Obsah
- Nastaviť
- Čo som videl
- Reklamy
- Amazon AWS
- OK, Google
- Čo o mne vie spoločnosť Google?
- A čo Facebook, Twitter a ďalšie?
- Potenciál verzus skutočný
- Zabaliť
Digitálne súkromie je horúca téma. Prešli sme do éry, v ktorej takmer každý má pripojené zariadenie. Každý má fotoaparát. Mnoho našich každodenných aktivít - od jazdy autobusom po prístup k našim bankovým účtom - sa vykonáva online. Vzniká otázka: „kto sleduje všetky tieto údaje?“
Niektoré z najväčších svetových technologických spoločností sú pod kontrolou, ako používajú naše údaje. Čo o vás vie spoločnosť Google? Je Facebook transparentný v tom, ako nakladá s vašimi údajmi? Špehuje na nás Huawei?
Aby som sa pokúsil odpovedať na niektoré z týchto otázok, vytvoril som špeciálnu sieť Wi-Fi, ktorá mi umožňuje zachytiť každý balík údajov odosielaných zo smartfónu na internet. Chcel som zistiť, či niektoré z mojich zariadení bez môjho vedomia tajne neposielajú údaje na vzdialené servery. Je môj telefón špehuje?
Nastaviť
Aby som zachytil všetky údaje, ktoré tečú z môjho smartfónu tam a späť, potreboval som súkromnú sieť - sieť, kde som šéf, kde som root, kde som administrátor. Akonáhle budem mať úplnú kontrolu nad sieťou, môžem monitorovať všetko, čo sa deje a vystupuje zo siete. Za týmto účelom som nastavil Raspberry Pi ako prístupové miesto Wi-Fi. Imaginatívne som to nazval PiNet. Ďalej som pripojil testovaný smartphone k PiNet a deaktivoval mobilné dáta (aby som si bol istý, že dostávam všetku komunikáciu). V tomto okamihu bol smartphone pripojený k Raspberry Pi, ale nič iné. Ďalším krokom je konfigurácia zariadenia Pi tak, aby prenieslo všetku komunikáciu, ktorá sa dostane na internet. To je dôvod, prečo je Pi také skvelé zariadenie, pretože veľa modelov má na palube Wi-Fi aj Ethernet. Pripojil som Ethernet k smerovaču a teraz všetko, čo smartphone odosiela a prijíma, musí pretekať cez Raspberry Pi.
Existuje veľa nástrojov na analýzu siete a jedným z najpopulárnejších je WireShark. Umožňuje zachytávanie a spracovanie každého dátového paketu lietajúceho v sieti v reálnom čase. S mojím Pi medzi smartfónmi a internetom som použil WireShark na zachytenie všetkých údajov. Raz zajatý som ho mohol analyzovať vo svojom voľnom čase. Výhodou metódy „Zachytiť teraz, klásť otázky neskôr“ je, že môžem nechať nastavenie bežať cez noc a zistiť, aké tajomstvá môj smartphone odhaľuje uprostred noci!
Testoval som štyri zariadenia:
- Huawei Mate 8
- Pixel 3 XL
- OnePlus 6T
- Galaxy Note 9
Čo som videl
Prvá vec, ktorú som si všimol, boli rozhovory našich telefónov so spoločnosťou Google veľa, Myslím, že by ma to nemalo prekvapiť - celý ekosystém Android je založený na službách Google - bolo však zaujímavé vidieť, ako pri prebudení zariadenia z režimu spánku vykrikuje a skontroluje váš Gmail a aktuálny čas v sieti (prostredníctvom NTP). a veľa ďalších vecí. Tiež ma prekvapilo, koľko doménových mien vlastní spoločnosť Google. Čakal som, že budú všetky servery something.whatever.google.com, ale Google má domény s menami ako 1e100.net (ktoré sú podľa môjho názoru odkazom na komplex Google Googl), gstatic.com, crashlytics.com atď.
Skontroloval som a overil každú doménu a každú adresu IP, s ktorou sa testovacie zariadenia kontaktovali, aby som si bol istý, že viem, s kým môj telefón hovoril.
Okrem rozhovoru so spoločnosťou Google sa naše smartfóny javia ako celkom bezstarostné sociálne motýle a majú široký okruh priateľov. Tieto sú, samozrejme, priamo úmerné počtu nainštalovaných aplikácií. Ak máte nainštalované WhatsApp a Twitter, hádajte čo, vaše zariadenie pravidelne kontaktuje servery WhatsApp a Twitter!
Videl som nejaké škodlivé pripojenie k serverom v Číne, Rusku alebo Severnej Kórei? Nie.
Reklamy
Váš smartphone sa často pripája k sieťam na doručovanie obsahu, aby získal reklamy. Sieť, ku ktorej sa pripája a koľko, bude opäť závisieť od nainštalovaných aplikácií. Väčšina aplikácií podporovaných reklamou bude využívať knižnice poskytované reklamnou sieťou, čo znamená, že vývojár aplikácií má malú alebo žiadnu znalosť o tom, ako sa reklamy skutočne zobrazujú alebo aké údaje sa do reklamnej siete odosielajú. Najbežnejším poskytovateľom reklamy, ktorého som videl, boli Doubleclick a Akamai.
Pokiaľ ide o ochranu osobných údajov, tieto knižnice reklám môžu byť kontroverznou témou, pretože vývojár aplikácií v podstate dôveruje platforme, aby s údajmi urobila správnu vec a posielala iba to, čo je nevyhnutne potrebné na zobrazovanie reklám. Všetci sme videli, ako sú dôveryhodné reklamné platformy pri našom každodennom používaní webu. Kontextové okná, rozbaľovacie okná, automaticky prehrávané videá, nevhodné reklamy, reklamy, ktoré preberajú celú obrazovku - zoznam pokračuje. Ak by reklamy neboli také rušivé, blokátory reklám by nikdy neboli.
Amazon AWS
Videl som slušné sieťové aktivity súvisiace s webovými službami Amazonu (AWS). Ako hlavný poskytovateľ cloudových serverov je Amazon často logickou voľbou pre vývojárov aplikácií, ktorí potrebujú databázy a ďalšie spracovateľské schopnosti na serveri, ale nechcú si udržiavať svoje vlastné fyzické servery.
Celkovo by sa spojenia s AWS mali považovať za neškodné. Poskytujú služby, o ktoré ste požiadali. Zdôrazňuje však otvorenú povahu pripojených zariadení. Po nainštalovaní aplikácie existuje potenciál, že môže odosielať akékoľvek a všetky údaje, ktoré zhromaždila, do miscreant, dokonca aj prostredníctvom renomovaného poskytovateľa služieb, ako je Amazon. Android proti tomu bráni niekoľkými spôsobmi, napríklad vynútením povolení pre aplikácie a službami, ako je napríklad ochrana Play. Z tohto dôvodu môžu byť aplikácie na načítanie strán veľmi nebezpečné.
OK, Google
Keďže mi PiNet umožnil zachytiť každý sieťový paket, chcel som skontrolovať, či Google na mňa tajne špehuje aktivovaním mikrofónu na zariadení Pixel 3 XL a odosielaním údajov spoločnosti Google. Keď aktivujete funkciu Hlasová zhoda na zariadení Pixel 3 XL, bude to trvalo počúvať kľúčové slová „OK Google“ alebo „Ahoj Google“. Počúvanie mi znie trvalo nebezpečne. Ako vám povie ktorýkoľvek politik, otvorený mikrofón predstavuje riziko, ktorému je potrebné sa za každú cenu vyhnúť!
Zariadenie je určené na miestne počúvanie kefrázy bez pripojenia k internetu. Ak sa kefráza nepočuje, nič sa nestane. Po zistení kľúčovej frázy odošle zariadenie na servery spoločnosti Google úryvok, ktorý znova skontroluje, či to bola falošná pozitíva. Ak sa všetko odhlási, zariadenie odošle do spoločnosti Google zvuk v reálnom čase, kým sa nerozumie príkazu alebo kým nevyprší časový limit zariadenia.
To som videl.
Neexistuje vôbec žiadny sieťový prenos, aj keď som hovoril priamo pri telefóne. V okamihu, keď som povedal: „Ahoj Google“, bol spoločnosti Google zaslaný prúdový prenos v reálnom čase, kým sa interakcia nezastavila. Snažil som sa podvádzať Pixel 3 XL s malými variáciami kefrázy ako „Modli sa Google“ alebo „Ahoj Goggle“. Raz som sa dostal k tomu, aby som poslal útržok spoločnosti Google na ďalšie overenie, ale zariadenie nedostalo potvrdenie a tak Asistent sa neaktivoval.
Čo o mne vie spoločnosť Google?
Spoločnosť Google ponúka službu s názvom Takeout, ktorá vám umožňuje sťahovať všetky svoje údaje z Google, čo zjavne znamená, že môžete migrovať svoje údaje do iných služieb. Je to však tiež dobrý spôsob, ako zistiť, aké údaje má spoločnosť Google o vás. Ak sa pokúsite stiahnuť všetko, čo môže byť výsledný archív obrovský (možno aj viac ako 50 GB), bude to zahŕňať všetky vaše fotografie, všetky vaše videoklipy, každý súbor, ktorý ste uložili na Disk Google, všetko, čo ste na YouTube odovzdali, všetky vaše e-maily , a tak ďalej. Ako spôsob kontroly súkromia nemusím zistiť, ktoré fotografie Google má, už to viem. Podobne viem, aké e-maily mám, aké súbory mám na Disku Google atď. Ak však zo sťahovania vylúčim tieto objemné mediálne položky a sústredím sa na aktivitu a metaúdaje, sťahovanie môže byť dosť malé.
Nedávno som si stiahol svoj Takeout a mal som tam nejaké vrecko, aby som zistil, čo o mne vie Google. Dáta prichádzajú ako jeden alebo viac súborov ZIP, ktoré obsahujú priečinky pre každú z rôznych oblastí vrátane prehliadača Chrome, Google Pay, Hudba Google Play, Moja aktivita, Nákupy, Úloha atď.
Ponorenie do každého priečinka ukazuje, čo Google vie o vás v tejto oblasti. Napríklad existuje kópia mojich záložiek prehliadača Chrome a kópia zoznamov skladieb, ktoré som vytvoril v službe Hudba Google Play. Spočiatku nebolo nič prekvapujúce. Očakával som zoznam svojich pripomienok, pretože som ich vytvoril pomocou Asistenta Google, takže spoločnosť Google by mala mať ich kópiu. Existovali však jedno alebo dve prekvapenia, dokonca aj pre niekoho ako „dôvtipného“ technika ako ja.
Prvým bol priečinok záznamov MP3 všetkého, čo som kedy povedal. Bol tiež súbor HTML s prepisom všetkých týchto príkazov. Aby som to objasnil, sú to príkazy, ktoré som dal asistentovi Google po jeho aktivácii pomocou funkcie „Ahoj Google“. Aby som bol úprimný, neočakával som, že spoločnosť Google bude uchovávať súbor MP3 so všetkými mojimi príkazmi.Dobre, chápem, že existuje určitá technická hodnota v tom, že môžem skontrolovať kvalitu Asistenta, ale nemyslím si, že Google musí tieto zvukové súbory uchovávať. Je to trochu veľa.
K dispozícii bol tiež zoznam všetkých článkov, ktoré som kedy čítal v službe Google News, záznam o každom mojom hraní hry Solitaire a všetky vyhľadávania, ktoré som vykonal v službe Hudba Google Play, sa vrátili takmer päť rokov!
Ukázalo sa, že spoločnosť Google spracuje všetky vaše e-maily, ktoré hľadajú nákupy, a vytvorí ich záznam.
Ten, ktorý ma skutočne šokoval, bol v priečinku Nákupy. Google tu zaznamenal všetko, čo som si kedy kúpil online. Najstaršia položka bola od roku 2010, keď som si kúpil nejaké letenky. Ide o to, že som si tieto lístky ani žiadne z týchto položiek nekúpil prostredníctvom spoločnosti Google. Mám záznamy o nákupe položiek z Amazonu, eBay a iTunes. Existujú dokonca aj záznamy o narodeninových kartách, ktoré som kúpil.
Hlbšie kopanie som začal hľadať nákupy, ktoré som nerobil! Po nejakom poškrabaní hlavy sa ukáže, že tieto záznamy sú výsledkom toho, ako spoločnosť Google spracovávala moje e-maily a hádala pri nákupoch, ktoré som vykonal. Pravdepodobne ste to videli najmä v súvislosti s letmi. Ak otvoríte e-mail od leteckej spoločnosti, služba Gmail užitočne umiestni niektoré súhrnné informácie o vašom lete na špeciálnu kartu v hornej časti stránky.
Ukázalo sa, že spoločnosť Google spracuje všetky vaše e-maily, ktoré hľadajú nákupy, a vytvorí ich záznam. Keď vám niekto pošle e-mail o niečom, čo kúpil, spoločnosť Google ho môže nechtiac rozobrať ako nákup, ktorý ste uskutočnili!
A čo Facebook, Twitter a ďalšie?
Sociálne médiá a súkromie sú v niektorých ohľadoch protirečivé. Ako povedal Harold Finch v televíznej relácii Osoba záujmu o sociálnych médiách: „Vláda sa o to snaží roky. Ukázalo sa, že väčšina ľudí bola šťastná, že ju dobrovoľne ponúkli. “V prípade sociálnych médií ochotne zverejňujeme informácie vrátane narodenín, mien, priateľov, kolegov, fotografií, záujmov, zoznamov želaní a ašpirácií. Potom, čo sme zverejnili všetky tieto informácie, sme šokovaní, keď sa používajú spôsobom, ktorý sme nezamýšľali. Ako hovorí ďalšia známa postava o herni, často navštevoval: „Šokujem, šokujem, keď zistím, že sa tu hrá hazardné hry!“
Všetky veľké sociálne médiá vrátane Facebooku a Twitteru majú zásady ochrany osobných údajov a ich obsah je pomerne široký. Tu je úryvok z pravidiel služby Twitter:
„Okrem informácií, ktoré s nami zdieľate, používame okrem toho aj vaše tweety, obsah, ktorý ste si prečítali, páčili sa vám, alebo sa vám páčilo, a ďalšie informácie, ktoré témy vás zaujímajú, váš vek, jazyky, ktorými hovoríte, a ďalšie signály aby sme vám ukázali relevantnejší obsah. “
Pripája sa teda vaše zariadenie k službe Twitter a umožňuje službe Twitter určovať veci, ako je váš vek, jazyk, ktorým hovoríte, a čo vás zaujíma? Istá.
Profily vás - a necháte to urobiť.
Tu je kľúčová otázka: Keby som nemal smartphone, zastavilo by ma to, aby na mňa subjekty špehovali, ak by to chceli?
Potenciál verzus skutočný
Najväčší problém s pripojenými zariadeniami a online subjektmi nie je to, čo robia, ale čo môžu robiť. Frázu „entity“ som použil úmyselne, pretože nebezpečenstvo spojené s hromadným sledovaním, špionážou a profilovaním sa netýka iba stránok Google alebo Facebook. Ignorovanie skutočných softvérových chýb (chýb), ako aj štandardných obchodných modelov veľkých online spoločností, je celkom bezpečné povedať, že na vás spoločnosť Google špionážne neposiela. Facebook nie je. Vláda nie je. To neznamená, že nemôžu - alebo nebudú.
Je nejaký hacker alebo vládny špión niekde aktivujúci mikrofón v telefóne, aby vás počúval? Nie, ale mohli. Ako sme nedávno videli s udalosťami okolo vraždy Jamala Khashoggiho, entity vás môžu oklamať, aby nainštalovali aplikáciu, ktorá vás špehuje. Spoločnosti ako Zerodium predávajú vláde nulové chyby zabezpečenia, ktoré by mohli umožniť inštaláciu škodlivých aplikácií (napríklad Pegasus) na vaše zariadenie bez toho, aby ste to vedeli.
Videl som akúkoľvek takúto aktivitu so svojimi zariadeniami? Nie, ale nie som pravdepodobný cieľ pre takéto sledovanie a podvody. Stále sa to môže stať niekomu inému.
Tu je kľúčová otázka: Keby som nemal smartphone, zastavilo by ma to, keby na mňa subjekty špehovali, ak by to chceli?
Pred uvedením smartfónov sa každá veľká vláda na svete už zapojila do špionáže a dozoru. Druhá svetová vojna bola pravdepodobne získaná porušením kódu Enigmy a získaním prístupu k inteligencii, ktorú skrývala. Smartphony sa neobviňujú, ale teraz je tu väčšia útočná plocha - inými slovami, existuje viac spôsobov, ako na vás špehovať.
Zabaliť
Po mojom testovaní som presvedčený, že žiadne zo zariadení, ktoré som použil, nerobí nič nezvyčajné alebo škodlivé. Otázka súkromia je však väčšia ako len zariadenie, ktoré nie je úmyselne škodlivé. Obchodné praktiky spoločností ako Google, Facebook a Twitter sú veľmi diskutabilné a zdá sa, že často posúvajú hranice súkromia.
Čo sa týka špionáže, pred mojím domom nie je zaparkovaná žiadna biela dodávka, ktorá by sledovala moje pohyby a ukazovala smerový mikrofón na moje okná. Práve som skontroloval. Nikto mi hackne telefón. To neznamená, že nemôžu.
