Группа Open Rights Group (ORG) выразила обеспокоенность по поводу ряда проблем безопасности, которые она обнаружила во всех трех приложениях для агитации, разработанных от имени трех основных политических партий Великобритании.
Лейбористы, консерваторы и либеральные демократы предлагают различные цифровые инструменты, призванные облегчить бремя ввода данных для агитаторов, которые ходят по домам и хотят зарегистрировать поддержку избирателей.
Все данные были собраны в преддверии всеобщих выборов в прошлом году, и ORG заявила, что в приложениях всех трех партий были обнаружены различные типы проблем.
Действующий президент Были исследованы три веб-активистских инструмента лейбористского правительства — Reach, Doorstep и Contact Creator. Все три используются взаимозаменяемо для создания базы данных избирателей, дополненной конкретной информацией о них для помощи в профилировании избирателей, заявила ORG.
Основной вопрос, поднятый активистами кампании за конфиденциальность, заключался в том, что различные URL-адреса, привязанные к приложениям, были связаны с инфраструктурой, которой управляет кредитное справочное агентство Experian. ORG заявила, что политика конфиденциальности Labour не объясняет связь между данными, собранными в приложениях, и степенью, в которой они передаются Experian.
Его выводы были основаны на ограниченном статическом техническом анализе. Он не получил учетные данные для входа ни для одного из приложений, что исключало более тщательное тестирование, но тем не менее призвал Labour быть более прозрачными в своих отношениях с Experian.
Также были проанализированы два мобильных приложения, используемых активистами кампании тори. VoteSource — это инструмент ввода данных для агитаторов, который не выдал ничего, что могло бы обеспокоить исследователей. Однако приложение партии Share2Win было более проблематичным.
Share2Win по сути отправляет официальные публичные сообщения Консервативной партии владельцам приложений, предоставляя им функционал для легкого распространения их в своих профилях социальных сетей, дополненный официальными мультимедийными активами партии.
Используя MobSF, инструмент с открытым исходным кодом, который выполняет базовую проверку безопасности, но не такой тщательный, как Veracode или Checkmarx, ORG заявила, что обнаружила, что версии iOS и Android хранят секретные учетные данные, «потенциально делая их уязвимыми для нарушений».
В отчете правозащитной группы отмечены различные другие проблемы, например, то, что разные версии приложения были уязвимы для атак с путаницей зависимостей, когда внешние библиотеки, от которых зависит приложение, подвергаются риску.
В обоих приложениях Share2Win для Android и iOS отсутствовали элементы управления конфиденциальностью, такие как атрибуты для конфиденциальных персональных данных и файлы манифеста конфиденциальности соответственно. Версия Android также могла получать доступ к данным Wi-Fi, что, по словам ORG, могло привести к отслеживанию местоположения.
Вы также можете узнать Share2Win по сообщениям, циркулировавшим перед летними выборами, о том, как приложение сливало данные членов партии.
По сообщению британской газеты The Telegraph, через приложение были слиты телефонные номера и домашние почтовые индексы различных депутатов, включая тогдашнего министра безопасности Тома Тугендхата, Терезу Вильерс, Вики Форд, Грега Смита и сэра Десмонда Суэйна.
Пользователи могли загрузить версию кода таблицы лидеров приложения, которая ранжировала участников по количеству общих сообщений партии. Загрузка таблицы лидеров не требует никаких технических знаний.
Основные проблемы вокруг приложения MiniVan либеральных демократов были сосредоточены на его зависимости от SDK Google Firebase. В отчете ORG говорится, что это «не является изначально проблематичным, [но] указывает на потенциальные проблемы безопасности».
Далее в отчете приводятся различные исследования из индустрии информационной безопасности, касающиеся Firebase и того, как платформы, созданные с его использованием, регулярно неправильно настраиваются, раскрывая конфиденциальные данные в публичном Интернете.
Исследователи обнаружили, что по меньшей мере 900 веб-сайтов, зависящих от Firebase, были уязвимы таким образом еще в марте 2024 года, что раскрыло около 125 миллионов записей пользователей. Аналогично, Comparitech подсчитала, что в 2020 году 24 000 приложений Android допускали утечку пользовательских данных из-за неправильных настроек Firebase.
Опять же, поскольку ORG не смогла провести тщательное тестирование приложений во время выполнения, а исследователи не обеспечили входы для всех платформ, более конкретные выводы сделать было невозможно.
Компания заявила, что используемые ею методы статического тестирования безопасности приложений позволили выявить такие проблемы, как нарушения конфиденциальности, небезопасное хранение данных и потенциальные уязвимости. Однако из-за отсутствия действительных учетных данных не удалось обнаружить потенциальную утечку данных в сети, проблемы, связанные с взаимодействием пользователя с приложениями, а некоторые тесты могут давать ложные положительные и/или отрицательные результаты.
Выводы остаются без внимания, в основном
В беседе с The Register представитель ORG подтвердил, что сегодняшний отчет будет отправлен в Управление комиссара по информации (ICO) для рассмотрения и что, несмотря на усилия организации по обеспечению встречи со сторонами для обсуждения выводов, никто не ответил.
Точно так же, как лейбористы, консерваторы и либерал-демократы, не смогли ответить на The Регистрзапросы. Sprinklr и NRG VAN, которые помогали в разработке приложений, используемых консерваторами и либерал-демократами, также не ответили.
ORG удалось связаться с поставщиками, ответственными за приложения консерваторов, но они заявили, что версии, изученные исследователями, устарели и больше не доступны. Поэтому любые отрицательные выводы были спорными.
«Протестированные версии приложения использовались в период выборов, когда собирались данные, и это будут версии, загруженные агитаторами», — возразила ORG в своем отчете.
«Похоже, это подтверждает, что проблемы присутствовали в период выборов, когда приложение использовалось больше всего».
Выступая в отношении законопроекта об использовании и доступе к данным, проходящего через парламент, Джеймс Бейкер, менеджер программы по мощности платформы в ORG, сказал: «Поскольку доверие к нашим демократическим системам находится на рекордно низком уровне, правительство должно работать над повышением доверия общественности к избирательным процессам.
«В нашем отчете подчеркивается, что существует гонка вооружений данных на дно, подталкивающая партии к принятию кратчайшие пути в безопасности и конфиденциальности. Ответ на это — справедливые и надежные правила и обеспечение их соблюдения.
«Вместо этого правительство ничего не делает, чтобы заставить ICO действовать более активно. Новый законопроект о данных предлагает предоставить министрам право устанавливать произвольные правила о том, как наши политические партии могут использовать наши данные, потенциально рассчитанные на поддержку их собственной партии на выборах.
«Это еще больше подорвет общественное доверие. Нам нужна прозрачность и справедливый набор правил, согласованных парламентом и обеспечиваемых независимым ICO и Избирательной комиссией.» ®
