Η Microsoft και η Lenovo αντιμετώπισαν τον κίνδυνο που θέτει το Superfish root certificate, αλλά το πρόβλημα μπορεί να επεκταθεί στις κινητές εκδόσεις των προϊόντων τους, καθώς βρέθηκε ότι περιέχουν κώδικα που μπορεί να παρακολουθεί τους χρήστες.

Το ισοδύναμο του Superfish για κινητές συσκευές ονομάζεται LikeThat και θα είναι διαθέσιμο για iOS και Android, από τα αντίστοιχα καταστήματα app.

Η εφαρμογή έχει σχεδιαστεί για να βοηθά τους χρήστες να αγοράζουν έπιπλα με τη λήψη φωτογραφιών από τα επιθυμητά αντικείμενα. Η εικόνα στη συνέχεια φορτώνεται στους διακομιστές και τα αποτελέσματα που είναι οπτικά παρόμοια παρέχονται από χιλιάδες λιανοπωλητές.

Ο Jonathan Zdziarski, ένας ειδικός σε iOS forensics, εξέτασε τον κώδικα της εφαρμογής και ανακάλυψε ότι περιλαμβάνονται χαρακτηριστικά που αποδίδουν σε κάθε συσκευή μια μοναδική ταυτότητα και διατηρούν τα EXIF ​​δεδομένα που είναι διαθέσιμα στις φωτογραφίες που ελήφθησαν από τον χρήστη και αποστέλλονται στους διακομιστές.

Ο κωδικός ταυτότητας, ο οποίος έχει επίσης σταλεί σε μια εταιρεία analytics, έχει εκχωρηθεί στη συσκευή χωρίς καμία ειδοποίηση προς στον χρήστη και θα μπορούσε να προκύψει με βάση τη διεύθυνση MAC του κινητού gadget.

Όσον αφορά τα δεδομένα EXIF ​​που συνδέονται με τις εικόνες η αγνόηση του κινδύνου της ιδιωτικής ζωής συνίσταται στο γεγονός ότι μπορεί να περιέχουν το στίγμα GPS και το χρονικό σημείο που ελήφθη η εικόνα. Ως εκ τούτου, οι πολλαπλές εικόνες από διαφορετικές θέσεις μπορούν να εντοπίζουν τα βήματα ενός χρήστη σε μια συγκεκριμένη χρονική περίοδο.

Ο ερευνητής διαπίστωσε ότι το LikeThat για το iOS είναι αρκετά επεμβατικό και περιλαμβάνει κώδικα που μπορεί να φέρει πληροφορίες σχετικά με τη συσκευή, όπως τον ελεύθερο χώρο στο δίσκο, τη διεύθυνση MAC, τη μνήμη που χρησιμοποιείεται, τη συχνότητα της CPU ή τον τύπο της οθόνης.

Αν οι υπηρεσίες τοποθεσίας έχουν ενεργοποιηθεί στη συσκευή, τότε το Superfish δεν χρειάζεται πλέον να επικαλεστεί τα μεταδεδομένα από τις φωτογραφίες, καθώς η θέση GPS παραδίδεται από αυτές τις υπηρεσίες. Ο Zdziarski σημειώνει ότι στο iOS απαιτείται η άδεια του χρήστη.

Σε ένα blog post, ο ίδιος επισημαίνει επίσης ότι, αν και αυτές οι δυνατότητες παρακολούθησης δεν μπορεί να είναι ενεργές στις iOS ή Android εκδόσεις της εφαρμογής, η δυνατότητα συλλογής και μετάδοσης της θέσης του χρήστη είναι παρούσα μέσα στην κλάση SFLocationAPI.

Πηγή: SecNews

Ακολουθήστε το Flash.gr στο Google News και μάθετε πρώτοι τις ειδήσεις