Вордл прав, но ничего страшного в этом нет:
«Никакого нарушения приватности нет, так как аудио не обрабатывается, если только пользователь вручную не переведет приложение в режим “вкл.”. Если бы микрофон не оставался включенным, приложению понадобилось бы гораздо больше времени для инициализации микрофона и начала буфферизации аудио. Это привело бы к ухудшению впечатлений от использования, ведь пользователи тогда могли бы попросту упустить песню, которую хотели идентифицировать».
«Когда я что-то выключаю, “выкл.” должно означать “выкл.”. Очень мило с их стороны, что они не обрабатывают данные, но, да, запись по-прежнему ведется постоянно», — парирует Вордл.
Тем не менее, Персон еще раз подчеркнул, что микрофон остается включенным только для «технических нужд» и оптимизации работы приложения, и разработчики Shazam не собираются это менять, так как «для этого нет повода».
«Я не нашел признаков какой-либо обработки данных (они не сохраняются, не извлекаются т.д.), однако, мне все равно не нравится приложение, которое постоянно “снимает” аудио со встроенного микрофона моего компьютера», — говорит Вордл.
Эксперт отмечает, что хотя само приложение Shazam не делает ничего дурного, малварь может использовать его в своих целях, обратив легитимную функциональность против пользователя, к примеру, тайно записывая все, что происходит рядом с его компьютером.