La Vanguardia (Català-1ª edició)
El mòbil, el gran blanc dels atacs
El dispositiu que registra més dades personals, sotmès a assetjament constant
Si voleu un mòbil que no pugui ser atacat i amb una autonomia de bateria que duri setmanes, oblideu-vos del vostre smartphone i compreuvos un dels robustos Nokia 3310 que es van llançar l’any 2000 –té una versió del 2017–. Però si voleu el dispositiu total de què gaudiu ara, amb què feu fotos, videotrucades i pagaments; navegue per internet; teniu llanterna, atles de mapes, xarxes socials, botigues, targetes, música, pel·lícules i centenars d’usos més, heu de tenir en compte que és el blanc principal dels que volen accedir a les nostres dades per treure’n benefici.
Ningú no assetjarà el Nokia 3310, perquè no guarda gaires dades per revelar, però els nostres smartphones d’avui són un objectiu prioritari, susceptibles de ser atacats de maneres diferents per extreure la gran quantitat d’informació que contenen. Amb tota la gravetat, el sofisticat espionatge del software Pegasus només pot afectar un percentatge mínim del parc mundial de línies mòbils, que supera els 8.300 milions, davant els 7.900 milions d’habitants del planeta. Hi ha moltes més maneres de perseguir les nostres dades que la del ja famós programa espia.
Una de les maneres més comunes de vulnerar la nostra privacitat són els rastrejadors que inclouen les apps. Cada mòbil, ja sigui iPhone o Android, té un número únic d’identificador publicitari. Quan un usuari obre una app, aquesta aplicació el pot obtenir i acarar-lo amb bases de dades, de manera que poden descobrir multitud de registres de la persona, com ara els llocs i moments en què es connecta, què compra i quins són els seus comportaments digitals. Els perfils amb milers de dades de cada persona permeten enviarli publicitat personalitzada. Encara que sigui una invasió de la privacitat, de moment és legal.
La situació va canviar en part fa just un any, quan Apple va introduir la seva Transparència en el Rastreig d’Apps (ATT) en l’actualització iOS 14.5 dels iPhone. Des d’aleshores les apps estan obligades a obtenir el permís de l’usuari per rastrejar-lo, cosa que va frenar aquest seguiment a un 80% d’usuaris.
Per saber quins anuncis poden interessar als usuaris, s’obtenen dades de tres categories: demogràfiques, com ara l’edat, els ingressos o el gènere; psicogràfics, com ara interessos, opinions i actituds, i de comportament (articles llegits a internet, compres passades, historial de navegació...). Amb tot això s’obtenen perfils aproximats de cada consumidor per oferir-li anuncis sobre productes i serveis que siguin potencialment del seu interès.
Com a conseqüència dels canvis a iOS, des que s’exigeix el permís de l’usuari abans del rastreig, Facebook i altres empreses han perdut uns deu mil milions de dòlars en publicitat, ja que no poden servir als anunciants eines per orientar els anuncis perquè rebin el clic dels usuaris objectius dels anuncis.
De mitjana, qualsevol app d’iOS o d’Android conté sis rastrejadors, i els que recullen aquesta informació del nostre ús d’apps i la nostra navegació web són els anomenats brokers de dades. Un de sol pot obtenir dades sobre uns set-cents milions d’usuaris d’arreu del món i crear perfils de consumidors individuals amb fins a 5.000 característiques.
En una altra categoria d’invasió de la privacitat hi ha l’adware, una mena de software que, una vegada instal·lat, substitueix el motor de cerca del navegador d’internet per un altre que ensenya resultats de pàgines i anunciants afiliats. També mostra les apps potencialment indesitjades, que redirigeixen a determinades pàgines publicitàries i alenteixen el dispositiu, ja que consumeixen molts recursos. Un altre malware que degrada la capacitat del mòbil és el de minatge de criptomonedes, que afecta la CPU i la memòria.
L’spyware, categoria a què pertany Pegasus, és la manera més agressiva d’extreure dades. Aquesta mena de software s’aprofita de vulnerabilitats anomenades zero day en el sistema operatiu, i significa que no han estat descobertes pel fabricant.
L’objectiu és obtenir dades com les de les targetes bancàries per robar diners o informació
Un sol broker de dades pot crear perfils de milions d’usuaris amb fins a cinc mil característiques
Existeix software maliciós que s’instal·la amb tècniques de clic zero, sense seguir enllaços ni arxius
iPhone, un any més tard també es va trobar a Android, amb una adaptació que aprofitava una vulnerabilitat no detectada en aquest sistema.
Com f c' P u " m)! " * " %+c' m Aquesta classe de programes espia (es denominen spyware) aprofiten vulnerabilitats