Платформата за джогинг Strava, с която проследиха руския командир Станислав Ржицки преди разстрела му, се използва масово у нас

Дори да сте изключили GPS локализацията си, фейсбук може да открие къде сте, като триангулира силата на сигналите от безжични мрежи

Срещу шпионска дейност се препоръчва веднъж на 3 месеца да рестартирате устройството си

Айфоните са по-защитени от Андроид, но хакерите влизат чрез системата за съобщения iMessage, която има пробойни

Михаела Петрова използва фитнес приложението Strava на телефона си от три години. Пред медията ни тя го отваря, за да провери кога е бил първият джогинг - 8 юни 2020 г. в парк “Възраждане”. Минала е 10,5 км за 52 минути и 34 секунди. На картата е отбелязан точният маршрут с малките отклонения по алеите.

Тази информация е публикувана в Strava точно в 20,10 ч със заглавие “Вечерно бягане” чрез профила , в който фигурира името , датата на раждане и нейна снимка. В момента, в който приключва с тренировката и тръгва бавно към квартирата си - на около 200 метра, 17-те последователи на Михаела вече знаят как финишира денят .

“Добро бягане”, поздравява я напълно непознат потребител минута по-късно.

“Благодаря ти (усмихнат емотикон)”, отговаря му тя.

Един скрол надолу и 26-годишното момиче ни показва, че всяка седмица по три пъти тя влиза в Strava, за да отбележи, че е направила вечерния си джогинг. Маршрутът е винаги един и същ, както и часът - между 19,30 и 20,30.

“Приложението се използва от почти всички мои познати, които обичат да се движат, грижат се за телата си и искат да живеят здравословно”, доволно допълва пред “24 часа - 168 истории” Михаела.

От нас обаче научава, че само преди броени дни същата смарт платформа върши перфектна работа и на убиеца на Станислав Ржицки - бившия командир от руските военноморски сили, който беше застрелян по време на джогинг в град Краснодар. Службите заключиха, че високопоставеният служител на Москва е следен чрез “Страва”, където имал регистрация. Отбелязвал, че тренира всяка сутрин в парк близо до спортния център “Олимп” по едни и същи алеи. Така куршумите го застигат в гърба и гърдите.

Извършителят се изпарява мистериозно и е улеснен максимално. Не се налага да следи движението на Ржицки месеци наред, чакайки го пред дома му или след работа. Не се налага да плаща и за информация, нито пък да се среща с хора, които да описват в подробности навиците на мишената. Смъртта е само на едно телефонно приложение разстояние.

Днес “Страва” се използва на няколко континента. За бягане, каране на колело, походи, йога и над 30 други вида спорт. Има 1 млн. последователи във фейсбук. Същата цифра фенове е и в инстаграм.

“Преди няколко години избухна скандал с тази платформа, за който у нас разбраха главно хората в сферата ни - разказва пред “24 часа - 168 истории” спецът по компютърна вирусология в БАН Веселин Бончев. - Тогава чрез “Страва” бяха открити тайни военни бази на американците. Група от униформени, използващи приложението, беше засечена да тича в кръг на определено място. Логично, когато хора са събрани на една локация и дори движението им е абсолютно идентично, в една и съща посока, по средата на Африка, стигаш до извода, че там има нещо съмнително. Те бяха засечени не като конкретни потребители. В този случай имаше значение това, че данните, които се изпращат, макар и анонимно, на “Страва”, показват на картата къде минава пътят на човека, който го използва. Не знам дали руският военен е включил нещо, което е позволило да бъде открит по име, но прочетох, че наистина е бил следен чрез платформата.

Гледал съм такава карта на София и се виждаше ясно, че голямо количество хора, ползващи приложението, минават покрай реката при Орлов мост. За смартфоните има много приложения, през които могат да изтекат лични данни в мрежата. Дори да сте изключили GPS локализацията си, фейсбук например може да открие къде се намирате, като триангулира (метод в тригонометрията за определяне на разстоянията до обекти - бел. ред.) силата на сигналите от известни безжични мрежи.”

До каква степен “Страва” е опасно?

Първите сигнали за неправомерно изтичане на лични данни са отпреди 5 години, показа справка на “24 часа - 168 истории”.

Тогава потребители във форум търсят съвет как да се откажат от споделянето на информация като името им и маршрута за бягане - нещо, което приложението автоматично предлага на другите фенове, които са го инсталирали.

“В края на юни една сутрин отидох за едни бързи 5 км, но докато бях навън, забелязах, че се засичам с момиче, което правеше джогинга си в същия район, дори няколко пъти минахме по един и същ маршрут - разказва младеж в туитър. - Запомних я, защото беше облечена с ярък шарен клин за тичане. Когато приключих с бягането си, влязох в акаунта си (профил - бел. ред.) в Strava и видях, че без да съм натиснал нищо, тя е добавена като “групова дейност със Софи Б.” Разпознах я на профилната й снимка като същата джогърка, с която преди минути се разминавахме по трасето. Невероятно страховито и обезпокоително беше и това, че не ми се даде възможност да я премахна. Опитах, но не стана. Търсих такава функция, но не успях да открия. Оказа се, че настройките за поверителност са зададени като “публични”. По подразбиране са така.”

Приложението печели потребителите с това, че е безплатно. Няма “пробен период” за седмица или месец, какъвто предлагат много онлайн платформи. Можеш да доплатиш, ако искаш да използваш допълнителни екстри. Голяма част от феновете му преди това действат с Fitbit, но то спестява голяма част от информацията за тренировката им, която е на разположение в Strava.

Така през 2020 г. хора масово пишат до компанията, че ще изтрият приложението от телефона си, ако не им бъде дадено обяснение за това как GPS системата ги локализира и “сближава” с другите бегачи в района им без да го искат. Официален отговор не получават.

Притесненията са главно на младежи, които живеят сами и по време на джогинг напускат дома си, оставяйки го без надзор. Отбелязват, че спортуват и не са вкъщи, което ги прави потенциални жертви на грабеж в случай, че крадците също използват платформата, за да ги следят. Нещо повече - съществува функцията “Местни легенди”, активираща се, когато бегачът изминава определена пътека няколко пъти. Пет години по-късно тази “конспирация”, която тогава звучи комично, се потвърждава не с грабеж, а с екзекуцията на мобилизационния руски офицер Станислав Ржицки.

Как можем да се защитим в “Страва” и колко струват средствата на хакерите, които влизат в телефоните ни, обяснява пред медията ни спецът по киберсигурност Веселин Бончев.

- Спирането на GPS локализирането спасява ли ни при използването на “Страва” и подобни приложения?

- Зависи от кого искате да се защитите. Ако е от шпионска дейност, едно от нещата, които се препоръчват, е веднъж на 3 месеца да рестартирате устройството си. Има средства, с които може отвън да се проникне в телефона ви, без дори да разберете. Стига хакерът да знае номера ви например, той може да влезе в него чрез определени средства (джаджи или системи за проникване), струващи милиони долари. С тях не може да се сдобие всеки. Не само заради цената, но и заради контактите. Трябват много близки връзки с хора, които живеят в пълна анонимност и са незабележими в обществото. Те ги създават. Много трудно е обаче хакерът, който е влязъл в смартфона ви, да остане там за постоянно. Обикновено като го рестартирате, той изчезва и ще му се наложи да прави нови опити за проникване.

- Лесно ли е за хакерите да влязат в телефона ни чрез тези системи?

- Зависи от три неща - устройството, какво правите с него и колко е добър хакерът. По принцип е възможно, но другото важно е, че телефоните са по-добре защитени от персоналните компютри. Te са заключени по-безопасно. Нормално е една програма, която работи на мобилното устройство, да няма достъп до всички файлове, а само до определени. Айфоните например са по-защитени, отколкото тези, които работят с Андроид. Проблемът е, че обикновено хакерите влизат чрез програма като iMеssage, ако говорим за Iphone, защото тя има достъп до вашите контакти, съобщения, имейли и т.н. В този случай не е важно за вас, че нямат достъп до данните на картата за това къде се движите, нали? Съществено нещо е, че в Андроид може да инсталирате програми не само от официалното хранилище, но и други сайтове. Това по подразбиране е изключено, но всеки може да го включи. В нашите среди се шегуваме, че в този момент се появява т.нар. трети закон, който гласи - щом сте го направили, това вече не е вашият телефон. При операционната система на Apple това не е възможно. Тя не позволява да се инсталират чужди програми, а само такива, които компанията предварително е проверила дали са безопасни. Там хакерите влизат по друг начин – чрез голямата система за съобщения iMessage. Тя е сложна, но често в нея се намират уязвимости. През iMessage например влизат и държавните хакери, но е важно да уточня, че това е изключително скъпо. Струва нещо от порядъка на милиони долари. Не може да си го позволи всеки.

- Трябва ли да държим лична информация на телефоните си в такъв случай?

- В нашата област има нещо, което е много важно и го наричаме мобилиране на заплахата. Трябва да знаете от кого точно се пазите - тоест от приятелката си или приятеля си, от киберпрестъпник или от цяла шпионска служба на чужда държава. Вземат се различни мерки за сигурност. Зависи от модела на заплаха. Ако полицията ви арестува, може да ви вземе телефона, да го хакне или да ви принуди да го отключите. Тогава ще има достъп до всичко, което сте складирали в него. Сиреч - ако имате информация, от която трябва да се безпокоите, тъй като е уличаваща, очевидно не трябва да я държите на мобилното си устройство. Говоря за човек, който, да кажем, е престъпник и има чувствителни детайли, които могат да бъдат доказателства и да го пратят в затвор. Желателно е да имате по-малко лични неща на компютъра или телефона, които могат да бъде откраднати или хакнати. Отново казвам, че зависи от човека и заплахата за него. Едно е да не вършите нещо опасно, друго е ако сте специалист, който се занимава с чувствителни неща. Трето е, ако участвате в шпионски дейности. Аз самият не използвам смартфон, на който може да се теглят приложения, дори нямам Wi-Fi. Използвам обикновен мобилен телефон без интернет заради сигурността си и “privacy”.

- Рисковано ли е да работим от телефона си - да влизаме в системата на компанията си например, ако сме в движение?

- Рискът не е по-различен от това да влезете в същия сайт и система през компютъра си. Не е по-опасно. Компютърът дори е по-слабо защитен.

Чрез “Страва” откриват тайни американски военни бази! Не знаем, че като софтуер го имаме вграден в някои часовници и фитнес тракери

“Разпознават се обекти и лица, потребителите играят ролята на тестъри на нови технологии за китайците”, казва експертът по киберсигурност Пресиан Янкулов

“ТикТок” е едно от най-използваните приложения у нас в момента, разкриват пред “24 часа - 168 истории” ИТ специалисти. За последните години никое не е успяло да го измести. Въпреки че основните потребители в него са младежи, напоследък масово се използва и от знаменитости, сред които певци, актьори и дори политици. Платформата представлява услуга за хостинг на кратки видеоклипове, чиято продължителност може да варира от 3 секунди до 10 минути.

Миналата година “ТикТок” беше обявено за най-изтегляното и печелившо неигрално приложение в света през първата половина на 2022 г.

Прилича ли си със “Страва” и крие ли опасности, обяснява експертът по киберсигурност Пресиан Янкулов.

- Какви рискове крие “ТикТок” за личната ни сигурност?

- Това е едно китайско творение, зад което стои китайска компания. Това беше и причината преди време да започне да се говори за опасността, която носи неговото използване в различни страни. Някои дори искаха да го забранят. Проблемът просто идва от произхода му. Знаем, че между Запада и Изтока винаги има борба за надмощие. Рисковете в тази платформа за обикновения потребител излязоха на дневен ред със забраната за използване на “Хуавей” технологии в 5G мрежата в Запада - Щатите и по-късно в Европейския съюз. Отбелязвам, че няма доказателства относно това, че “Хуавей” събира повече данни, отколкото другите. Поради произхода си обаче комунистическата партия в Китай задължава такива фирми да им дават достъп до данните, с които боравят. Има съмнения, но недоказани, че при поискване от властите компаниите могат да осигурят действителен достъп до самите устройства. Ако говорим пак за 5G инфраструктурата и хипотетично си представим, че в Щатите мобилната мрежа изцяло зависи от хардуер на китайска компания, а в един момента Китай каже – ние с едно копче можем да ви изключим достъпа до мобилна мрежа, това вече е суперрисково за населението и сигурността. Същото се говори и за “ТикТок”. За да оперира той в САЩ или в други части на света, представителите му успокояват: “Не изпращаме информацията към нашите главни сървъри в Китай. Имаме центрове в Европа, САЩ, където тя се държи. Т.нар. “Дейта центрове” (център за данни - сграда, използвана за разполагане на компютърни системи и свързани компоненти като телекомуникации и системи за съхранение - бел. ред.) на територията на тези държави. Те са в съответствие с конкретни изисквания и закони.”. Проблемът е, че това не може да бъде строго контролирано. В момента е така, но в следващия не е.

- Тоест ако използвам “ТикТок” у нас, в Китай няма как да оперират с данните ми, въпреки че приложението е създадено там?

- Тези данни не се местят от сървърите. Те си седят в България. Просто ако опиташ да влезеш в “ТикТок” в страна, която го е забранила, “Гугъл” ще ти каже: “Съжаляваме, не можем да ви предоставим тази услуга”. Естествено, това са сървъри на китайците и те имат достъп до тях, но самото съхранение и одит на данните може да протича по различен начин, когато, да кажем, информацията се съхранява в ЕС. Когато е в Китай, там дори нямат правомощия “Интерпол” или подобни организации да изискват логовете от сървърите от даден потребител, тоест да им се предостави информация кога е влизал той в “ТикТок”. В Русия например преди години имаше закон информацията на всички потребители във фейсбук, които са руски граждани, да се пази върху сървъри и масивни данни, които са в родината им. Целта е руското правителство да има правомощие да изисква информация, когато тя се съхранява на територията им, за определени потребители. Когато обаче тя се съхранява на американски сървър, няма как да изискат данни.

- Все още ли “ТикТок” е едно от най-използваните приложения в България и как точно работи?

- Целевата група на “ТикТок” са подрастващите тийнейджъри. Факт е, че има репостинг на видеа в ютюб например, което говори, че в момента е най-използваната платформа у нас. Не е различна от технологична гледна точка, но е модерна. Няма как да кажем с точност, че 90% от младежите в България я използват. Какво се говори в нашите среди за “ТикТок” и с какво е по-различен от инстаграм и фейсбук? Самите алгоритми, които сервират съдържанието на потребителите си, са добре написани и преценяват отлично какво да покажат като предложение или следващо видео на конкретния човек. Това е нож с две остриета, тъй като води до пристрастяване у хората, които започват да скролват, без да гледат, просто прехвърлят. Психологическият проблем е точно при подрастващите. Влияе ни, за да станем зависими от съдържанието. От технологична гледна точка това е приложение като всяко друго, за което не е доказано да събира повече данни, или съответно да следи повече. Най-вероятно дори следи по-малко от “Мета”, фейсбук и разновидностите им.

- Имат ли сходства “ТикТок” и “Страва”?

- Днес е модерен over sharing – качваш всичко за живота си, споделяш го с потребителите, без да спестяваш. Има случаи, в които се разкриват военни бази, за чието съществуване никой не подозира. Това стана чрез приложението “Страва”. Например данните в него са публични, но то се използва масово от военни, които следят къде и как тренират. В някой момент на картата на сателита на “Гугъл Мапс” данните на тази платформа показват, че в нищото има група от хора, които тренират. Засечени са в близко разстояние, защото я използват по едно и също време. Така се установява, че там има военна база и се провежда обучение. По същия начин е и с “ТикТок”. Ако си в някое съоръжение на НАТО, което е топсикрет (свръхтайно - бел. ред.), но се снимаш, могат да бъдат разкрити важни данни. Дори неумишлено може да се пусне нещо, което не трябва да присъства в подобна социална мрежа. Дали ще е “ТикТок”, или “Страва”, това е проблем с по-чувствителни местоположения. Дори хора, които работят в организации като НАТО, може да снимат детайли около себе си, без да осъзнават рисковете. Говоря за секретари и счетоводители, не само за военни.

- Това не прави ли “Страва” опасно приложение за сигурността ни?

- Според мен не. Идеята му е като фен на спорта, човекът да сподели информация за постиженията си с хора, чиито интереси са сходни. Тоест публично да се похвали. Много потребители дори нямат идея, че платформата като софтуер я има вградена в някои часовници, фитнес тракери. Същите потребители използват ребрандирано приложение, зад което всъщност стои “Страва”. То е нещо като “Гугъл” в този бранш. Услугите му са вградени в много други устройства с подобно предназначение. Специално за руския военен Станислав Ржицки смятам, че умишлено е споделял информация, а не че украинците специално са го шпионирали. В статия прочетох, че един от лайковете под публикацията му е бил на шефа на украинското разузнаване. Не е ли това един вид закана? Дали говорим за “Страва”, “ТикТок” или фейсбук, зависи от самия потребител колко ще го следят, след като веднъж ги е инсталирал на телефона си. Ако на устройството локацията е зададена като достъпна само когато се използва приложението, няма да как да има реална опасност.

- Тоест трябва да спираме локацията си, когато не използваме приложенията?

- Аз лично я пускам единствено когато ми трябва, например в картата за ориентация. Добра практика е локацията да бъде изключена на мобилното устройство. Няма как да те следят, когато ти си казал по GPS никой да не може да го прави. Почти всички потребители обаче си казват: “За какво да го включвам и изключвам, не ми се занимава, пускам го за постоянно”. Дали си вкъщи, на работа или тренираш в парка до вас, това означава, че до някаква степен знаят къде си, ако е включена. Някои хора не ги притеснява, други не осъзнават рисковете. Същото е с всяка друга информация. Например да си снимаме рождените дни и да ги качим, за да ги види целият свят. Много потребители използват рождената си дата, любима фраза или име за парола в профила си. Публикувайки доброволно детайли, те предоставят информацията на едни хора, които с години тренират как да отгатват пароли. На това не му се вика хакване на акаунт, просто някой се е досетил, а ти си го улеснил. Приложения като “Страва” и “ТикТок” не са опасни и не са със зловреден код, няма доказано събиране на данни повече, отколкото трябва, но самият факт, че се използват с постоянно включена локация, ги прави рискови.

- Можем ли да кажем, че “ТикТок” се използва и с бизнес идея?

- В “ТикТок” се разпознават обекти и лица. Върху това, което се снима, дори под определен ъгъл и с определена светлина, екипът в “Гугъл” прави обучение на своя изкуствен интелект. В даден момент се оказва, че потребителите играят ролята на тестъри на нови технологии за китайците. Това е бизнес, за да обучават изкуствения си интелект. Когато група от хора ти генерират безплатно един такъв масив от данни, ти просто го използваш. Добре ти е дошло. Да не забравяме, че говорим за съображения, които крайните потребители не ги интересуват. Самите компании се възползват от нашето боравене с приложенията.