Jak fitness aplikace ohrožuji bezpečnost vládních organizací

:-D

Bezpečnost vládních organizací neohrožují fitness aplikace, ale naprostá nekompetentnost uživatelů (a potažmo těch, kdo ty pitomce se zcela odešlým mozkem najali.) Pokud za sebou agent rozvědky prostřednictvím sociálních sítí (kam patří i tyhle fitness sračky) sype elektronickou stopu jako práškovací letadlo, tak nemá v té funkci co dělat, to je úplně jednoduché. Autor aplikace za to vážně nemůže.

Máte zcela jistě pravdu, že tyto citlivá povolání by neměla používat/zveřej­ňovat veřejně svá data. Polar však má skutečně i bezpečnostní problém, že se dalo v portálu Flow dostat i na privátní data, která nebyla uživatelem zveřejněna.

Příspěvek byl myšlen tak, že v jisté pracovní pozici prostě žádnou takovou aplikaci na telefon instalovat nesmím a ani mě taková blbost nenapadne. Je úplně jedno, jestli se jednalo o "privátní" data nebo ne. Prostě pokud aplikace shromažďuje citlivé údaje, které mají být nepřístupné (např. údaje o poloze a pohybu) a ještě navrch je cpe kamsi do cloudu, tak ji holt nemohu používat. Pokud se mi to nelíbí, tak můžu místo u rozvědky pracovat třeba u pokladny v supermarketu.

Asi tak. Chybička se vloudila i do řízení přistávacího modulu Apollo 11.

U služby, která závisí na aplikaci v mobilu, OS v mobilu, interpreteru Javy, crypto knihovně, TCP/IP stacku, přenosové trase, aplikaci a OS na serveru, web serveru, hypervizoru, SQL databázi na serveru, web serveru, PHP frameworku, JavaScriptu na webovkách,... a autor nerozumí, co je pod kapotou 99% z toho, je jediná jistota, počet chyb je > 10^N, kde N>3.

Takže pokud nechci/nesmím sdílet nějaký data o sobě, nezáleží na platformě, ale na tom kulatým mezi ušima.

V tom případě napřed definuj normální život.

Třeba já nepovažuju za normální přijít do hospody, prvně si udělat selfie před vchodem, pak nafotit jídelníček, potom kozy pinglice, servírovanou krmi, přidat GPS souřadnice a vybít to na xichtknížku...

Stejně tak cvičení, primární je efekt na zdraví/kondici. A pokud mají vojáci potřebu mezi sebou soutěžit, je normální se domluvit a dát si závod společně a pak jít společně "na tiskovku" do hospody. Je jich tam na základně pár set, parta soutěživých se v takové hromadě lidí najde vždycky. Ne sice sportovat vedle sebe, ale hodnotit podle toho, co se objeví na webu a komentovat, jak někdo při běhu zakopl, ježděním prstem po matlafounu.

To je sice možné, ale pouze okrajovým problémem. Jestliže jsem v háklivé funkci a nejsem informačním analfabetem, tak vím, jak fungují dnešní informační systémy, měl bych vědět, že si musím dát kurva pozor, co kam napíšu. Když jsem ale pi*a, ...

Do dnešní doby není nikde pořádně sepsáno jak fungují informační systémy, každá stanice, noviny, rádio to má jinak.. Případně poslancí, atd... A pospsat to nejde a vědět jak fungují nelze říct, protože do toho si nahlédnout nenechaj a nikdo na to nemá právo. Další věcí je, že jsou tu flame poslancí (šikmooký píčus Hovnamura) a ti dále pouští nesprávné informace atd.

K tomu tématu: člověk, který je někde zaměstnán by měl využívat jen ty aplikace, který mu nadřízený povolí (případně udělá blok, něco jako u PS3 kiosk FW). A v tomhle případě se jen ukázali lidé, který v těch řadach nemají být. Svým způsobem super, že ví koho mají příště při rozhodování a škrtech vyhodit.

Neznám Polar, ale Strava má legitinmí režim, kdy sice na profilu uživatele není seznam aktivit a sledovat uživatele lze pouze po tom co to sledovaný povolí, tedy profil se jeví jako soukromý, ale jednotlivé aktivity jsou veřejné a pokud se na aktivitu dostanu třeba přes segment leaderboard nebo flyby, tak ji mohu vidět. Samozřejmě mohu mít vše kompletně privátní, pak aktivity nejsou dostupné, nejsem ani v žebříčcích segmentů a výzev, nejsem vidět ve flyby, skupinových aktivitách a data se ani neprojeví v heatmap. Samozřejmě osoby v exponovaných pozicích a vyskytující se na vojenských základnách by to neměli nahrávat vůbec nikam ani privátně.

No pokud se takto prozrazují lidé zabývající se počítačovou bezpečností, tak to už je na pováženou.

@Svatopluk Vít

No a? Pokud budete mít štěstí, tak Vám @Nekola a @Jarda_P vysvětlí, že takové osoby, jako např. různí koordinátoři bezpečnosti, utajované být nemusí tak jako to zkoušeli na mě minule ... ;-)

Ale na jednoho zajímavýho připadne třeba 20 joudů s fitness náramkem a selfiemánií. Přitom dělají ve stejným objektu -> možnost vystopovat lokalitu tajnýho objektu. A pokud na nějakým strategickým místě pracuje třeba 500 lidí, 450 jich prolustruješ online a když tam není, co hledáš, nenápadně číháš u brány, fotíš všechny a škrtneš ty, co už znáš. Podstatně ti to zjednoduší práci...

Když tak čtu aktuální komentáře k této zprávičce a přidám k nim svoji zkušenost a pozorování z podobných případů, včetně těch z opačné strany spektra, subjektivně docházím k následujícím závěrům.

- Předpokládáte, že kritizovaná osoba je něčím význačná, ale svého soukromí si neváží? Označte ji za nezodpovědnou a plně vinnou za vzniklou situaci.
- Předpokládáte, že kritizovaná osoba není ničím význačná, ale svého soukromí si váží? Označte ji za paranoidní a narušenou.

A abych nikoho neurazil, vyzkouším si onálepkovat sám sebe.
Nepoužívám fitness náramky, nepoužívám smartphone, nemám účet na žádné sociální síti, neupgradoval jsem zdarma na WIN10, nepoužívám cloudové služby, blokuji sledovací reklamy + používám další způsoby obrany proti sledování (blokování cookies, VPN ... ne vždy, pouze když to uvážím za vhodné), při registraci účtů nikdy nesděluji svoje telefonní číslo, platím téměř vždy hotovostí, nemám žádné chytré zařízení v domácnosti (TV, vysavač ...) ... Ať se na to dívám jak chci, já jsem buď tajný agent, nebo paranoidní schizofrenik. Nějaká další možnost, že bych prostě jen byl zodpovědný a rozumný člověk s racionálním přístupem, který to co nepotřebuje, nepoužívá, prostě nepřichází v úvahu. Jsou lidé, kteří se dobrovolně a snad i rádi mění v baterii (Matrix tm), ale proč jsou ti, kteří se baterií stát nechtějí, považováni za podivníny, to je na hlubší zamyšlení, na které omezený prostor komentáře nejspíše nestačí.

A ještě na závěr, ne, nemyslím si, že "po mně jdou", ale i tak budu mnohým za blázna, ale s tím nic nenadělám. Názor, jako názor. Co je nejdúležitější? Dělat věci podle zodpovědného uvážení, nikoliv dělat věci, protože mohu a nikdo nemá právo mi je zakázat.

Upřímně, mně je šumák jestli někdo sbírá moje tzv. "citlivá data". Jestli někdo bude analyzovat údaje o mém pohybu (protože mám fitness náramek), nákupech (platím skoro jen kartou), případně si přečte moje emaily (mám je u gůglu), unudí se k smrti a bude o špiona míň.

To co děláte (resp. neděláte) z Vás sice nečiní blázna, ale z mého pohledu je to ukrutně nepohodlné a dosažený výsledek za to nestojí.

Dosažený výsledek zatím není známý, ale předpokládám, že časem podáte zprávu ;-)

Možná byste měl vystrčit hlavu z EU písku a podívat se jak to funguje někde venku ve světě.
BigData alias silně se vylepšující predikce je například v kombinaci s neregulovaným scoringem na jednu stranu velký business, na druhou stranu dost velký průšvih, zvlášť v kombinaci s neregulovaným zdravotním pojištěním. Čínský Social Credit je taky hezký příklad "neškodné" technologie.

Můžeme být jen rádi, že se to v rámci EU zatím projevuje jen tím, jaké se zobrazují reklamy těm, co nemají žádný adblock.

Pokud jsou firmy typu Cambridge Analytica úspěšné, tak se to v rámci EU projevuje tím, kdo nám vládne.

Vás obdivuju. Onehdy jsem musel do formuláře na úřadě vypsat rodné číslo a doteď se budím hrůzou, že by z něj někdo chytrý mohl zjistit kolik mi je a jakého jsem pohlaví.

Zase z komára velbloud, to není žádný problém ve zmíněných aplikacích, to je prostě je to o tom, že na těchto aplikacích lidi veřejně sdílí co by neměli pod svými skutečnými jmény.

Nabudúce si prosím poriadne prečítajte článok pred komentovaním. “i když si myslíte, že přepnete profil aplikace do privátního módu a máte vystaráno, neznamená to vlastně vůbec nic”

Kdybych mel touhu pouzivat takovou aplikaci, jak by to asi vypadalo?

Pokud je nutne, aby aplikace znala moje GPS souradnice, tak by je znala.

Co by znala dal? Mohla by si vynutit znat nejake osobni udaje. Tak treba: Jmeno: Josef Prdel. Datum narozeni 29.2.1914 (pokud by to neproslo, tak 1916). Bydliste: napiste do mapy.cz "kusagrh o2qfxnmut" a dejte tam to, co vam to najde.

Mozna by si mohla z telefonu vytahnout mail. Telefon vyzadoval nejake osobni udaje, tak dostal nejake takove, jako vidite vyse. Takze ma i uzasnou mailovou adresu strc.si.tam.ce­lou.ruku@gmail­.com, kterou nikdy nikdo necte.

Pak by se dalo zjistit telefonni cislo. Na datovou SIM, pres kterou se pripojuji k internetu a to cislo jsem nikomu nedal, takze na nej volaji akorat nabizeci energii, kreditnich karet a podobny povl, takze telefon ma zakazane zvoneni (stejne telefonuji jen pres VoIP).

Pak by slo zjistit na jake chodim weby. To je snad jedina vec, ze ktere by slo neco vykoukat. Myslim, ze takova aplikace by k tomu nemela mit pristup a myslim, ze by toto oddeleni mel zajistovat operacni system, ale Android je bastl, takze s tim nic nenadelam. Tedy krome pouzivani temer nedostupneho dostatecne maleho HW s Linuxem (nenabizet RPi - neumi sleep).

Takze kdybych delal v rozvedce a zaroven mel touhu pouzivat takovou aplikaci - myslite, ze by to nekou k necemu bylo? Hadam, ze by v takovem pripade asi nebyl problem mit datovou SIM napsanou na zamestnavatele, takze by to neslo sparovat se jmenem ani v pripade uniku dat od operatora. I kdyz to vlastne nejde ani ted, operator si mysli, ze se jmenuju Jozyn Zbazin a zna akorat mou IP adresu a cislo bankovniho uctu.

Myslim, ze normalizace davani skutecnych osobnich udaju firmam, ktere je k nicemu nepotrebuji je dost nebezpecny trend.

Proc tak slozite generovat fake udaje, kdyz je na to sluzba fakenamefenerator ? :-)

No, pozerám, že aj ČR sa tam dá nastaviť, ale nie je to úplne dobre lokalizované - niektoré údaje sú také málo uveriteľné - generuje to rôzne na túto oblasť exotické autá, a názvy firiem sú tiež len anglicky...

"Hadam, ze by v takovem pripade asi nebyl problem mit datovou SIM napsanou na zamestnavatele, takze by to neslo sparovat se jmenem ani v pripade uniku dat od operatora."

Ani v případě, že hoši vidí skrz díru ve službě, že držitel té konkrétní agenturní SIMky zrovna běží po lesní cestě, ze které není kam zahnout a "náhodou" je to 200m od nich? Sorry, i s fake jménem a mailem to je v tomto případě stejný, jako kdyby si agent potápěč za sebou tahal po hladině bójku.