Conţinut

• Înființat
• Ce am vazut
• Anunțuri
• Amazon AWS
• OK, Google
• Ce știe Google despre mine?
• Ce zici de Facebook, Twitter și altele?
• Potențial vs Actual
• Învelire

Confidențialitatea digitală este un subiect fierbinte. Ne-am mutat într-o eră în care aproape toată lumea poartă un dispozitiv conectat. Toată lumea are o cameră foto. Multe dintre activitățile noastre zilnice - de la mersul cu autobuzul până la accesarea conturilor noastre bancare - sunt realizate online. Se pune întrebarea: „cine urmărește toate aceste date?”

Unele dintre cele mai mari companii tehnologice din lume sunt examinate cu privire la modul în care folosesc datele noastre. Ce știe Google despre tine? Este transparent Facebook despre modul în care vă gestionează datele? Huawei ne spionează?

Pentru a încerca să răspund la unele dintre aceste întrebări, am creat o rețea Wi-Fi specială care îmi permite să surprind fiecare pachet de date trimise de pe un smartphone pe Internet. Am vrut să văd dacă vreunul dintre dispozitivele mele trimite în secret date către serverele de la distanță, fără să știu. Telefonul mă spionează?

Înființat

Pentru a surprinde toate datele care curg înainte și înapoi de pe smartphone-ul meu, aveam nevoie de o rețea privată, unde sunt șeful, unde sunt root, unde sunt administrator. După ce am control complet asupra rețelei, pot monitoriza tot ceea ce intră și iese din rețea. Pentru a face acest lucru, am configurat un Raspberry Pi ca punct de acces Wi-Fi. L-am numit imaginativ PiNet. În continuare, am conectat smartphone-ul supus testului la datele mobile PiNet și dezactivate (pentru a fi dublu sigur că primesc tot traficul). În acest moment, smartphone-ul a fost conectat la Raspberry Pi, dar nimic altceva. Următorul pas este să configurați Pi-ul pentru a transmite tot traficul pe care-l iese pe Internet. Acesta este motivul pentru care Pi este un dispozitiv atât de grozav, deoarece multe modele au Wi-Fi și Ethernet la bord. Am conectat Ethernet-ul la routerul meu și acum tot ce trimite și primește smartphone-ul trebuie să curgă prin Raspberry Pi.

Există o mulțime de instrumente de analiză a rețelei și unul dintre cele mai populare este WireShark. Permite captarea și procesarea în timp real a fiecărui pachet de date care zboară pe o rețea. Cu Pi-ul meu dintre smartphone-urile și internetul, am folosit WireShark pentru a capta toate datele. Odată capturat, l-am putut analiza în timpul liber. Avantajul metodei „captura acum, pune întrebări mai târziu” este că pot lăsa instalarea să funcționeze peste noapte și să văd ce secrete îmi dezvăluie smartphone-ul în miez de noapte!

Am testat patru dispozitive:

• Huawei Mate 8
• Pixel 3 XL
• OnePlus 6T
• Galaxy Note 9

Ce am vazut

Primul lucru pe care l-am observat a fost că smartphone-urile noastre vorbesc cu Google mult. Bănuiesc că asta nu ar trebui să mă surprindă - întregul ecosistem Android este construit în jurul serviciilor Google - dar a fost interesant să văd cum când am trezit un dispozitiv din somn, se deranjează și verifică Gmail și ora curentă a rețelei (prin NTP) și o mulțime de alte lucruri. De asemenea, am fost surprins de câte nume de domenii deține Google. Mă așteptam să fie toate serverele something.whatever.google.com, dar Google are domenii cu nume precum 1e100.net (care cred că este o referire la un Googolplex), gstatic.com, crashlytics.com și așa mai departe.

Am verificat și verificat fiecare domeniu și fiecare adresă IP pe care au contactat dispozitivele de testare pentru a fi sigur că știu cu cine vorbește smartphone-ul meu.

Pe lângă faptul că vorbim cu Google, smartphone-urile noastre par fluturi sociali fără griji și au un cerc larg de prieteni. Acestea, desigur, sunt direct proporționale cu câte aplicații ați instalat. Dacă aveți WhatsApp și Twitter instalate, ghiciți ce, dispozitivul dvs. contactează serverele WhatsApp și Twitter în mod regulat!

Am văzut conexiuni nefaste la serverele din China, Rusia sau Coreea de Nord? Nu.

Anunțuri

Ceea ce face de multe ori smartphone-ul dvs. este să vă conectați la rețele de livrare de conținut pentru a obține reclame. Din nou, la ce rețele se conectează și câte, vor depinde de aplicațiile pe care le instalați. Majoritatea aplicațiilor acceptate de publicitate vor utiliza bibliotecile furnizate de rețeaua de anunțuri, ceea ce înseamnă că dezvoltatorul de aplicații nu are cunoștințe mici sau deloc despre modul în care sunt difuzate efectiv anunțurile sau despre ce date sunt trimise către rețeaua publicitară. Cei mai comuni furnizori de anunțuri pe care i-am văzut au fost Doubleclick și Akamai.

În ceea ce privește confidențialitatea, aceste biblioteci de anunțuri pot fi un subiect controversat, deoarece un dezvoltator de aplicații se bazează practic în platformă pentru a face ceea ce trebuie cu datele și pentru a trimite doar ceea ce este strict necesar pentru a difuza anunțurile. Cu toții am văzut cât de mult sunt platformele publicitare de încredere în timpul utilizării noastre zilnice a web-ului. Pop-up-uri, pop-uri, videoclipuri cu redare automată, reclame necorespunzătoare, anunțuri care preiau întregul ecran - lista continuă. Dacă anunțurile nu ar fi atât de intruzive, nu ar exista niciodată blocanți.

Amazon AWS

Am văzut un pic de activitate în rețea legată de serviciile web (AWS) ale Amazon. Ca un furnizor principal de server cloud, Amazon este adesea alegerea logică pentru dezvoltatorii de aplicații care au nevoie de baze de date și alte abilități de procesare pe un server, dar nu doresc să-și mențină propriile servere fizice.

În general, conexiunile la AWS ar trebui considerate nevinovate. Ei sunt acolo pentru a vă oferi serviciile pe care le-ați solicitat. Cu toate acestea, evidențiază natura deschisă a dispozitivelor conectate. Odată ce instalați o aplicație, există potențialul care poate trimite toate datele pe care le-a colectat către un abateri, chiar și prin intermediul unui furnizor de servicii de renume precum Amazon. Android protejează acest lucru în mai multe moduri, inclusiv prin aplicarea permisiunilor pentru aplicații și cu servicii precum Play Protect. Acesta este motivul pentru care aplicațiile de încărcare laterală pot fi foarte periculoase.

OK, Google

Întrucât PiNet mi-a permis să captez fiecare pachet de rețea, am fost dornic să verific dacă Google mă spiona în secret prin activarea microfonului pe Pixel 3 XL și trimiterea datelor către Google. Când activezi Voice Match pe Pixel 3 XL, acesta va asculta permanent cuvintele cheie „OK Google” sau „Hei Google”. Ascultarea permanentă îmi sună periculos. Așa cum vă va spune orice politician, microfonul deschis este un pericol de evitat cu orice preț!

Dispozitivul este menit să asculte local fraza de cheie, fără a vă conecta la internet. Dacă fraza cheie nu este auzită, nu se întâmplă nimic. Odată ce fraza de cheie este detectată, dispozitivul va trimite un fragment pe serverele Google pentru a verifica dublu dacă a fost o falsă pozitivă. Dacă totul se verifică, dispozitivul trimite audio către Google în timp real până când se înțelege o comandă sau dispozitivul expiră.

Asta am văzut.

Nu există deloc trafic de rețea, chiar și atunci când am vorbit direct la telefon. În momentul în care am spus „Hei Google”, un flux în timp real de trafic de rețea a fost trimis către Google, până când interacțiunea s-a oprit. Am încercat să păcălesc Pixel 3 XL cu ușoare variații ale frazei de cheie precum „Rugați Google” sau „Hei Goggle”. Odată am reușit să-l fac să trimit un fragment către Google pentru validare suplimentară, dar dispozitivul nu a primit confirmare și așa Asistentul nu a activat.

Ce știe Google despre mine?

Google oferă un serviciu numit Takeout care vă permite să descărcați toate datele de pe Google, în mod evident, astfel încât să puteți migra datele dvs. către alte servicii. Cu toate acestea, este, de asemenea, o modalitate bună de a vedea ce date are Google asupra ta. Dacă încercați să descărcați tot arhiva rezultată poate fi uriașă (poate mai mult de 50 GB), dar asta va include toate fotografiile, toate clipurile dvs. video, fiecare fișier pe care l-ați salvat pe Google Drive, tot ce ați încărcat pe YouTube, toate e-mailurile dvs. , si asa mai departe. Ca o modalitate de a verifica confidențialitatea, nu este necesar să văd ce fotografii are Google, știu asta deja. La fel, știu ce e-mailuri am, ce fișiere am pe Google Drive și așa mai departe. Cu toate acestea, dacă exclud acele descărcări de materiale voluminoase din descărcare și mă concentrez asupra activității și metadatelor, descărcarea poate fi destul de mică.

Mi-am descărcat recent Takeout și am avut o înțelegere pentru a vedea ce știe Google despre mine. Datele ajung ca unul sau mai multe fișiere .zip care conțin foldere pentru fiecare dintre diferitele domenii, inclusiv Chrome, Google Pay, Google Play Music, Activitatea mea, Achiziții, Task etc.

Scufundarea în fiecare dosar arată ce Google știe despre tine în acea zonă. De exemplu, există o copie a marcajelor mele Chrome și o copie a listelor de redare pe care le-am creat pe Google Play Music. La început, nu a fost nimic surprinzător. M-am așteptat la o listă cu mementourile mele, deoarece le-am creat folosind Google Assistant, așa că Google ar trebui să aibă o copie a acestora. Dar au fost una sau două surprize, chiar și pentru cineva la fel de „tehnologic” ca mine.

Primul a fost un dosar de înregistrări MP3 cu tot ce mi-am spus vreodată. Există, de asemenea, un fișier HTML cu o transcriere a tuturor acestor comenzi. Pentru a clarifica, acestea sunt comenzi pe care le-am dat asistentului Google după ce a fost activat cu „Hei Google.” Sincer, nu mă așteptam ca Google să păstreze un fișier MP3 cu toate comenzile mele.OK, am înțeles că există o anumită valoare inginerească pentru a putea verifica calitatea de asistent, dar nu cred că Google trebuie să păstreze aceste fișiere audio. Este cam mult.

A fost, de asemenea, o listă a tuturor articolelor pe care le-am citit vreodată pe Google News, o înregistrare de fiecare dată când am jucat Solitaire și toate căutările pe care le-am făcut pe Google Play Music se întorc de aproape cinci ani!

Se pare că Google procesează toate e-mailurile dvs. în căutarea cumpărăturilor și creează o înregistrare a acestora.

Cel care m-a șocat cu adevărat a fost în folderul Cumpărături. Aici Google a înregistrat tot ce am cumpărat vreodată online. Cel mai vechi articol a fost din 2010, când am cumpărat câteva bilete de avion. Ideea este că nu am cumpărat aceste bilete sau niciun articol, prin Google. Am înregistrări de achiziție pentru articole de pe Amazon, eBay și iTunes. Există chiar și înregistrări ale cărților de naștere pe care le-am cumpărat.

Săpând mai adânc, am început să găsesc achiziții pe care nu le-am făcut! După o zgâriere a capului, se dovedește că aceste înregistrări sunt rezultatele procesării Google a e-mailurilor mele și a ghicirii la achizițiile pe care le-am făcut. Ați văzut probabil acest lucru mai ales în ceea ce privește zborurile. Dacă deschideți un e-mail de la o companie aeriană, Gmail pune cu ajutor informații sumare despre zborul dvs. într-o filă specială din partea de sus a.

Se pare că Google procesează toate e-mailurile dvs. în căutarea cumpărăturilor și creează o înregistrare a acestora. Când cineva îți transmite un e-mail despre ceva pe care l-a achiziționat, Google poate chiar să-l analizeze din neatenție ca pe o achiziție pe care ai făcut-o!

Ce zici de Facebook, Twitter și altele?

Social media și confidențialitatea sunt, în unele moduri, contradictorii. Așa cum a spus Harold Finch în emisiunea TV Persoana de interes despre social media, „Guvernul încearcă să-și dea seama de ani de zile. S-a dovedit că majoritatea oamenilor au fost fericiți să o ofere voluntar. ”Cu ajutorul rețelelor de socializare, publicăm de bună voie informații inclusiv zile de naștere, nume, prieteni, colegi, fotografii, interese, liste de dorințe și aspirații. Apoi, după ce am publicat toate aceste informații, suntem șocați atunci când sunt utilizate în moduri în care nu intenționam. Așa cum spunea un alt personaj celebru despre o sală de jocuri de noroc, „sunt șocat, șocat să aflu că jocurile de noroc se întâmplă aici!”

Toate marile site-uri de socializare, inclusiv Facebook și Twitter, au politici de confidențialitate și sunt destul de ample în ceea ce acoperă. Iată un fragment din politica Twitter:

„Pe lângă informațiile pe care le împărtășiți cu noi, folosim Tweeturile dvs., conținutul pe care l-ați citit, v-a plăcut sau retweeted și alte informații pentru a determina ce subiecte vă interesează, vârsta, limbile pe care le vorbiți și alte semnale. pentru a vă arăta conținut mai relevant. ”

Deci, dispozitivul dvs. se conectează la Twitter și permite Twitter să determine lucruri precum vârsta ta, limba pe care o vorbești și ce lucruri te interesează? Sigur.

Te profilează - și îl lași să facă asta.

Iată întrebarea cheie: dacă nu aveam un smartphone, ar opri entitățile să mă spioneze dacă ar vrea?

Potențial vs Actual

Cea mai mare problemă cu dispozitivele conectate și entitățile online nu este ceea ce fac, ci ceea ce ar putea face. Am folosit intenția expresia „entități” întrucât pericolele din jurul supravegherii în masă, spionajului și profilării nu se referă doar la Google sau Facebook. Ignorând greșelile software reale (bug-uri), precum și modelele standard de afaceri ale marilor companii online, este destul de sigur să spunem că Google nu vă spionează. Nici Facebook nu este. Nici guvernul nu este. Asta nu înseamnă că nu pot sau nu vor.

Unii hackeri sau spion guvernamental activează undeva microfonul de pe telefon pentru a vă asculta? Nu, dar puteau. După cum am văzut recent cu evenimentele din jurul uciderii lui Jamal Khashoggi, entitățile vă pot păcăli în instalarea unei aplicații care vă spionează. Companii precum Zerodium vând vulnerabilități pentru o zi zero guvernelor, ceea ce ar putea permite ca aplicațiile rău intenționate (precum Pegasus) să fie instalate pe dispozitivul dvs. fără să știți.

Am văzut vreo astfel de activitate cu dispozitivele mele? Nu, dar nu sunt o țintă probabilă pentru o astfel de supraveghere și skullduggery. Se mai poate întâmpla cu altcineva.

Iată întrebarea cheie: dacă nu aveam un smartphone, ar opri entitățile să mă spioneze dacă ar vrea?

Înainte de lansarea smartphone-urilor, fiecare guvern important din lume era deja implicat în spionaj și supraveghere. Al Doilea Război Mondial a fost câștigat probabil prin ruperea codului Enigma și prin accesarea informațiilor pe care le-a ascuns. Smartphone-urile nu sunt de vină, dar acum există o suprafață de atac mai mare - cu alte cuvinte, există mai multe modalități de a vă spiona.

Învelire

În urma testării mele, sunt sigur că niciunul dintre dispozitivele pe care le-am folosit nu face nimic neobișnuit sau malefic. Cu toate acestea, problema confidențialității este mai mare decât un dispozitiv care nu este intenționat rău intenționat. Practicile comerciale ale companiilor precum Google, Facebook și Twitter sunt foarte discutabile și par adesea să împingă limitele confidențialității.

În ceea ce privește spionajul, nu există nicio furgonetă albă care a parcat în afara casei mele, urmărindu-mi mișcările și îndreptând un microfon direcțional spre geamurile mele. Tocmai am verificat. Nimeni nu mi-a piratat telefonul. Asta nu înseamnă că nu pot.