"Descubra cómo las apps y los servicios digitales pueden revelar mucho sobre ti a través de tus fotografías."

La Idea Sencilla

La idea era tan sencilla como identificar las apps que tenían un correo electrónico de un desarrollador abandonado. Esto nos permitía recrear y pedir la recuperación de la contraseña para acceder al Developer Portal de Android y manipular las apps publicadas. Y, efectivamente, funcionó.

Algo similar a lo que llamamos Gremlin Apps o Gremlin Botnets. Una app podía volverse maliciosa solo para un dispositivo móvil específico y aprovechar los permisos que tenía para traer datos, la agenda de contactos, vigilar la ubicación o robar las fotografías. Todo esto se publicó finalmente en la charla de RootedCON 2020 bajo el título de "Gremlin Botnets: El club de los poetas muertos".

El Concepto de "Permisos Oportunistas"

En esta investigación, utilizamos el concepto de "Permisos Oportunistas" para acceder a datos privados. Por ejemplo, una app para publicar fotos en redes sociales solicitando acceso al carril de fotos es normal. Las Gremlin Apps esperaban a que la app accediera al carril de fotos y luego nos traíamos todas las fotos. Listo.

Android y Apple comenzaron a limitar las apps en el acceso a las fotos a través de la granularidad de permisos a partir de septiembre de 2020 en iOS14 de iPhone. Aunque tomaron varias versiones para aclararlo, en 2021, aún con el Acceso Guiado de iPhone se podía hacer cosas poco fiables como acceder a todas esas fotografías.

Las Fotografías Dicen Mucho Sobre Ti

Tu fotografía contiene muchísimos datos. A quién conoces, quién eres, qué sitios visitas, qué haces, cómo te vistes, cómo te diviertes. Una persona que tenga acceso a todas esas fotografías podría crear un expediente informativo detallado sobre ti.

Desde la llegada de los MM-LLMs, se ha superado la capacidad de analizar masivamente las fotografías para crear datos, bases de datos, etiquetas y meta-información. Esto se utiliza en sistemas como Next Best Action o Next Best Add.

Los Servicios de Almacenamiento en la Nube

Alguno de estos servicios ofrece almacenamiento en la nube para tus fotografías con garantía de privacidad, asegurando que nadie las analizará para sacar información. Un servicio llamado "They See Your Photos" nos muestra cómo una app que analiza tus fotografías puede saber mucho.

Entre las cosas que pueden analizar están logos, lugares, metadatos, fechas y descripciones. Todo se convierte en datos que te acompañan y pueden utilizarse para venderte cosas, ofrecerte cosas o configurarte algo.

MM-LLMs: ChatGPT4

ChatGPT es un ejemplo de un Multi-Modal Large Language Model que, al subir una sola fotografía, puede obtener mucha información. Utilizamos un prompt para pedirle detalles y información que pudiera inferir con más del 50% de probabilidad.

El OCR no habría sacado el dato de que probablemente sea Chief Digital Officer. También crea meta-información sobre el lugar y el contenido. Y puede inferir sobre tu profesión y tipo de persona. Pero esto también tiene un gran valor para el negocio y un gran peligro para la privacidad.

Controlar el Acceso a Tus Datos

Controlar quién tiene acceso a tus fotografías, audios y vídeos es importante para gestionar tu privacidad. Debemos pensar en qué etiquetas queremos que los modelos de IA pongan a las personas. De manera sencilla, se pueden construir bases de datos OSINT basadas en las búsquedas de datos generadas por estos servicios de IA para investigar personas.

¡Saludos Malignos!

Autor: Chema Alonso (Contactar con Chema Alonso)