Sisu

• Seadistamine
• Mida ma nägin
• Kuulutused
• Amazoni AWS
• OK, Google
• Mida Google minust teab?
• Aga Facebook, Twitter ja teised?
• Potentsiaalne vs tegelik
• Tõmba otsad kokku

Digitaalne privaatsus on kuum teema. Oleme liikunud ajastusse, kus peaaegu kõik kannavad ühendatud seadet. Kõigil on kaamera. Paljud meie igapäevased tegevused - bussiga sõitmisest kuni pangakontodele juurdepääsu saamiseni - toimuvad veebis. Tekib küsimus: "kes jälgib kõiki neid andmeid?"

Mõned maailma suurimad tehnoloogiaettevõtted kontrollivad, kuidas nad meie andmeid kasutavad. Mida Google sinust teab? Kas Facebook on teie andmete käitlemise osas läbipaistev? Kas Huawei luurab meid?

Mõnele neist küsimustele vastuse leidmiseks lõin spetsiaalse WiFi-võrgu, mis lubas mul jäädvustada iga nutitelefonist Internetti saadetava andmepaketi. Tahtsin teada saada, kas mõni minu seade saadab salaja andmeid kaugserveritesse ilma minu teadmata. Kas mu telefon luurab mind?

Seadistamine

Kogu nutitelefonist edasi-tagasi voolava teabe hõivamiseks oli vaja privaatset võrku, ühte, kus ma olen boss, kus ma olen juur, kus olen administraator. Kui mul on võrgu üle täielik kontroll, saan jälgida kõike, mis võrku läheb ja sealt välja tuleb. Selleks seadistasin vaarikapi Wi-Fi pääsupunktiks. Ma nimetasin seda kujutluslikult PiNetiks. Järgmisena ühendasin testitava nutitelefoni PiNetiga ja keelasin mobiilse andmeside (et olla kaks korda kindel, et teen kogu liikluse). Sel hetkel oli nutitelefon ühendatud Raspberry Pi-ga, kuid ei midagi muud. Järgmine samm on Pi konfigureerimine edastama kogu liiklus, mida see Internetti saab. Seetõttu on Pi nii suurepärane seade, kuna paljudel mudelitel on pardal nii WiFi kui ka Ethernet. Ühendasin Etherneti oma ruuteriga ja nüüd peab kõik, mida nutitelefon saadab ja vastu võtab, voolama läbi Raspberry Pi.

Seal on palju võrguanalüüsi tööriistu ja üks populaarsemaid on WireShark. See võimaldab hõivata ja töödelda kõiki võrgu kaudu lendavaid andmepakette. Oma Pi abil nutitelefonide ja Interneti vahel kasutasin kõigi andmete hõivamiseks WireSharki. Pärast pildistamist sain seda vabal ajal analüüsida. Meetodi „Jäädvusta kohe, küsi hiljem küsimusi” eeliseks on see, et võin jätta seadistuse üleöö käima ja vaadata, millised saladused mu nutitelefoni keset ööd paljastavad!

Testisin nelja seadet:

• Huawei Mate 8
• Pixel 3 XL
• OnePlus 6T
• Galaxy Note 9

Mida ma nägin

Esimene asi, mida ma märkasin, oli meie nutitelefonide vestlus Google'iga palju. Arvan, et see ei tohiks mind üllatada - kogu Androidi ökosüsteem on üles ehitatud Google'i teenuste ümber -, kuid oli huvitav näha, kuidas mõni seade unest üles ärgates ta teie Gmaili ja praegust võrguaega (NTP kaudu) üles kraabib ja kontrollib ja terve hunnik muid asju. Mind üllatas ka see, kui palju domeeninimesid Google omab. Ma ootasin, et kõik serverid oleksid midagi.whatever.google.com, kuid Google'il on domeenid selliste nimedega nagu 1e100.net (mis on vist viide Googleolplexile), gstatic.com, crashlytics.com jne.

Kontrollisin ja kontrollisin igat domeeni ja igat IP-aadressi, millega testiseadmed ühendust võtsid, et olla kindel, et teadsin, kellega mu nutitelefon räägib.

Lisaks Google'iga rääkimisele tunduvad meie nutitelefonid üsna muretud sotsiaalsed liblikad ja neil on lai sõpruskond. Need on muidugi otseselt võrdelised installitud rakenduste arvuga. Kui teil on installitud WhatsApp ja Twitter, siis arvake ära, mida teie seade võtab regulaarselt ühendust WhatsApi ja Twitteri serveritega!

Kas ma nägin mingeid ebaharilikke ühendusi Hiina, Venemaa või Põhja-Korea serveritega? Ei

Kuulutused

Mida nutitelefon sageli teeb, on reklaamide saamiseks ühenduse loomine sisuedastusvõrkudega. Jällegi sõltub teie installitud rakendustest, milliste võrkudega see ühendatakse ja kui palju. Enamik reklaami toetatud rakendusi kasutab reklaamivõrgu pakutavaid raamatukogusid, mis tähendab, et rakenduse arendajal on vähe või puudub üldse teadmine reklaamide tegeliku esitamise kohta või selle kohta, milliseid andmeid reklaamivõrku saadetakse. Kõige tavalisemad reklaamiteenuse pakkujad, mida ma nägin, olid Doubleclick ja Akamai.

Privaatsuse osas võivad need reklaamiteegid olla vaieldav teema, kuna põhimõtteliselt usaldab rakenduste arendaja platvormi, et see teeb andmetega õigesti ja saadab ainult seda, mis on reklaamide esitamiseks tingimata vajalik. Oleme kõik näinud, kui usaldusväärsed reklaamiplatvormid on veebi igapäevasel kasutamisel. Hüpikud, hüpikaknad, videote automaatne esitamine, sobimatud reklaamid, reklaamid, mis võtavad üle kogu ekraani - nimekiri jätkub. Kui reklaamid poleks nii pealetükkivad, poleks kunagi blokeerijaid.

Amazoni AWS

Nägin üsna vähe võrgutegevusi, mis on seotud Amazoni veebiteenustega (AWS). Suure pilveserveri pakkujana on Amazon sageli loogiline valik rakenduse arendajatele, kes vajavad serveris andmebaase ja muid töötlemisvõimalusi, kuid ei soovi oma füüsilisi servereid säilitada.

Üldiselt tuleks ühendusi AWS-iga pidada kahjutuks. Nad on seal, et pakkuda teie soovitud teenuseid. Kuid see rõhutab ühendatud seadmete avatud olemust. Kui olete rakenduse installinud, võib see saata kõik kogutud andmed valeandmetele isegi usaldusväärse teenusepakkuja kaudu, näiteks Amazon. Android kaitseb seda mitmel viisil, sealhulgas rakenduste lubade jõustamisega ja selliste teenustega nagu Play Protect. Seetõttu võivad külglaadimisega rakendused olla väga ohtlikud.

OK, Google

Kuna PiNet lubas mul lüüa iga võrgupaketi, soovisin huviga kontrollida, kas Google mind salaja luurab, aktiveerides mu Pixel 3 XL mikrofoni ja saates andmed Google'ile. Kui aktiveerite rakenduses Voice Match seadme Pixel 3 XL, kuulab see püsivalt võtmelauseid „OK Google” või „Hei Google”. Kuulamine kõlab püsivalt minu jaoks ohtlikult. Nagu iga poliitik teile ütleb, on avatud mikrofon oht, mida tuleb iga hinna eest vältida!

Seade on ette nähtud võtmelause kohalikuks kuulamiseks ilma Interneti-ühenduseta. Kui võtmefraasi ei kuule, ei juhtu midagi. Kui võtmefraas on tuvastatud, saadab seade Google'i serveritesse katkendi, et kontrollida veelkord, kas see oli valepositiivne. Kui kõik saab teada, saadab seade heli Google'ile reaalajas, kuni käsust aru saadakse või seade aegub.

Seda ma nägin.

Võrguliiklust pole üldse, isegi kui ma rääkisin otse telefoniga. Kui ma ütlesin “Hei Google”, saadeti Google'ile reaalajas võrguliikluse voog, kuni interaktsioon lakkas. Proovisin Pixel 3 XL-i ära trügida võtmelause väikeste variatsioonidega, näiteks „Palveta Google” või „Kuule Goggle”. Ükskord õnnestus mul see saata Google'ile edasiseks valideerimiseks katkend, kuid seade ei saanud kinnitust ja nii Assistent ei aktiveerunud.

Mida Google minust teab?

Google pakub teenust nimega Takeout, mis võimaldab teil kõik oma andmed Google'ilt alla laadida, näiliselt, nii et saate oma andmed teistele teenustele üle viia. Kuid see on ka hea viis näha, millised andmed Googleil teie kohta on. Kui proovite kõike alla laadida, võib tulemuseks olev arhiiv olla tohutu (võib-olla üle 50 GB), kuid see sisaldab kõiki teie fotosid, kõiki videoklippe, kõiki faile, mille olete Google Drive'i salvestanud, kõike, mille olete YouTube'i üles laadinud, kõiki teie e-kirju , ja nii edasi. Privaatsuse kontrollimise viisina ei pea ma nägema, millised fotod Google'il on, ma tean seda juba. Samamoodi tean, mis meilid mul on, mis failid mul on Google Drive'is jne. Kui ma need mahukad meediumielemendid allalaadimisest välja jätan ja keskendun tegevusele ja metaandmetele, võib allalaadimine olla üsna väike.

Laadisin hiljuti oma Takeouti ja käisin ringi, et näha, mida Google minust teab. Andmed saabuvad ühe või mitme .zip-failina, mis sisaldavad kõigi eri valdkondade kaustu, sealhulgas Chrome, Google Pay, Google Play muusika, minu tegevus, ostud, ülesanne ja nii edasi.

Igasse kausta sukeldumine näitab, mida Google teie kohta selles piirkonnas teab. Näiteks on minu Chrome'i järjehoidjate koopia ja minu Google Play muusikas loodud esitusloendite koopia. Alguses polnud midagi üllatavat. Ootasin oma meeldetuletuste loendit, kuna koostasin need Google Assistantis, seega peaks Google'il olema nende koopia. Kuid oli üks või kaks üllatust, isegi kellegi jaoks, kes oli sama tehniline asjatundja kui mina.

Esimene neist oli kaust MP3-salvestustega kõigest, mida ma kunagi ütlesin. Samuti oli HTML-fail kõigi nende käskude ärakirjaga. Selgituseks, need on käsud, mille andsin Google Assistantile pärast selle aktiveerimist funktsiooniga „Hei Google”. Ausalt öeldes ei eeldanud ma, et Google hoiab kõigi minu käskude MP3-faili.OK, ma saan aru, et abistaja kvaliteedi kontrollimisel on teatav tehniline väärtus, kuid ma ei arva, et Google peab neid helifaile säilitama. See on natuke palju.

Seal oli ka nimekiri kõigist artiklitest, mida ma kunagi Google News'is lugenud olen, salvestus iga kord, kui ma Solitaire'i mängisin, ja kõik otsingud, mida olen teinud Google Play muusikas juba peaaegu viis aastat tagasi!

Selgub, et Google töötleb kõiki teie e-posti aadresse, kus otsite oste, ja loob neist kirje.

See, mis mind tõeliselt šokeeris, oli kaustas Ostud. Siin oli Google'il rekord kõigest, mida ma kunagi veebist olen ostnud. Vanim ese oli aastast 2010, kui ostsin mõned lennupiletid. Siinkohal on asi selles, et ma ei ostnud neid pileteid ega ühtegi eset Google'i kaudu. Mul on Amazonist, eBayst ja iTunesist pärit üksuste osturegistrid. Seal on isegi andmeid minu ostetud sünnipäevakaartide kohta.

Süvenedes hakkasin leidma oste, mida ma ei teinud! Pärast mõningast peast kratsimist selgub, et need kirjed on Google'i poolt mu e-kirju töötlemise ja tehtud ostude põhjal arvamise tulemus. Tõenäoliselt olete seda eriti lendude osas näinud. Kui avate mõne lennuettevõtja meili, siis lisab Gmail teie lennu ülaosas olevale spetsiaalsele vahekaardile kasulikku kokkuvõtlikku teavet oma lennu kohta.

Selgub, et Google töötleb kõiki teie e-posti aadresse, kus otsite oste, ja loob neist kirje. Kui keegi edastab teile meili selle kohta, mille nad on ostnud, saab Google seda isegi tahtmatult teie tehtud ostuna sõeluda!

Aga Facebook, Twitter ja teised?

Sotsiaalmeedia ja privaatsus on mõnes mõttes vastuolulised. Nagu ütles Harold Finch sotsiaalmeedias telesaates Huvitav, ütles valitsus: “Valitsus oli aastaid püüdnud seda välja mõelda. Selgub, et enamik inimesi oli selle vabatahtlikult vabatahtlik. ”Sotsiaalmeedia abil postitame meelsasti teavet, sealhulgas sünnipäevi, nimesid, sõpru, kolleege, fotosid, huvisid, sooviloendeid ja püüdlusi. Pärast kogu selle teabe avaldamist oleme šokeeritud, kui seda kasutatakse viisil, mida me ei kavatsenud. Nagu teine ​​kuulus tegelane ütles hasartmängusaali kohta, käis ta sagedamini: "Ma olen šokeeritud, šokeeritud, kui leian, et siin hasartmänge tehakse!"

Kõigil suurtel sotsiaalmeedia saitidel, sealhulgas Facebookil ja Twitteril, on privaatsuseeskirjad ja need on üsna laialt levinud. Siin on katkend Twitteri poliitikast:

„Lisaks teabele, mida jagate meiega, kasutame teie vidinaid, teie loetud sisu, teile meeldinud või uuesti värskendatud sisu ja muud teavet, et teha kindlaks, millised teemad teid huvitavad, teie vanus, keeled, mida räägite, ja muud signaalid et näidata teile asjakohasemat sisu. ”

Niisiis, kas teie seade loob ühenduse Twitteriga ja võimaldab Twitteril tuvastada selliseid asju nagu teie vanus, teie räägitav keel ja mis huvitavad? Muidugi.

See profiilib teid - ja lasite sellel seda teha.

Siin on põhiküsimus: kui mul ei oleks nutitelefoni, kas see takistaks üksustel mind luuramast, kui nad seda tahaksid?

Potentsiaalne vs tegelik

Ühendatud seadmete ja sidusüksuste suurim probleem pole mitte see, mida nad teevad, vaid see, mida nad teha võiksid. Kasutasin väljendit „üksused” tahtlikult, kuna massijälgimise, luuramise ja profiilide koostamise ohud ei puuduta ainult Google'i või Facebooki. Ignoreerides nii ehtsaid tarkvaravigu (vigu) kui ka suurte veebiettevõtete tavapäraseid ärimudeleid, on üsna kindel öelda, et Google ei nuhkle teid. Samuti pole Facebook. Samuti ei ole valitsus. See ei tähenda, et nad ei saa - või ei saa.

Kas mõni häkker või valitsuse spioon aktiveerib kuskil telefoni mikrofoni teie kuulamiseks? Ei, aga nad suutsid. Nagu nägime hiljuti Jamal Khashoggi mõrvaga seotud sündmuste kohta, võivad üksused teid petta teid luurava rakenduse installimisel. Ettevõtted nagu Zerodium müüvad valitsustele nullpäevaseid turvaauke, mis võivad lubada pahatahtlike rakenduste (näiteks Pegasus) installimise teie seadmesse ilma teie teadmata.

Kas ma nägin oma seadmetega sellist tegevust? Ei, kuid ma ei ole sellise jälitustegevuse ja koljutõmbe tõenäoline sihtmärk. See võib ikkagi juhtuda kellegi teisega.

Siin on põhiküsimus: kui mul ei oleks nutitelefoni, kas see takistaks üksustel mind luuramast, kui nad seda tahaksid?

Enne nutitelefonide turuletulekut oli iga suurem maailma valitsus juba luuramise ja jälgimisega seotud. Teise maailmasõja võitis tõenäoliselt Enigma koodi purustamine ja luureandmetele juurdepääsu saamine. Nutitelefonid pole süüdi, kuid nüüd on rünnakupiirkond suurem - teisisõnu on rohkem võimalusi teid luurata.

Tõmba otsad kokku

Pärast katsetamist olen kindel, et ükski minu kasutatud seade ei tee midagi ebaharilikku ega pahatahtlikku. Privaatsuse küsimus on aga suurem kui lihtsalt seade, mis ei ole tahtlikult pahatahtlik. Selliste ettevõtete nagu Google, Facebook ja Twitter äritavad on väga vaieldavad ja näib, et need suruvad sageli privaatsuse piire.

Mis puutub nuhkimisse, siis minu maja taha pole pargitud ühtegi valget kaubikut, kes jälgiks mu liikumist ja suunataks suunavat mikrofoni minu akendele. Ma lihtsalt kontrollisin. Keegi ei häiri mu telefoni. See ei tähenda, et nad seda ei saaks.