Saturs
- Uzstādīt
- Ko es redzēju
- Reklāmas
- Amazon AWS
- Labi, Google
- Ko Google zina par mani?
- Kā ir ar Facebook, Twitter un citiem?
- Potenciāls vs Faktiskais
- Satīt
Digitālā privātums ir karsts temats. Esam pārcēlušies uz laikmetu, kurā gandrīz ikvienam ir pievienota ierīce. Ikvienam ir kamera. Daudzas no mūsu ikdienas darbībām - sākot no brauciena ar autobusu un beidzot ar piekļuvi mūsu bankas kontiem - tiek veiktas tiešsaistē. Rodas jautājums: “kurš seko visiem šiem datiem?”
Daži no pasaules lielākajiem tehnoloģiju uzņēmumiem tiek rūpīgi pārbaudīti, kā viņi izmanto mūsu datus. Ko Google zina par jums? Vai Facebook ir pārredzams, kā tas apstrādā jūsu datus? Vai Huawei mūs spieg?
Lai mēģinātu atbildēt uz dažiem no šiem jautājumiem, es izveidoju īpašu Wi-Fi tīklu, kas ļāva uztvert katru datu paketi, kas tiek nosūtīta no viedtālruņa uz internetu. Es gribēju redzēt, vai kāda no manām ierīcēm bez manas ziņas slepeni sūta datus uz attāliem serveriem. Vai mans telefons mani spieg?
Uzstādīt
Lai uztvertu visus datus, kas plūst uz priekšu un atpakaļ no mana viedtālruņa, man bija nepieciešams privāts tīkls - tāds, kurā es esmu boss, kur esmu sakne, kur esmu administrators. Kad esmu pilnībā kontrolējis tīklu, es varu uzraudzīt visu, kas notiek tīklā un iet ārā. Lai to izdarītu, es iestatīju Raspberry Pi kā Wi-Fi piekļuves punktu. Es to tēlaini nosaucu par PiNet. Pēc tam es pārbaudīto viedtālruni pieslēdzu PiNet un atspējoju mobilos datus (lai būtu divtik pārliecināts, ka iegūstu visu trafiku). Šajā brīdī viedtālrunis bija savienots ar Raspberry Pi, bet nekas cits. Nākamais solis ir konfigurēt Pi, lai pārsūtītu visu trafiku, ko tas izvada uz internetu. Tāpēc Pi ir tik lieliska ierīce, jo daudziem modeļiem ir gan Wi-Fi, gan Ethernet. Es pieslēdzu Ethernet savam maršrutētājam, un tagad visam, ko viedtālrunis sūta un saņem, ir jāplūst caur Raspberry Pi.
Tur ir daudz tīkla analīzes rīku, un viens no populārākajiem ir WireShark. Tas ļauj uztvert un apstrādāt katru datu paketi, kas lido pa tīklu. Ar Pi starp viedtālruņiem un internetu es izmantoju WireShark, lai uztvertu visus datus. Pēc notveršanas es to varēju analizēt brīvajā laikā. Metodes “tveriet tūlīt, uzdodiet jautājumus vēlāk” priekšrocība ir tā, ka es varu atstāt iestatīšanu darboties pa nakti un redzēt nakts vidus, kādus noslēpumus atklāj mans viedtālrunis!
Es pārbaudīju četras ierīces:
- Huawei Mate 8
- Pixel 3 XL
- OnePlus 6T
- Galaktikas piezīme 9
Ko es redzēju
Pirmais, ko pamanīju, bija mūsu viedtālruņu saruna ar Google daudz. Es domāju, ka tas mani nevajadzētu pārsteigt - visa Android ekosistēma ir veidota ap Google pakalpojumiem -, taču bija interesanti redzēt, kā, pamodinot ierīci no miega, tā nokrīt un pārbauda jūsu Gmail un pašreizējo tīkla laiku (izmantojot NTP) un vesela virkne citu lietu. Es biju pārsteigts arī par to, cik daudz domēna vārdu pieder Google. Es gaidīju, ka visi serveri būs kaut kas neatkarīgi no Google.com, bet Google ir domēni ar nosaukumiem, piemēram, 1e100.net (kas, manuprāt, ir atsauce uz Googolplex), gstatic.com, crashlytics.com utt.
Es pārbaudīju un pārbaudīju katru domēnu un katru IP adresi, ar kuru testa ierīces sazinājās, lai būtu pārliecināts, ka es zinu, ar ko mans viedtālrunis runā.
Papildus sarunām ar Google mūsu viedtālruņi šķiet diezgan bezrūpīgi sociālie tauriņi, un viņiem ir plašs draugu loks. Tie, protams, ir tieši proporcionāli instalēto lietotņu skaitam. Ja jums ir instalēti WhatsApp un Twitter, uzminiet, ko, jūsu ierīce regulāri sazinās ar WhatsApp un Twitter serveriem!
Vai es redzēju nedrošus savienojumus ar serveriem Ķīnā, Krievijā vai Ziemeļkorejā? Nē.
Reklāmas
Tas, ko jūsu viedtālrunis bieži dara, ir savienojums ar satura piegādes tīkliem, lai iegūtu reklāmas. Atkal tas, kādiem tīkliem tas tiek savienots, un cik, būs atkarīgs no jūsu instalētajām lietotnēm. Lielākajā daļā reklāmu atbalstīto lietotņu tiks izmantotas reklāmas tīkla nodrošinātās bibliotēkas, kas nozīmē, ka lietotņu izstrādātājam ir maz vai nav vispār nekādu zināšanu par to, kā reklāmas faktiski tiek rādītas vai kādi dati tiek nosūtīti uz reklāmas tīklu. Visizplatītākie reklāmu sniedzēji, kurus es redzēju, bija Doubleclick un Akamai.
Privātuma ziņā šīs reklāmas bibliotēkas var būt diskutabla tēma, jo lietotņu izstrādātājs pamatā uzticas platformai, ka tā rīkojas pareizi ar datiem un sūta tikai to, kas ir stingri nepieciešams reklāmu rādīšanai. Mēs visi esam redzējuši, cik uzticamas reklāmas platformas ir mūsu ikdienas lietošanai tīmeklī. Uznirstošie logi, uznirstošie logi, automātiska video atskaņošana, nepiemērotas reklāmas, reklāmas, kas pārņem visu ekrānu - saraksts turpinās. Ja reklāmas nebūtu tik uzmācīgas, reklāmas bloķētāju nekad nebūtu.
Amazon AWS
Es redzēju diezgan nelielu tīkla aktivitāti, kas saistīta ar Amazon Web Services (AWS). Amazon kā būtisks mākoņu serveru nodrošinātājs bieži ir loģiska izvēle lietotņu izstrādātājiem, kuriem serverī ir vajadzīgas datu bāzes un citas apstrādes iespējas, bet nevēlas uzturēt savus fiziskos serverus.
Kopumā savienojumi ar AWS ir jāuzskata par nekaitīgiem. Viņi ir tur, kur sniedz pakalpojumus, kurus jūs pieprasījāt. Tomēr tas izceļ pievienoto ierīču atvērto raksturu. Kad esat instalējis lietotni, pastāv potenciāls, ka tā var nosūtīt jebkuru un visus savāktos datus nepareizam adresātam, pat izmantojot tādu cienījamu pakalpojumu sniedzēju kā Amazon. Android to aizsargā vairākos veidos, tostarp, izpildot atļaujas lietotnēs un izmantojot tādus pakalpojumus kā Play Protect. Tāpēc sānu ielādēšanas lietotnes var būt ļoti bīstamas.
Labi, Google
Tā kā PiNet ļāva man tvert katru tīkla paketi, es labprāt pārbaudīju, vai Google mani slepeni spiego, aktivizējot mikrofonu manā Pixel 3 XL un nosūtot datus Google. Aktivizējot balss spēli, izmantojot Pixel 3 XL, tas pastāvīgi klausās atslēgas frāzes “OK Google” vai “Hey Google”. Klausīšanās man pastāvīgi izklausās bīstama. Kā jums pateiks jebkurš politiķis, atvērta mic ir bīstamība, no kuras jāizvairās par katru cenu!
Ierīce ir paredzēta, lai klausītos atslēgas frāzi uz vietas, nepieslēdzoties internetam. Ja atslēgas frāze netiek dzirdēta, nekas nenotiek. Pēc atslēgas frāzes noteikšanas ierīce nosūtīs fragmentu uz Google serveriem, lai vēlreiz pārbaudītu, vai tā ir kļūdaini pozitīva. Ja viss tiek pārbaudīts, ierīce reāllaikā nosūta audio signālu Google tīklam, līdz tiek saprasta komanda vai ierīce tiek pārtraukta.
To es redzēju.
Tīkla trafika vispār nav, pat ja es runāju tieši pa tālruni. Brīdī, kad es teicu “Hei Google”, Google tika nosūtīta reāllaika tīkla trafika straume, līdz mijiedarbība tika pārtraukta. Es mēģināju pievilināt Pixel 3 XL ar nelielām atslēgas frāžu variācijām, piemēram, “Pray Google” vai “Hey Goggle”. Reiz man izdevās to iegūt, lai nosūtītu fragmentu Google tālākai validācijai, taču ierīce nesaņēma apstiprinājumu un tā Asistents neaktivizējās.
Ko Google zina par mani?
Google piedāvā pakalpojumu ar nosaukumu Izņemšana, kas ļauj lejupielādēt visus savus datus no Google, acīmredzot, lai jūs varētu migrēt savus datus uz citiem pakalpojumiem. Tomēr tas ir arī labs veids, kā redzēt, kādus datus par jums nodrošina Google. Ja mēģināt lejupielādēt visu, iegūtais arhīvs var būt milzīgs (varbūt vairāk nekā 50 GB), taču tajā būs visi jūsu fotoattēli, visi videoklipi, katrs fails, ko esat saglabājis Google diskā, viss, ko esat augšupielādējis YouTube, visi jūsu e-pasti , un tā tālāk. Kā veids, kā pārbaudīt privātumu, man nav jāredz, kuras fotogrāfijas ir Google, es to jau zinu. Tāpat es zinu, kādi e-pasti man ir, kādi faili man ir Google diskā utt. Tomēr, ja izslēdzu no lieliem multivides vienumiem lejupielādi un koncentrējos uz darbībām un metadatiem, lejupielāde var būt diezgan maza.
Nesen lejupielādēju savu Takeout un man bija kurvis, lai redzētu, ko Google zina par mani. Dati tiek piegādāti kā viens vai vairāki .zip faili, kas satur mapes katrā no dažādajām jomām, tostarp pārlūks Chrome, Google Pay, Google Play mūzika, Mana darbība, Pirkumi, Uzdevums utt.
Iedziļinoties katrā mapē, tiek parādīts, ko Google zina par jums šajā apgabalā. Piemēram, ir mana Chrome grāmatzīmju kopija un to atskaņošanas sarakstu kopija, kurus izveidoju pakalpojumā Google Play mūzika. Sākumā nekas pārsteidzošs nebija. Es gaidīju savu atgādinājumu sarakstu, jo tos izveidoju, izmantojot Google palīgu, tāpēc Google vajadzētu būt to kopijām. Bet bija viens vai divi pārsteigumi, pat kādam, kas ir tikpat gudrs kā es.
Pirmais bija MP3 ierakstu mape par visu, ko es kādreiz teicu man. Bija arī HTML fails ar visu šo komandu atšifrējumu. Skaidrības labad tās ir komandas, kuras es devu Google palīgam pēc tam, kad tā tika aktivizēta ar “Hey Google”. Godīgi sakot, es negaidīju, ka Google glabās MP3 failu ar visām manām komandām.Labi, es uzskatu, ka spējai pārbaudīt palīga kvalitāti ir kāda inženiertehniska vērtība, taču es nedomāju, ka Google ir jāsaglabā šie audio faili. Tas ir mazliet.
Bija arī visu rakstu saraksts, ko esmu lasījis vietnē Google News, ieraksts par katru reizi, kad spēlēju Solitaire, un visi mani meklēšanas vaicājumi, kas veikti vietnē Google Play Music, meklējami gandrīz piecos gados!
Izrādās, Google apstrādā visus jūsu e-pastus, kas meklē pirkumus, un izveido to ierakstu.
Tas, kas mani patiešām šokēja, bija mapē Pirkumi. Šeit Google reģistrēja visu, ko es jebkad esmu iegādājies tiešsaistē. Vecākā prece bija no 2010. gada, kad nopirku dažas lidmašīnas biļetes. Šeit runa ir par to, ka es nepērku šīs biļetes vai nevienu no priekšmetiem, izmantojot Google. Man ir ierakstu ieraksti vienumiem no Amazon, eBay un iTunes. Ir pat ieraksti par dzimšanas dienu kartēm, kuras es nopirku.
Iegremdējoties dziļāk, es sāku atrast pirkumus, ko neveicu! Pēc nelielas galvas skrāpēšanas izrādās, ka šie ieraksti ir rezultāts tam, ka Google apstrādā manu e-pastu un uzminē par pirkumiem, ko esmu izdarījis. Jūs, iespējams, to esat redzējis īpaši attiecībā uz lidojumiem. Ja atverat e-pasta ziņojumu no aviosabiedrības, Gmail speciāli izveidotā cilnē, kas atrodas augšpusē, noderīgi satur nelielu kopsavilkuma informāciju par jūsu lidojumu.
Izrādās, Google apstrādā visus jūsu e-pastus, kas meklē pirkumus, un izveido to ierakstu. Kad kāds jums nosūta e-pasta ziņojumu par kaut ko iegādātu, Google pat to var netīšām parsēt kā jūsu veiktu pirkumu!
Kā ir ar Facebook, Twitter un citiem?
Sociālie mediji un privātums savā ziņā ir pretrunīgi. Kā televīzijas šovā Personība, kas interesējas par sociālajiem medijiem, sacīja Harolds Finčs: “Valdība gadiem ilgi mēģināja to izdomāt. Izrādās, ka lielākā daļa cilvēku bija priecīgi to darīt brīvprātīgi. ”Izmantojot sociālos medijus, mēs labprāt ievietojam informāciju, ieskaitot dzimšanas dienas, vārdus, draugus, kolēģus, fotoattēlus, intereses, vēlmju sarakstus un vēlmes. Pēc tam, kad visa šī informācija ir publicēta, mēs esam šokēti, kad to izmanto veidos, kādus mēs nedomājām. Kā cits slavens varonis teica par azartspēļu zāli, viņš bieži apmeklēja: “Esmu šokēts, satriekts, atklājot, ka šeit notiek azartspēles!”
Visām lielajām sociālo mediju vietnēm, ieskaitot Facebook un Twitter, ir privātuma politikas, un tās ir diezgan plašas tajā, ko tās aptver. Šis ir fragments no Twitter politikas:
“Papildus informācijai, kuru dalāties ar mums, mēs izmantojam jūsu Tweets, jūsu lasīto saturu, Patika vai Retweetu un citu informāciju, lai noteiktu, kuras tēmas jūs interesē, jūsu vecums, valodas, kuras runājat, un citi signāli parādīt atbilstošāku saturu. ”
Tātad, vai jūsu ierīce izveido savienojumu ar čivināt un ļauj čivināt noteikt tādas lietas kā jūsu vecums, valoda, kuru runājat, un kādas lietas jūs interesē? Protams.
Tas jūs profilē - un jūs ļaujat to darīt.
Šeit ir galvenais jautājums: ja man nebūtu viedtālruņa, vai tas apturētu entītijas no manis spiegšanas, ja viņi to vēlas?
Potenciāls vs Faktiskais
Lielākā pievienoto ierīču un tiešsaistes entītiju problēma nav tas, ko viņi dara, bet gan tas, ko viņi varētu darīt. Es apzināti izmantoju frāzi “entītijas”, jo briesmas, kas saistītas ar masveida uzraudzību, spiegošanu un profilēšanu, attiecas ne tikai uz Google vai Facebook. Ignorējot patiesas programmatūras kļūdas (kļūdas), kā arī lielo tiešsaistes uzņēmumu standarta biznesa modeļus, ir diezgan droši apgalvot, ka Google jūs nespiež. Arī Facebook nav. Tā nav arī valdība. Tas nenozīmē, ka viņi to nevar vai nevarēs.
Vai kāds hakeris vai valdības spiegs kaut kur aktivizē tālruņa mikrofonu, lai jūs klausītos? Nē, bet viņi varēja. Kā mēs nesen redzējām notikumos, kas saistīti ar Džamala Khashoggi slepkavību, entītijas var jūs pamudināt instalēt lietotni, kas jūs spiegot. Uzņēmumi, piemēram, Zerodium, pārdod valdībām nulles dienas ievainojamības, kas, nezinot, varētu ļaut ierīcē instalēt ļaunprātīgas lietotnes (piemēram, Pegasus).
Vai es redzēju šādas darbības ar savām ierīcēm? Nē, bet es, iespējams, neesmu šādas novērošanas un galvaskausu novēršanas mērķis. Tas joprojām varētu notikt ar kādu citu.
Šeit ir galvenais jautājums: ja man nebūtu viedtālruņa, vai tas apturētu entītijas no manis spiegšanas, ja viņi to vēlas?
Pirms viedtālruņu palaišanas katra nozīmīgākā valdība pasaulē jau bija iesaistīta spiegošanā un novērošanā. Otrais pasaules karš, iespējams, tika uzvarēts, pārlaužot Enigma kodu un iegūstot piekļuvi izlūkdatiem, ko tā slēpa. Viedtālruņi nav vainīgi, taču tagad ir lielāks uzbrukuma laukums - citiem vārdiem sakot, ir arī citi veidi, kā jūs spiegot.
Satīt
Pēc pārbaudes es esmu pārliecināts, ka neviena no manām ierīcēm nedara neko neparastu vai ļaunprātīgu. Tomēr konfidencialitātes jautājums ir lielāks nekā tikai ierīce, kas tīši nav ļaunprātīga. Tādu uzņēmumu biznesa prakse kā Google, Facebook un Twitter ir ļoti diskutabla, un šķiet, ka bieži vien tie ierobežo privātuma robežas.
Kas attiecas uz spiegošanu, ārpus manas mājas nav novietots balts furgons, kurš vēro manas kustības un norāda virziena mikrofonu pie maniem logiem. Es tikko pārbaudīju. Neviens nav uzlauzis manu tālruni. Tas nenozīmē, ka viņi to nevar.
