Google Android Lockdown: вы действительно контролируете свой телефон?

Автор: Хуан Галт via BitcoinMagazine.com,

Новое правило Android требует, чтобы все разработчики приложений отправляли личную информацию в Google, даже для приложений за пределами Play Store. Критики утверждают, что это угрожает свободе пользователей и игнорирует решения.

Android, мобильная операционная система Google, объявила 25 августа, что она потребует от всех разработчиков приложений проверить свою идентичность с организацией, прежде чем их приложения смогут работать на «сертифицированных устройствах Android». "

Хотя это может звучать как политика здравого смысла Google, этот новый стандарт будет применяться не только к приложениям, загруженным из магазина Google Play, но и ко всем приложениям, даже к тем, которые установлены непосредственно на устройства, минуя магазин Google Play. Приложения такого рода можно найти онлайн в репозиториях Github или на веб-сайтах проектов и установить на устройства Android напрямую, загрузив установочные файлы (известные как APK).

Это означает, что если есть приложение, которое не нравится Google, будь то потому, что оно не соответствует его политике, политике или экономическим стимулам, они могут просто помешать вам запустить это приложение на вашем собственном устройстве. Они блокируют устройства Android от запуска приложений, не имеющих своей компетенции. Спросить? Все разработчики, независимо от того, отправляют ли они свои приложения через магазин Play или нет, должны предоставить свою личную информацию Google.

Решение вызывает вопрос: если вы не можете запустить любое приложение на своем устройстве без разрешения Google, то это действительно ваше устройство? Как бы вы отреагировали, если бы Windows решила, что вы можете устанавливать программы только из магазина приложений Microsoft?

Этот шаг, конечно, сделал новости в области технологий и кибербезопасности и вызвал большой ажиотаж, поскольку он имеет серьезные последствия для свободной и открытой сети. В течение многих лет Android рекламировался как операционная система с открытым исходным кодом, и благодаря этой стратегии получил массовое распространение по всему миру среди пользователей в развивающихся странах, где модель Apple «стенчатый сад» и роскошные устройства не доступны по цене.

Эта новая политика ужесточит контроль над приложениями и их разработчиками и угрожает свободе запуска любого программного обеспечения, которое вам нравится, на вашем собственном устройстве. Из-за влияния Google на различные телефоны Android последствия этой политики, вероятно, будут ощущаться большинством пользователей и устройств по всему миру.

Android оправдывает изменение политики опасениями по поводу кибербезопасности своих пользователей. Вредоносные приложения, загружаемые на устройства, привели к «более чем в 50 раз большему количеству вредоносных программ», утверждает Android в своем блоге объявлений. В качестве меры «подотчетности» и с советом различных правительств по всему миру Android решила использовать «сбалансированный подход», и язык не мог быть более оруэлловским.

«Те, кто откажется от существенной свободы, чтобы купить немного временной безопасности, не заслуживают ни свободы, ни безопасности».

Бенджамин Франклин

Проще говоря, Google стремится собирать личную информацию разработчиков программного обеспечения, централизуя ее в своих центрах обработки данных вместе со всеми своими пользователями, чтобы «защитить» пользователей от хакеров, которых Google, похоже, не может остановить сегодня.

В конце концов, если Google и Android действительно смогут обеспечить безопасность личных данных пользователей, это не будет проблемой.

Решение Google для утечек данных пользователей заключается в сборе большего количества пользовательских данных, по иронии судьбы, в данном случае данных разработчиков, которые используют платформу Android. Замечательный скачок логики, ленивый и в корне декадентский, признак того, что они потеряли свое преимущество и, возможно, по-настоящему забыли свой девиз «не будь злом».

Информация хочет быть бесплатной

Реальность такова, что Google оказывается в ловушке дилеммы, созданной природой информации и цифровым веком, цитируя 90-х cypherpunk Steward Brand.Информация хочет быть бесплатной. "

Каждый прыжок, который ваши личные данные, такие как ваше имя, лицо, домашний адрес или номер социального страхования, делают по всему Интернету, является возможностью для его копирования и утечки. По мере того, как ваша информация перемещается с телефона на сервер в вашем городе на другой сервер в центре обработки данных Google, каждый прыжок увеличивает вероятность того, что ваши данные будут взломаны и попадут в темную сеть для продажи. Проблема, когда пользовательские данные являются основной бизнес-моделью гиганта, такого как Google, который обрабатывает их и продает рекламодателям, которые, в свою очередь, создают целевую рекламу.

Мы можем измерить истинность информационного принципа Бранда, посмотрев на две увлекательные статистические данные, о которых, как ни странно, говорит не слишком много людей. Во-первых, это абсурдное количество взломов данных за последние 20 лет. Например, Equifax Data Breach в 2017 году затронул 147 миллионов американцев, а National Public Data Breach в 2024 году затронул более 200 миллионов американцев, что привело к утечке данных, которые включали номера социального страхования, вероятно, в конечном итоге будут проданы в темной сети.

В то время как легендарные взломы, подобные взлому Управления по личному управлению правительства США, скомпрометировали большое количество правительственных чиновников США в то время, включая все, от номеров социального страхования до медицинских записей.

Не будет преувеличением сказать, что большинство американцев уже взломали свои данные, и нет простого способа обратить это вспять. Как изменить лицо, историю болезни или номер социального страхования?

Вторая статистика, которую никто, кажется, не связывает с первой, - это рост кражи личных данных и мошенничества в Соединенных Штатах. Знаете ли вы, что в 2012 году сообщалось о краже личных данных на 24 миллиарда долларов? В два раза больше, чем во всех других видах воровства в том же году. В то время Business Insider сообщил, что «кража личных данных стоила американцам 24,7 миллиарда долларов в 2012 году, потери от кражи со взломом домов, кражи автомобилей и кражи имущества составили всего 14 миллиардов долларов». Восемь лет спустя это число удвоилось, что стоило американцам 56 миллиардов долларов убытков в 2020 году. Обе эти тенденции продолжают расти и по сей день. Возможно, уже слишком поздно для старой системы идентификации, на которую мы по-прежнему так сильно полагаемся.

Генеративный ИИ добавляет масла в огонь, в некоторых случаях обучаясь на утечках данных пользователей с примерами моделей изображений, способных создавать высококачественные изображения людей с поддельными идентификаторами. По мере того, как ИИ продолжает совершенствоваться, он все больше способен обманывать людей, думая, что они разговаривают с другим человеком, а не с роботом, создавая новые векторы атак для мошенничества с идентификацией и кражи.

Тем не менее, Google настаивает на том, что если мы просто соберем немного больше личных данных пользователей, возможно, тогда проблема просто исчезнет. Удобно для корпорации, основной бизнес-моделью которой является сбор и продажа таких данных. Нанес ли какой-либо другой корпорации больший ущерб частной жизни граждан, чем Google? (Фейсбук, я полагаю.)

Криптография, в которую мы верим

Справедливости ради 2000-х Технические гиганты Web2 не могут решить проблему безопасной идентификации в цифровую эпоху. Правовые структуры нашего общества вокруг идентичности были созданы задолго до появления Интернета и переноса всех этих данных в облако. Единственным реальным решением этой проблемы сейчас является криптография и ее применение к доверию, которое люди строят в своих отношениях в реальном мире с течением времени.

Циферпанки 90-х поняли это, поэтому они изобрели две важные технологии, PGP и сети доверия.

PGP

PGP, изобретенная в 1991 году Филом Циммерманном, впервые использовала асимметричную криптографию для решения этой фундаментальной проблемы защиты конфиденциальности данных пользователей, а также обеспечения безопасной аутентификации пользователей, идентификации и безопасной связи.

Как? На самом деле, это просто, используя криптографию так же, как Биткойн сегодня, чтобы обеспечить более триллиона долларов. У вас есть безопасный «пароль» и держите его как можно более секретным, вы не делитесь им ни с кем, и ваши приложения используют его осторожно, чтобы разблокировать службы, но пароль никогда не покидает ваш телефон. Мы можем сделать это, это работает, есть даже специальное оборудование для блокировки именно такого рода информации. Человек или компания, с которой вы хотите связаться, также создает безопасный «пароль», и с этим паролем каждый из нас генерирует публичный адрес или цифровой псевдонимный идентификатор.

Компания шифрует сообщение своим паролем и вашим публичным адресом и отправляет вам сообщение. Благодаря магии криптографии вы можете расшифровать это сообщение с помощью своего пароля и публичного адреса компании. Это все, что нам нужно для защиты интернета. Эти общедоступные идентификаторы не должны раскрывать какую-либо информацию о вас, и у вас может быть один для каждого бренда или личности, которую вы имеете в Интернете.

Интернет доверия

Но есть и вопрос репутации: Откуда вы знаете, что компания, с которой вы пытаетесь связаться, это то, кем они себя называют? В кибербезопасности это называется атакой «человек посередине», когда злонамеренная третья сторона выдает себя за того, с кем вы действительно хотите связаться.

То, как шифропанки решали эту проблему в 90-х годах, заключалось в разработке концепции сетей доверия посредством реальных церемоний, называемых «подписывающими сторонами». "

Когда мы встречаемся лично, мы решаем, что мы доверяем друг другу или подтверждаем, что мы уже знаем и доверяем друг другу достаточно, чтобы совместно подписать публичные удостоверения личности друг друга. Мы даем друг другу криптографический вотум доверия, так сказать, взвешенный нашим брендом или публично известным именем. Это похоже на то, как если бы кто-то следил за кем-то на публичном форуме, таком как Twitter; это эквивалент PGP, когда он говорит: «Я встретил Боба, я признаю XYZ его публичным идентификатором, и я ручаюсь, что он настоящий». "

Хотя это звучит утомительно, старомодно и, как будто это никогда не распространится на весь мир, технологии значительно продвинулись с 90-х годов.

Помните тот зеленый замок, который раньше отображался на каждом сайте? Это было криптографическое рукопожатие между вашим компьютером и веб-сайтом, который вы посещали, подписанное каким-либо органом по сертификации или третьей стороной в Интернете. Эти органы сертификации стали централизованными хранителями общественного доверия и, как и многие другие учреждения сегодня, вероятно, должны быть децентрализованы.

Та же логика может быть применена к проверке и аутентификации APK, путем расширения сети доверия. Фактически, в мире с открытым исходным кодом программное обеспечение хэшировалось в уникальный идентификатор, полученный из данных программного обеспечения, и этот хеш подписан ключами PGP разработчика по сей день. Хеши программного обеспечения, публичные идентификаторы PGP и подписи публикуются вместе с программным обеспечением для проверки и проверки.

Однако если вы не знаете, является ли публичный идентификатор PGP подлинным, то подпись бесполезна, поскольку она могла быть создана имитатором онлайн. Как пользователям, нам нужна ссылка, которая подтверждает, что общедоступный идентификатор принадлежит реальному разработчику приложения.

Хорошая новость заключается в том, что эта проблема, вероятно, может быть решена без необходимости создания глобального государства наблюдения, предоставляющего все наши данные Google по всему миру.

Например, если я хочу загрузить приложение от разработчика из Восточной Европы, я, вероятно, не буду знать его или не смогу проверить этот общедоступный идентификатор, но, возможно, я знаю кого-то, кто поручился за того, кто знает этого разработчика. Хотя я могу быть в трех или четырех прыжках от этого человека, вероятность того, что они реальны, резко возрастает. Фальшивые три или четыре прыжка соединения в сети доверия очень дороги для наемных хакеров, которые хотят быстро выиграть.

К сожалению, эти технологии не были широко приняты за пределами высокотехнологичного параноидального мира и не получили такого же финансирования, как бизнес-модель интеллектуального анализа данных в большинстве веб-сайтов.

Современные решения

Некоторые современные программные проекты распознают эту логику и работают над решением существующих проблем, что позволяет пользователям легко использовать и масштабировать криптографические сети доверия. Например, Zapstore.dev создает альтернативный магазин приложений, защищенный криптографическими сетями доверия с использованием криптографии, совместимой с биткойнами, проект финансируется OpenSats, некоммерческой организацией, которая финансирует разработку программного обеспечения с открытым исходным кодом, связанного с биткойнами.

Graphene, форк операционной системы Android, который стал популярным среди энтузиастов кибербезопасности, также внедрил альтернативный магазин приложений, который решает многие из этих проблем без необходимости разработчиков приложений DOX и служит в качестве операционной системы с высокой безопасностью, стремясь решить многие проблемы конфиденциальности и безопасности в Android сегодня.

Криптографическая аутентификация каналов связи и цифровых идентификаторов — это единственное, что может защитить нас от взлома персональных данных. Энтропия и безопасность, созданные из случайности с помощью криптографии, являются единственными вещами, которые ИИ не может подделать. Эта же криптография может помочь нам аутентифицировать себя в цифровую эпоху без необходимости делиться нашими личными данными с каждым посредником, если мы используем их правильно.

Будет ли эта новая политика поддерживаться Android или достаточно общественного протеста может остановить ее, и лучшие решения действительно будут популяризированы и приняты, еще предстоит выяснить, но правда в этом вопросе ясна. Есть лучший путь вперед, мы просто должны увидеть его и выбрать.