идентификация на телефоне это
Как рекламщики узнают, какие приложения вы используете
Рассказываем про идентификаторы устройств на Android и про то, как приложения злоупотребляют ими, чтобы больше зарабатывать на рекламе.
О том, как работает реклама в Интернете и как рекламные сети (и не только они) узнают, какие сайты вы посещаете, мы уже рассказывали. Но ваша виртуальная жизнь вряд ли ограничивается веб-страницами. Скорее всего, заметная ее часть проходит в мобильных приложениях, которые тоже нередко зарабатывают на рекламе. Для этого они, как и сайты, сотрудничают с рекламными сетями.
Чтобы маркетологи могли составить на вас детальное досье и показывать вам персонализированные объявления, мобильные программы отправляют им информацию о вашем устройстве. Даже ту, использовать которую в рекламных целях Google не разрешает.
Какая информация позволяет отследить ваше Android-устройство
Что приложения могут рассказать рекламной сети о вашем смартфоне? В первую очередь — то, что они на нем установлены. Получив такую информацию от нескольких программ, рекламная сеть в состоянии сделать вывод о том, чем вы интересуетесь и какие объявления могут вас «зацепить». Например, если вы пользуетесь селфи-камерой, Instagram и Snapchat, вам покажут приложения с фильтрами и эффектами для фото.
Убедиться, что та или иная программа установлена именно на вашем устройстве, рекламной сети помогают специальные коды-идентификаторы. Как правило, их у смартфона, планшета и любого другого гаджета несколько, и большинство из них придуманы не для рекламы.
Так, уникальный номер IMEI нужен, чтобы распознавать ваш телефон в сотовых сетях и, например, блокировать краденые устройства. А при помощи серийного номера можно определить все гаджеты серии, в которых обнаружен брак, и отозвать их из магазинов.
Еще один уникальный идентификатор, MAC-адрес, нужен для подключения устройства к сети, а заодно может быть использован, чтобы ограничить набор гаджетов, которые имеют право подключаться к вашему домашнему WiFi. Наконец, Android ID (он же SSAID) разработчики приложений используют, чтобы продавать лицензии на ограниченное количество копий для платных версий своих продуктов.
Долгое время какого-то отдельного идентификатора для рекламы вообще не существовало, поэтому приложения отправляли своим партнерам те, к которым имели доступ. При этом спрятаться от объявлений по интересам пользователь практически не мог: те же IMEI или MAC-адреса — это уникальные номера, по которым устройство опознается однозначно. Каждый раз, когда очередное приложение передает в рекламную сеть один из них, та понимает, что его установили именно вы.
Теоретически существует возможность изменить эти номера — в том числе при помощи специальных приложений, но это непросто, и, что хуже, подвергает опасности ваш телефон. Дело в том, что для подобных экспериментов нужны root-права, а получая их, вы делаете устройство уязвимым. К тому же в некоторых странах манипуляции вроде смены IMEI запрещены законом.
Android ID поменять проще — для этого достаточно сбросить смартфон или планшет до заводских настроек. Но после этого придется заново задавать все параметры, устанавливать приложения, авторизоваться в каждом из них и так далее. В общем, куча мороки, так что желающих делать это часто, мягко говоря, не очень много.
Рекламный идентификатор — ожидание
В 2013 году в качестве компромисса между интересами пользователей Android и рекламщиков компания Google ввела специальный рекламный идентификатор. Его задают сервисы Google Play, и пользователь при желании может сбросить его и создать новый. Делается это в меню Настройки > Google > Реклама > Сброс рекламного идентификатора. С одной стороны, такой идентификатор позволяет рекламным сетям отслеживать привычки и увлечения владельцев устройств. С другой — если же хочется избавиться от слежки рекламщиков, вы можете в любой момент без лишних трудностей его сбросить.
По правилам магазина Google Play, в рекламных целях можно использовать только этот идентификатор. Площадка не запрещает связывать его с другими ID, но для этого приложению нужно получить согласие пользователя.
В теории это должно работать так: если вам нравится реклама по интересам, вы не трогаете рекламный идентификатор и можете даже разрешить приложениям объединять его с чем угодно. Если же нет, вы запрещаете связывать эту метку с другими и периодически сбрасываете ее, таким образом отвязывая свое устройство от собранного на него досье.
Увы, в действительности все несколько иначе.
Рекламный идентификатор — реальность
Как обнаружил исследователь Серж Эгельман (Serge Egelman), более 70% приложений в Google Play используют хотя бы один дополнительный идентификатор без предупреждения. Некоторые из них, например 3D Bowling, Clean Master и CamScanner, скачали многие миллионы человек.
Чаще всего в ход идет Android ID, хотя IMEI, MAC-адреса и серийные номера разработчики тоже задействуют. Некоторые приложения отправляют партнерам сразу три идентификатора и более. Так, игра 3D Bowling — видимо, для верности — использует и рекламный идентификатор, и IMEI, и Android ID.
Такой подход делает саму идею специального рекламного идентификатора бессмысленной. Даже если вы против слежки и регулярно сбрасываете его, маркетологи при помощи более стабильной метки легко привяжут к существующему профилю новый идентификатор.
Несмотря на то что подобное поведение не соответствует правилам Google Play, вовремя отловить злоупотребляющих идентификаторами разработчиков не так-то просто. Все приложения проверяют перед публикацией, но многие не совсем честные авторы успешно обходят эту проверку. Даже майнеры то и дело попадают в магазин — что уж говорить о программах, в которых нет откровенно вредоносных функций.
При этом просто запретить приложениям доступ к идентификаторам устройства Google не может: как мы уже говорили, их используют не только для рекламы. Лишая мобильные программы, например, возможности считывать Android ID, компания Google помешала бы разработчикам защищать свой продукт от нелегального копирования, а значит, нарушила бы их права.
Борьба с навязчивой рекламой
Конечно, Google не бездействует. Компания принимает меры, чтобы ограничить возможность злоупотребления идентификаторами. Например, начиная с Android Oreo тот же Android ID для каждого приложения задается свой, так что в глазах рекламной сети, полагающейся на этот ID вместо рекламного, ваш Instagram будет установлен на одном устройстве, а Snapchat — на другом.
Однако для IMEI, серийных номеров и MAC-адресов ввести такую защиту нельзя. Да и телефонов с более старыми версиями Android на рынке немало. Поэтому рекомендуем ограничивать сбор данных, грамотно управляя приложениями.
Подводные камни идентификации Android-устройства
Некоторым разработчикам может понадобится идентифицировать Android-устройства своих пользователей. Чаще всего это делается не для того чтобы распознать именно девайс, а для определения конкретной установки приложения. Также я встречала несколько кейсов, когда это было необходимо, если у разработчика появлялось несколько приложений и он хотел понимать, что они работают в одной среде.
Гугл говорит, что идентифицировать устройство очень просто. Но мы же говорим об Android:)
Данная статья ориентирована на приложения или библиотеки, которые не хотят привязываться к гугловым сервисам.
Итак, давайте погрузимся в это чудесное приключение по получению уникального идентификатора устройства.
Тут мы видим несколько путей:
Advertising ID
Это уникальный для пользователя рекламный идентификатор, предоставляемый службами Google Play. Он необходим для работы рекламы, чтобы Google понимал, какую рекламу можно показывать конкретному пользователю и какая реклама уже была показана с помощью встроенных в приложения рекламных баннеров. А так же это значит, что вы лишитесь этого идентификатора, если ваше приложение будет скачано, к примеру, с Amazon, а помимо этого вам придется втащить в ваше приложение гугловые библиотеки.
Вывод: мы не идентифицируем устройство во всех случаях.
Но мы же хотим наверняка, верно? Тогда идем дальше.
Это международный идентификатор мобильного оборудования, используемый на телефонах стандарта GSM. Номер IMEI используется сетями для идентификации смартфонов и блокировки доступа в сеть украденных или занесенных в черный список девайсов. Но к сожалению с IMEI может возникнуть ряд проблем:
Вывод: мы не идентифицируем устройство во всех случаях и нас еще и могут обмануть:C
MAC-address
It may be possible to retrieve a Mac address from a device’s WiFi or Bluetooth hardware. We do not recommend using this as a unique identifier. To start with, not all devices have WiFi. Also, if the WiFi is not turned on, the hardware may not report the Mac address.
Serial Number
Считается уникальным серийным номером устройства, который остается с ним до “самого конца”. Получить его можно таким способом:
А теперь про проблемы. Во-первых, для получения серийного номера потребуется запросить у пользователя разрешение READ_PHONE_STATE, а пользователь может отказать. Во-вторых, серийный номер можно изменить.
Вывод: мы не идентифицируем устройство во всех случаях, мы должны запросить permission у пользователя, которые их подбешивают и нас все еще могут обмануть.
Android ID
— Вот оно! — должны завопить мы. — Решение всех наших бед!
Android ID — это тоже уникальный идентификатор устройства. Представляет из себя 64-разрядную величину, которая генерируется и сохраняется при первой загрузке устройства.
Получить его можно вот так:
Казалось бы, такая короткая строчка избавляет нас от головной боли по идентификации устройства. Даже ребята из гугл использую Android_ID для LVL в примере.
И тут наши надежды рушатся и ничто уже не будет прежним. После обновления на Android 8 Android_ID теперь стал уникальным для каждого установленного приложения. Но, помимо этого, гугл ведь заботится о нас, так что приложения, которые были установлены до обновления останутся с прежними одинаковыми идентификаторами, которые гугл сохраняет с помощью специально написанного для этого сервиса. Но если приложение будет удалено, а затем заново установлено — Android_ID будет разным. Для того чтобы это не произошло, нужно использовать KeyValueBackup.
Но этот backup сервис нужно зарегистрировать, еще и package name указать. Более того, в документации написано, что это может не сработать по любой причине. И кто в этом виноват? Да никто, просто вот так.
Общий вывод
Если у вас хороший бекенд, то просто собирайте слепок устройства (установленные приложения, сервисы, любые данные об устройстве, которые можете достать) и сравнивайте параметры уже там, какой-то процент изменений считайте приемлемым.
Биометрическая идентификация — плохо или хорошо
Содержание
Содержание
Пока злоумышленники пытаются добыть конфиденциальную информацию, инженеры совершенствуют методы защиты персональных гаджетов.
Еще 20 лет назад идентификацию по сетчатке глаза, голосу или лицу, можно было встретить только в фантастических фильмах и на страницах научно-популярных романов.
Современный ноутбук или смартфон способен узнать хозяина по глазам, отпечаткам пальцев, лицу, обычному и графическому паролю. Рассмотрим в порядке убывания самые популярные методы биометрии:
Отпечаток
Датчики, «запоминающие» папиллярные узоры на пальцах, встречаются в ноутбуках, смартфонах, электронных замках, платежных терминалах — это самый популярный и простой метод биометрии. Он дешев в производстве и экономит время пользователя — идентификация происходит быстрее, чем при вводе пароля.
Основной недостаток: загрязнение считывающей поверхности, частые сбои, невозможность использования в перчатках.
Повышенное содержание влаги в кожных покровах, механическое повреждение, холод — эти и другие факторы, влияющие на целость рисунка папилляр, приводят к многочисленным ошибкам в работе датчиков.
Уровень безопасности: возможен взлом.
Жировой отпечаток пальцев легко скопировать с гладкой поверхности и нанести на латексную или силиконовую накладку, что не раз было продемонстрировано в фильмах про шпионов.
Правда это касается только оптического сканера, срабатывающего на прикосновение. Линейные тепловые, они же кремневые сканеры, обмануть гораздо сложнее — для активации необходимо провести настоящим пальцем.
Есть еще один тип сканеров, который только проходит тестирование, но уже получил сертификат безопасности от ФБР. Светоизлучающий датчик в виде пленки может считывать биометрические данные с сухой и влажной кожи, под прямыми солнечными лучами. Устройство от компании Sherlock, устойчиво к механическим повреждениям и легче других сканеров на 95%.
Распознавание лица
Технология Face ID пришла на смену идентификатору отпечатка пальцев, как надежный способ защиты гаджета от взлома. Сканер «запоминает» геометрию лица, положение лба, подбородка, глубину посадку глаз и другие параметры.
Основной недостаток: чувствительность к любым изменениям внешнего облика, зависимость от освещенности.
Головной убор, отбрасывающий тень, очки, борода, новая прическа и другие факторы может привести к ошибке идентификации.
Уровень безопасности: возможен взлом.
В бюджетных моделях смартфонов и ноутбуков устанавливаются недорогие датчики с функцией 2D-идентификации — такую систему можно обмануть даже с помощью качественной фотографии.
Face ID 3D — достаточно надежный метод, изготавливать объемную копию лица долго и дорого. Наличие головных уборов, усов не влияет на скорость и точность идентификации, но все 3D-сканеры лица чувствительны к яркому свету и могут выдавать ошибку идентификации в солнечный день.
Радужная оболочка глаза
Самая перспективная технология идентификации личности основана на измерении уникальных характеристик нитевидных мышц, удерживающих зрачок нашего глаза. Датчик измеряет ширину и глубину складок, изгибы мышц, фиксирует дрожание зрачка и моргание глаза. Собрав всю информацию и оцифровав ее, биометрический сканер с высоким уровнем точно определяет личность.
Уровень безопасности: практически невозможно взломать.
Изготовление подобных датчиков обходится дешевле, чем сканеров сетчатки глаза, они миниатюрны и просты в использовании. Срабатывает датчик на расстоянии 30 см со скоростью 1 секунды.
Сканер сетчатки глаза
В фантастическом кино 20-го века сканер сетчатки изображался, как большой механический глаз, просвечивающий лицо героя киноленты зелеными или красными лучами. В реальности луч лазера невидимый.
Основной минус: для успешной идентификации необходимо замереть и сфокусировать взгляд на несколько секунд.
Уровень безопасности: максимальный.
Размещать подобный сканер в мобильном устройстве не имеет смысла. Он дорог в производстве, у него медленная скорость срабатывания. Сканер можно приобрести отдельно в качестве периферийного устройства и подключить через USB к своему ноутбуку.
Рисунок вен или FingoPay
Более сложный вариант идентификации отпечатков пальцев. Высокоскоростная камера фиксирует изображение рисунка вен, «подсвеченных» лазерными лучами — свет проходит сквозь кожу и поглощается венозной кровью. Технология впервые была опробована в лондонских пабах и применяется сейчас японскими банкирами. Теоретически существует 3,5 миллиарда уникальных венозных узоров. Учитывая, что людей на планете более 7 миллиардов, есть шанс выпить в баре за чужой счет.
Основной недостаток: изменения рисунка с возрастом и при различных заболеваниях.
Геометрия ладоней
Метод, пришедший к нам из начала 20-го века, когда при аресте подозреваемого измеряли и записывали все антропометрические данные — длину, ширину и высоту ног, рук, головы, грудной клетки и т.д. Современная дактилоскопия осуществляется с помощью сканера размером с планшет. Используется в государственных учреждениях. Не пользуется популярностью из-за низкой надежности измерений и высокой вероятности совпадений.
Идентификация по голосу
Технология, основанная на сравнении амплитуды колебания звуковых волн. Потеряла свою актуальность в связи с распространением переносимых звукозаписывающих устройств. Иногда используется, как один из элементов многофакторной идентификации в сочетании с анализом мимики лица.
Можно ли взломать систему биометрии
Ответ на этот вопрос зависит от качества сканера. Эксперименты блогеров показали — сканеры отпечатков пальцев можно обмануть с помощью латексной перчатки, желатина, листка бумаги с оттиском.
Достаточно проявить жировой отпечаток с любой поверхности с помощью цианакрилата и «скопировать» его на скотч.
Иногда сами разработчики делают устройство с качественным сканером небезопасным. Например, датчик отпечатков пальцев на Nokia 10 можно было «взломать» упаковкой жвачки.
Примитивные 2D-сканеры лица можно обмануть с помощью цветной фотографии:
или маски за 200 долларов:
Веру в безупречность Face ID подорвал недавний скандал, связанный с распространением дипфейков — поддельных изображений знаменитостей. Датчик, считывающий изображение с экрана, принимал цифровую голову за хозяина устройства.
Как сбросить отпечатки пальцев или Face ID
Если устройство не распознает хозяина после бурной вечеринки, придется с ним поговорить по душам. Большинство смартфонов при первом включении предлагают установить цифровой или графический пароль и только потом сделать первый «слепок» своего лица или 5 отпечатков пальцев.
Для доступа к настройкам телефона необходимо ввести этот пароль и сбросить все настройки идентификации.
Забыл пароль
После 10 неправильных вводов пароля, смартфон услужливо предлагает сбросить все настройки и стереть данные. Если есть бэкап, вы сможете вернуть телефон к заводским настройкам, восстановить данные и дальше пользоваться устройством.
Еще один способ
Владельцы заблокированных телефонов могут получить доступ к своим гаджетам через личный кабинет пользователя Apple и Xiaomi. Понадобиться указать серийный номер телефона — IMEI адрес, дополнительно может потребоваться фотография коробки и чека из магазина.
Метод перебора
Если вышеуказанные способы по каким-то причинам не подошли, можно получить доступ к инженерному меню через функцию Device Firmware Update во время процедуры установки новой прошивки. В инженерном режиме нет лимита на количество попыток ввода пароля, методом перебора есть шанс случайно «натыкать» подходящую комбинацию.
Отвлеките Siri
Siri и другие голосовые помощники довольно легкомысленны, если отвлечь их вопросом, можно разблокировать телефон в обход защиты.
Спросите у Siri: «Который сейчас час», как только откроется встроенный браузер с указанием текущего времени, нажмите кнопку «Главное меню» – автоматически откроется рабочий стол со всеми иконками. Функцию показа браузера можно заблокировать через меню устройства.
Если функция заблокирована, на вопрос: «Который час», Siri в 12-м iPhone отвечает всплывающим сообщением:
Для получения доступа к меню необходимо нажать на push-уведомление, свайпнуть вниз, нажать плюсик для добавления в список город с другим часовым поясом, выбрать добавленный город, зажать кнопку «Удалить», свайпнуть вверх.
Что дает биометрическая идентификация
Из-за развития мощности вычислительных устройств пароль уже не так надежен, как прежде. Элементарным методом перебора можно взломать пароль любой сложностью за несколько часов или дней.
Биометрическая идентификация — быстрый и легкий способ получить доступ к своему устройству, без необходимости запоминать сложные пароли. Из-за программных ошибок (багов) в некоторых устройствах можно обойти биометрическую защиту, но такие уязвимости после обнаружения быстро устраняются с помощью обновлений прошивки.
Безопасно ли хранить свои биометрические данные — вопрос дискуссионный. Телефон или ноутбук не хранит фотографии лиц, глаз, отпечатков, он создает цифровой слепок и переводит его в нули и единицы. Для идентификации используются только цифры и ничего более.
Сканеры, использующиеся в мобильных гаджетах, надежно охраняют конфиденциальные данные от мелких воришек и взломщиков-любителей. Профессионала же не остановит не один замок.
Что такое IMEI телефона и для чего он нужен
При обсуждении телефонов, смартфонов или других мобильных устройств часто всплывает такой термин как IMEI. Во многих материалах авторы рекомендуют проверить или изменить IMEI, при этом объясняя что это такое. Сейчас мы попробуем закрыть этот пробел в знаниях, рассказав вам о том, что такое IMEI в телефоне и для чего он нужен.
Что такое IMEI телефона
IMEI – это уникальный номер, который выдается любому мобильному оборудованию, работающему в таких мобильных сетях как GSM, IDEN или WCDMA. Например, такой номер получают мобильные телефоны, спутниковые телефоны, смартфоны, планшеты и ноутбуки с поддержкой мобильного интернета, 3G-модемы и другие подобные устройства. Количество получаемых IMEI соответствует количеству SIM-карт, с которыми может работать данное устройство. Например, если телефон поддерживает работу с двумя SIM картами, то он получает два IMEI.
Аббревиатура IMEI расшифровывается как International Mobile Equipment Identity, что можно перевести на русский как международный идентификатор мобильного оборудования. Производители телефонов и других мобильных устройств получают данные идентификаторы от специальных международных организаций, которые уполномочены их выдавать. Например, такие идентификаторы выдает BABT (British Approvals Board for Telecommunications). В дальнейшем, производители раздают полученные идентификаторы конкретным телефонам, которые они выпускают, таким образом достигается уникальность каждого IMEI.
Что касается структуры IMEI, то он состоит из 14 или 16 цифр (в этом случае он называется IMEISV). Первые 8 цифр указывают на модель телефона и его происхождение, остальные цифры включают заданный производителем серийный номер и контрольное число. В случае IMEISV, который состоит из 16 цифр, также указывается версия программного обеспечения.
Для чего нужен IMEI телефона
Как уже было сказано, IMEI – это уникальный номер телефона, поэтому его удобно использовать для идентификации телефонов в сети мобильного оператора. Мобильный оператор может использовать IMEI для определения модели вашего телефона, а также определения технологий связи, которые им поддерживаются. Это также позволяет мобильным операторам занести телефон в черный список и больше его не обслуживать.
Благодаря своей уникальности IMEI может использоваться для слежения за телефоном даже если его владелец меняет SIM-карты. Кроме этого, IMEI может использоваться таможенниками для определения легальности телефона.
Нужно отметить, что IMEI это идентификатор именно телефона, а не его абонента. Для идентификации абонента в мобильных сетях используется другой уникальный международный номер, который называется IMSI (International Mobile Subscriber Identity) и записывается на SIM карте пользователя.
Как узнать IMEI телефона
После присвоения IMEI телефону, он записывается несколькими способами, которые дублируют друг друга. Любой из этих способов можно использовать для того, чтобы узнать IMEI телефона.
Во-первых, IMEI записывают в прошивку телефона, то есть в его программное обеспечение. Эту информацию можно посмотреть в любой момент с помощью запроса *#06#, который нужно набрать на клавиатуре устройства. Код *#06# одинаково хорошо работает как на кнопочных телефонах, так и на современных смартфонах с сенсорным экраном.
После ввода данного кода на экране сразу появляется IMEI, который был присвоен данному телефону. Если телефону было присвоено несколько IMEI, то на экране появятся сразу все.
Во-вторых, IMEI указывается на самом телефоне, обычно это делается на специальной наклейке, расположенной под батареей. А в-третьих, IMEI всегда указывается в гарантийных документах и на коробке телефона. Таким образом у пользователя всегда есть несколько способов для того, чтобы посмотреть IMEI своего телефона.
Можно ли изменить IMEI
В старых моделях телефонов IMEI изменялся достаточно просто. В частности, это можно было сделать при помощи терминальной программы и нескольких команд. Но, сейчас все намного сложнее, ведь производители все чаще записывают IMEI в специальную область памяти, которую нельзя переписать программным способом.
Тем не менее, на некоторых телефонах все еще можно изменить IMEI. Например, это делают через инженерное меню аппарата или с помощью получения ROOT прав (если это Android смартфон). Если вам нужно изменить IMEI на телефоне, то нужно искать информацию по конкретно вашему устройству. Универсальной инструкции по изменению IMEI, которая бы работала на любом устройстве, просто нет.
Нужно отметить, что в некоторых странах изменение IMEI запрещено и является уголовно наказуемым преступлением. Поэтому перед тем, как делать что-то подобное необходимо уточнить, не нарушит ли это законы вашей страны.
Как узнать модель телефона по IMEI
Если вы знаете IMEI телефона, то вы можете узнать его модель, технические характеристики, дату производства, а также страну производителя. Для получения этой информации вам нужно просто зайти на один из сайтов, которые обладают базой данных, и ввести там свой IMEI. Например, вы можете поискать информацию на таких сайтах как: