Ihre Lieblings-anonyme-App überhaupt nicht anonym
Kürzlich entdeckten Sicherheitsexperten einen ernsten Fehler in Yik Yak, den "anonymen" Messaging-app bei Jugendlichen beliebt. Auf überraschend einfache Weise angeboten der Fehler Hacker eine Möglichkeit, die Identität der Yik Yak angeblich unbenannte Benutzer entdecken. Es bietet auch eine gute Gelegenheit, dieses sehr wichtige PSA ausstellen: anonyme apps sind nicht anonym, und sie wahrscheinlich auch nie sein.
Warum? Es ist einfach zu schwer, mit hinreichender Sicherheit mit abziehen. Yik Yak ist nur das letzte angeblich anonymen app identifizierbaren Benutzerdaten verfügbar machen. Nun, jeder einzelne von den beliebtesten anonyme Messaging-apps – Geheimnis, Flüstern, Yik Yak und der nicht-anonyme aber angeblich selbstzerstörende Snapchat — hat in irgendeiner Form verletzt worden.
Diese sind alle social-networking-Anwendungen mit Millionen von Nutzern, Benutzer, die sie Versprechen bleiben anonym. Der Trend von Exploits legt nahe, dass eine wirklich anonyme App ist ein bisschen wie ein unmöglicher Traum in einem Ökosystem, gefüllt mit GPS-Koordinaten, app-Store-Konten, Telefonnummern, Passwort-Schlüsselanhänger und andere Datenpunkt, der Identität eines Benutzers aussetzen könnte. Trotzdem bekommen die Versprechungen gemacht.
"Keine der apps etwas wie Tor verwenden, um Kommunikation zu anonymisieren," sagte Matthew Green des Johns Hopkins Information Security Institute Gizmodo. "Die Anbieter eine Unmenge an Informationen zu sammeln, dann sagen Sie"Vertrauen"geht es um die Anonymität der Nutzer. Vielleicht ist das eine akzeptable Kompromiss, aber es klingt ziemlich beängstigend für mich."
Nicht alle Vorfälle mit den großen anonymen Messaging-apps im vergangenen Jahr wurden identisch. Einige waren gerade nach oben Kerben. Einige waren Exploits aufgedeckt. Einige waren nur invasive Daten Sammlung Maßnahmen ausgesetzt. Sie alle unterstützen die These, die anonyme apps sind in der Regel nicht anonym, aber bleiben. Und Sie sollten kein Bündel von vertraulichen Informationen über diese apps aufzugeben, weil Sie wahrscheinlich gefickt werde. Schauen wir uns diese Frage app von app.
Yik Yak
Yik Yak behauptet, ein Ort, um "Ihre Gedanken mit Menschen um Sie herum und dabei Ihre Privatsphäre teilen." Versprechen, dass Ringe ein wenig hohl, da die jüngsten Yik Yak-Exploit so lächerlich einfach war. Das Hauptproblem ist, dass Yik Yak Passwörter nicht. Wenn Sie die Benutzer-ID kennen, können Sie jedermanns Konto anmelden. Allerdings verschlüsselt Yik Yak auch Datenfluss zwischen der app und dem Server, so dass Sie in Ordnung sein sollten, solange Sie nicht jemand, Ihre Benutzer-ID, richtig sagen?
Nein, nicht einmal annähernd. Apps kommunizieren häufig mit anderen Servern, um Dinge wie Benutzer verfolgen und Werbung zu ermöglichen. Und Yik Yak wurde Benutzer Daten im nur-Text senden, an eine Analytics-Firma namens Flurry, jedes Mal, wenn die app gestartet. Dieser Daten wäre ein leichtes für einen Hacker zu abfangen, und es macht auch Benutzer-ID-Informationen sehr leicht zu finden. Behoben Yik Yak hat seit den Exploit, aber wer zu sagen es wird nicht eine andere?
Geheimnis
Der plötzlichen Ausschlag von Secret-sharing apps gezeigt wie gefährlich gespielter Anonymität sein könnte. Geheimnis, einerseits eingeladene Nutzer, ihre tiefsten Geheimnisse aufzudecken, aber die app störte, Bot Verhalten zu berücksichtigen. Mit einem einfachen Skript verwendet ein paar Hacker Bots Geheimnis um die Identität bestimmter Benutzer früher in diesem Jahr entdecken. Geheimnis den Exploit behoben, aber wer weiß, dass andere schlechte Sicherheit Geheimnisse der app ist versteckt.
Flüstern
Dies ist nur eine schlechte app. Ein kleiner Skandal brach ein paar Monate her, als Der Wächter die erstaunliche Datenmenge aufgedeckt, die das vermeintlich anonyme Flüstern von ahnungslosen Benutzern gesammelt wurde. Die app erfasst sogar Standortdaten, wenn Benutzer sich abgemeldet. Sicherheitsexperte Jonathan Zdziarski identifiziert eine Reihe von schwerwiegenden Problemen mit wie die app bald danach gebaut wurde.
"Die Anwendung generiert eindeutige Bezeichner zum ersten Mal, ohne anfängliche Benutzerinteraktion ausgeführt wird," schrieb der iOS-Forensik-Experte. "Diese Benutzer-IDs für die Lebensdauer der Anwendung existieren und zugeordnet sind, auch wenn der Benutzer anonym bleiben möchte während der Anwendung." " Nicht ganz anonym.
Snapchat
Snapchat ist keine anonyme app genau, aber es verspricht, bestimmte Informationen (aka n00dz) darüber hinwegtäuschen spezialisiert. Das heißt, verspricht es, Nachrichten zu löschen, nachdem sie angeschaut haben. Und wie aktuelle anonyme posting apps, Snapchat hat auch selbst das Opfer der dummen einfache Kontrolle mehrmals. Viele dieser Instanzen beteiligt eine Hacker-geliefert Offenbarung, dass Snapchat alte Schnappschüsse überhaupt gelöscht hat. Es hat sie versteckt im normalen Anblick! Das Unternehmen hatte mehr als einmal diesen Fehler gemacht.
Die Messaging-app erwischt auch mit seiner Hose runter vor einem Jahr, wenn eine Gruppe von Forschern erhalten (und veröffentlicht) einige 4,6 Millionen Benutzernamen und Passwörter durch eine grundlegende nutzen mit der app-Freunde suchen-Funktion. Die Funktion war praktisch! Aber es war gefährlich. Innerhalb von ein paar Monaten verwendet Hacker einen anderen Exploit um Benutzerdaten zu stehlen. Das sind nur die Verletzungen, die, denen wir kennen. Es ist jedoch offensichtlich, dass Snapchat "Vertrauen" Versprechen für eine lange Zeit leer gewesen ist.
Alle anderen
Es ist nicht unbedingt unmöglich, eine Anwendung zu erstellen, die Benutzer-Identitäten gut schützt. Wie Green wies darauf hin, wäre eine Möglichkeit, dies zu tun, ein anonymes Netzwerk wie Tor verwenden, um Benutzer zu schützen. Apps können auch weniger Daten sammeln, obwohl dies ihre Fähigkeit zu verkaufen Anzeigen in Zukunft begrenzen könnte. Ehrlich gesagt, konnte viele angehende anonyme app Bauherren gestartet werden durch die Fokussierung auf Sicherheit zuerst.
Green sagte es am besten: "Es ist einfacher, eine hübsche app zu bauen, die behauptet, anstatt sie zu bauen eine app, die wirklich sicher ist sicher." Und dann, nachdem die apps Millionen von Nutzern kompiliert haben, ist es so einfach für sie um Vergebung betteln nach einem Hack. Es ist auch leicht für Sie nicht geben ihnen Ihre persönlichen Informationen an erster Stelle. Also denken Sie daran, dass wenn Sie nicht möchten, irgendjemand weiß, dass Sie nichts gesagt, die sicherste Vorgehensweise ist nicht zu schreien es von einer zufälligen app.
Bild von Michael Hession