Đáng buồn thay, CNTT không còn có thể tin tưởng được nữa

[ad_1]

Vị trí địa lý đã từng là một cách tuyệt vời để biết công ty của bạn đang giao dịch với ai (và đôi khi họ đang làm gì). Sau đó, VPN bắt đầu phá hoại điều đó. Và bây giờ, mọi thứ trở nên tồi tệ đến mức cả Apple App Store và Google Play đều cung cấp các ứng dụng không ngại tuyên bố rằng chúng có thể giả mạo vị trí – và cả nhà cung cấp hệ điều hành di động đều không làm gì để ngăn chặn điều đó.

Tại sao? Có vẻ như cả Apple và Google đều tạo ra những lỗ hổng mà các nhà phát triển này đang sử dụng.

Tóm lại, Apple và Google – để kiểm tra các ứng dụng của họ trên các khu vực địa lý khác nhau – cần có khả năng đánh lừa hệ thống nghĩ rằng các nhà phát triển của họ đang ở bất cứ đâu họ muốn nói rằng họ đang ở đó. Điều gì tốt cho con ngỗng di động, như họ nói.

Dịch vụ giao đồ ăn sử dụng định vị địa lý để theo dõi những người giao hàng và để xem liệu họ có thực sự giao hàng đến địa chỉ của khách hàng hay không. Các ngân hàng sử dụng vị trí để xem liệu người đăng ký tài khoản ngân hàng có thực sự ở nơi người nộp đơn yêu cầu hay không – hoặc để xem liệu nhiều đơn đăng ký không có thật có đến từ cùng một khu vực hay không. Và AirBNB sử dụng định vị địa lý để thử và phát hiện danh sách giả mạo và đánh giá giả mạo, theo André Ferraz, Giám đốc điều hành của công ty bảo mật vị trí di động Incognia.

“Đối với những kẻ gian lận, bên cạnh việc khai thác chế độ nhà phát triển để thay đổi tọa độ GPS, nhiều công cụ khác cho phép giả mạo vị trí, cho cả định vị địa lý dựa trên IP và định vị địa lý dựa trên GPS,” Ferraz nói. “Đối với định vị địa lý dựa trên IP, có VPN, proxy, tor , đào hầm. Đối với GPS, dễ tiếp cận nhất là các ứng dụng GPS giả mạo. Tuy nhiên, cũng có những công cụ giả mạo và thiết bị đo đạc, thiết bị đã root hoặc bẻ khóa, trình giả lập, giả mạo dữ liệu vị trí đang chuyển động và nhiều công cụ khác ”.

Ferraz đã đúng một cách đáng tiếc. Bất kể kẻ lừa đảo chọn sử dụng một trong nhiều tùy chọn nào, điểm mấu chốt là CNTT đơn giản là không còn tin tưởng vào vị trí địa lý cho bất cứ thứ gì. Có một số ứng dụng có nguy cơ thiệt hại đáng kể do gian lận vị trí thấp đến mức có thể sử dụng vị trí – ví dụ, một ứng dụng chơi game trong đó ai đó giả vờ ở Công viên Trung tâm khi họ không có mặt. Nếu tất cả những gì họ nhận được là điểm hoặc quyền truy cập vào một phương pháp điều trị thị giác đặc biệt, nó có thể là vô hại.

Tin tưởng, ở đây, là từ khóa. Nếu doanh nghiệp của bạn cần phải tin tưởng vào dữ liệu vị trí, thì cần phải có một giải pháp thay thế.

Có thể phát hiện gian lận vị trí này không? Nó trở nên khó khăn. Một số phương pháp gian lận nhất định có thể được phát hiện, nhưng không phải tất cả – và chắc chắn không phải lúc nào cũng vậy. Quan trọng hơn, chỉ đơn thuần phát hiện một điểm bất thường về vị trí địa lý sẽ không tự xác định một cách tích cực hành vi gian lận.

VPN là một ví dụ tuyệt vời. Nhiều người dùng đã quen với việc lướt Internet ở chế độ VPN đến nỗi họ luôn làm như vậy. Điều đó có nghĩa là họ thậm chí có thể không nghĩ về nó khi họ cố gắng mở một tài khoản ngân hàng chẳng hạn. Thay vì giả định gian lận và chặn quyền truy cập và từ chối ứng dụng, các ngân hàng có thể đưa ra một cảnh báo bật lên đơn giản: “Có vẻ như bạn đang sử dụng VPN. Mặc dù chúng tôi hoan nghênh ý định bảo mật và quyền riêng tư của bạn, những gì có vẻ như là một VPN đang cản trở việc phát hiện vị trí của chúng tôi. Vui lòng tắt VPN của bạn, tắt trình duyệt của bạn, khởi chạy lại trình duyệt của bạn và quay lại. ”

Vấn đề với việc phát hiện giả mạo là một số công ty sẽ phản ứng thái quá và cho rằng cố ý gian lận. Nó không đơn giản như vậy.

Ferraz chọn không gây lỗi cho Google hay Apple, vì họ thực sự cần bắt chước các vị trí trên toàn cầu.

“Tính năng này để cho phép các nhà phát triển kiểm tra ứng dụng của họ như thể chúng ở nơi khác được xây dựng có chủ đích bởi các nhà cung cấp hệ điều hành, Android và iOS. Do đó, nó không phải là một lỗ hổng bảo mật từ hệ điều hành. Nếu không, các nhà phát triển sẽ không thể làm việc từ xa, vì họ cần phải trực tiếp đến những nơi mà Ứng dụng cung cấp một số dịch vụ dựa trên vị trí cho mục đích thử nghiệm, ”Ferraz nói. “Hệ điều hành thậm chí còn cung cấp các API để các nhà phát triển xác định xem thiết bị có đang ở chế độ nhà phát triển hay không và đã kích hoạt công cụ cho phép họ thay đổi tọa độ GPS. Thật không may, nhiều nhà phát triển không sử dụng tín hiệu này và các tín hiệu thiết bị khác để xác định hành vi giả mạo vị trí ”.

Ferraz trích dẫn dịch vụ giao đồ ăn là một ví dụ kinh điển về cách một số công ty cố gắng sử dụng theo dõi vị trí – nhưng có thể bị cháy. Có nhiều cách những kẻ lừa đảo cố gắng ăn cắp các dịch vụ giao đồ ăn; một số sẽ chấp nhận giao hàng và đơn giản là không đi đâu cả. Thay vào đó, họ đánh lừa hệ thống giao đồ ăn nghĩ rằng họ đã nhận đơn đặt hàng và sau đó giao nó.

Vấn đề với một số dịch vụ này là họ trả tiền ngay lập tức khi hệ thống cho rằng thực phẩm đã được giao. Nếu họ chọn đợi, hãy nói một tiếng hoặc lâu hơn, họ có thể tránh được gian lận. Khoảng thời gian đó để lại nhiều thời gian cho khách hàng gọi điện thoại và phàn nàn rằng đồ ăn không bao giờ được giao. (Đôi khi, công ty giao thực phẩm sẽ “xác minh” xem thực phẩm đã được giao hay chưa bằng cách xem xét theo dõi vị trí địa lý. Rất tiếc! Họ không giao được và có thể gọi khách hàng là kẻ nói dối.)

Đôi khi, gian lận trong giao thức ăn không phải vì tiền – mà là về chính thức ăn. Ferraz cho biết một số tài xế sẽ thực sự nhận đơn hàng và tự ăn – trong khi lừa ứng dụng “nhìn thấy” tài xế giao hàng cho khách hàng.

Điều này đặt ra câu hỏi rằng CNTT nên làm gì với vấn đề này. Có một sự khác biệt lớn giữa “không sử dụng vị trí địa lý” và “không Lòng tin vị trí địa lý. ” Nó tương tự như cách một nhà báo đối phó với một nguồn không đáng tin cậy; bạn không nhất thiết phớt lờ những gì họ đang nói, nhưng bạn xác minh mọi thứ gấp ba lần.

Lấy ví dụ xác thực an ninh mạng. Nếu bạn đang làm mọi thứ đúng cách – đặc biệt là trong môi trường không tin cậy – bạn có thể dựa vào hàng chục hoặc nhiều điểm dữ liệu. Trong trường hợp đó, bạn có thể sử dụng dữ liệu định vị địa lý. Sau khi tất cả, hầu hết các dữ liệu đó có lẽ là tốt. Cũng giống như ví dụ về ngân hàng, đừng từ chối ai đó chỉ dựa trên vị trí không khớp. Nhưng hoàn toàn thích hợp nếu sử dụng bất kỳ sự không khớp nào để kích hoạt thêm các câu hỏi.

Không có lý do gì bạn không thể có các quy trình khác nhau; trong một số trường hợp, độ chính xác của vị trí địa lý được dựa vào; ở những người khác, nó chỉ đơn thuần là bổ sung; đối với những người khác, điều đó không quan trọng lắm (có thể là chơi game). Trong ngắn hạn, sử dụng định vị địa lý nhưng thậm chí không còn nghĩ đến việc tin tưởng nó.

dịch vụ cài win online từ xa

[ad_2]

Related Posts