Tartalom
- Beállít
- Amit láttam
- A hirdetések
- Amazon AWS
- Rendben, Google
- Mit tud a Google rólam?
- Mi a helyzet a Facebook, a Twitter és másokkal?
- Potenciális vs tényleges
- Wrap-up
A digitális adatvédelem egy forró téma. Olyan korszakba költöztünk, ahol szinte mindenkinek van csatlakoztatott eszköze. Mindenkinek van fényképezőgép. Napi tevékenységeink nagy részét - a busszal való utazástól a bankszámlánk eléréséig - online végzik. Felmerül a kérdés: „ki nyomon követi ezeket az adatokat?”
A világ legnagyobb technológiai vállalatainak néhány ellenőrzése alatt áll az adataink felhasználása. Mit tud a Google rólad? Átlátható-e a Facebook az Ön adatainak kezelésében? Huawei kém ránk?
Annak megkísérlésére, hogy megválaszoljuk a fenti kérdések némelyikét, létrehoztam egy speciális Wi-Fi hálózatot, amely lehetővé tette minden okostelefonról az internetre küldött adatcsomag rögzítését. Látni akartam, hogy valamelyik eszköz titokban küld-e adatokat távoli szerverekre tudásom nélkül. Kémül a telefonom?
Beállít
Az összes okostelefonról előre-vissza áramló adat rögzítéséhez privát hálózatra volt szükségem, egyre, ahol én vagyok a főnök, ahol root vagyok, ahol admin vagyok. Miután teljes mértékben irányítottam a hálózatot, megfigyelhetek mindent, ami be- és kikapcsol a hálózaton. Ehhez beállítottam egy Raspberry Pi-t Wi-Fi hozzáférési pontként. Képzelettel PiNetnek hívtam. Ezután a tesztelt okostelefont összekapcsoltam a PiNettel és a letiltott mobil adatokkal (hogy kettős lehessek abban, hogy megszerezem az összes forgalmat). Ezen a ponton az okostelefon csatlakoztatva volt a Raspberry Pi-hez, de semmi más. A következő lépés a Pi konfigurálása az összes forgalom továbbítására az Internetre. Ez az oka annak, hogy a Pi olyan nagyszerű eszköz, mivel sok modellben mind a Wi-Fi, mind az Ethernet be van építve. Csatlakoztam az Ethernet-et az útválasztómhoz, és most mindent, amit az okostelefon küld és fogad, a Raspberry Pi-en keresztül kell áramolnia.
Sok hálózati elemző eszköz létezik, és az egyik legnépszerűbb a WireShark. Ez lehetővé teszi a hálózaton át repülő minden adatcsomag valós idejű rögzítését és feldolgozását. A Pi segítségével az okostelefonom és az internet között a WireShark-ot használtam az összes adat rögzítésére. Miután elfogták, szabadidőn elemeztem. A „Most készítsen, kérdéseket tegyen fel később” módszer előnye, hogy hagyhatom a beállítást egy éjszakán futás közben, és éjszaka közepén megnézem, mi rejti az okostelefonom titkait!
Négy eszközt teszteltem:
- Huawei Mate 8
- Pixel 3 XL
- OnePlus 6T
- Galaxy Note 9
Amit láttam
Az első dolog, amit észrevettem, az okostelefonjaink beszélgetése a Google-lal nagyon. Azt hiszem, nem kellene meglepnie - az egész Android-ökoszisztéma a Google szolgáltatásaira épül -, de érdekes volt látni, hogy mikor felébresztem egy készüléket alvás közben, lerobbant és ellenőrzi a Gmail-edet és az aktuális hálózati időt (NTP-n keresztül). és egy csomó más dolgot. Azt is meglepte, hogy hány domain név tartozik a Google tulajdonába. Arra számítottam, hogy minden szerver létezik something.whatever.google.com, de a Google rendelkezik olyan domainnevekkel, mint például az 1e100.net (ami azt hiszem, egy hivatkozás a Google Google-okhoz), a gstatic.com, a crashlytics.com és így tovább.
Megvizsgáltam és ellenőriztem minden tartományt és minden IP-címet, amellyel a tesztelő eszközök kapcsolatba léptek, hogy megbizonyosodjak arról, tudom, kivel az okostelefonom beszél.
Amellett, hogy a Google-val beszélgetünk, okostelefonjaink nagyon gondtalan társadalmi pillangóknak tűnnek, és széles baráti kört mutatnak. Ezek természetesen közvetlenül arányosak azzal, hogy hány alkalmazást telepített. Ha telepítette a WhatsApp-ot és a Twitter-t, akkor gondold ki, mi készüléke rendszeresen kapcsolatba lép a WhatsApp és a Twitter szervereivel!
Láttam valamilyen rossz kapcsolatot a Kínában, Oroszországban vagy Észak-Koreában levő kiszolgálókkal? Nem.
A hirdetések
Az okostelefon gyakran oly módon csatlakozik a tartalomszolgáltató hálózatokhoz, hogy hirdetéseket kapjon. A telepített alkalmazásoktól függ, hogy mely hálózatokhoz csatlakozik, és hányszor. A legtöbb hirdetéssel támogatott alkalmazás a hirdetési hálózat által biztosított könyvtárakat fogja használni, ami azt jelenti, hogy az alkalmazásfejlesztőnek kevés vagy nincs ismerete a hirdetések tényleges megjelenítésének módjáról, illetve arról, hogy milyen adatok kerülnek a hirdetési hálózatra. A leggyakoribb hirdetési szolgáltatók, amelyeket a Doubleclick és az Akamai láttam.
A magánélet szempontjából ezek a hirdetési könyvtárak ellentmondásos témák lehetnek, mivel az alkalmazásfejlesztők alapvetően abban bíznak a platformon, hogy az adatokkal helyesen cselekszik, és csak azt küldik el, amely szigorúan szükséges a hirdetések megjelenítéséhez. Mindannyian láthattuk, mennyire megbízható hirdetési platformok a web mindennapi használata során. Előugró ablakok, felbukkanó ablakok, automatikusan lejátszott videók, nem megfelelő hirdetések, az egész képernyőt átvevő hirdetések - a lista folytatódik. Ha a hirdetések nem lennének olyan zavaróak, soha nem lesznek blokkolók.
Amazon AWS
Valószínűleg láttam az Amazon webszolgáltatásokkal (AWS) kapcsolatos hálózati tevékenységeket. Fontos felhőkiszolgáló-szolgáltatóként az Amazon gyakran logikus választás azoknak az alkalmazásfejlesztőknek, akiknek adatbázisra és egyéb feldolgozási képességekre van szükségük egy kiszolgálón, de nem akarják fenntartani saját fizikai kiszolgálóikat.
Összességében az AWS-hez való kapcsolódást ártalmatlannak kell tekinteni. Ott vannak, hogy biztosítsák a kért szolgáltatásokat. Ugyanakkor kiemeli a csatlakoztatott eszközök nyitott természetét. Ha telepít egy alkalmazást, akkor lehetősége van arra, hogy az összes összegyűjtött adatot elküldje téves üzenetnek, még olyan megbízható szolgáltatón keresztül, mint az Amazon. Az Android többféle módon védi ezt, többek között az alkalmazások engedélyének érvényesítésével és olyan szolgáltatásokkal, mint a Play Protect. Ez az oka annak, hogy az oldalsó betöltő alkalmazások nagyon veszélyesek lehetnek.
Rendben, Google
Mivel a PiNet lehetővé tette számomra, hogy minden hálózati csomagot elfogjak, szívesen ellenőriztem, hogy a Google titokban kémkedett-e engem a Pixel 3 XL készüléken lévő mikrofon aktiválásával és az adatok elküldésével a Google felé. Amikor bekapcsolja a Voice Match funkciót a Pixel 3 XL készülékén, végighallgatja az „OK Google” vagy a „Hé Google” kulcsfontosságú kifejezéseket. A hallgatás tartósan veszélyesnek tűnik számomra. Mint minden politikus elmondja neked, a nyílt mikrofon veszélyt jelent, amelyet minden áron el kell kerülni!
Az eszköz célja, hogy helyben hallgassa meg a kulcsszót, anélkül, hogy csatlakozna az internethez. Ha a kulcsfontosságú kifejezést nem hallja, akkor semmi sem történik. Miután a kulcsfontosságú kifejezést észlelték, az eszköz kivonatot küld a Google kiszolgálóinak, hogy megismételjék, hogy hamis pozitív volt-e. Ha mindent ellenőriz, az eszköz valós időben hangot küld a Google-nak, amíg meg nem értik a parancsot, vagy az eszköz le nem jár.
Ezt láttam.
Egyáltalán nincs hálózati forgalom, még akkor sem, ha közvetlenül telefonon beszéltem. Abban a pillanatban, amikor mondtam: „Hé Google”, a valós idejű hálózati forgalmat továbbítottuk a Google-nak, amíg az interakció meg nem állt. Megpróbáltam becsapni a Pixel 3 XL-t olyan kulcsszavak kis változataival, mint a „Pray Google” vagy a „Hey Goggle”. Egyszer sikerült beszereznem egy részlet a Google-nak további érvényesítés céljából, de az eszköz nem kapott megerősítést, és így Az asszisztens nem aktiválódott.
Mit tud a Google rólam?
A Google a Takeout nevű szolgáltatást kínálja, amely lehetővé teszi az összes adat letöltését a Google-tól, látszólag úgy, hogy adatait más szolgáltatásokba migrálhassa. Ugyanakkor ez is jó módja annak, hogy megnézze, milyen adatokkal rendelkezik a Google rólad. Ha mindent megpróbál letölteni, akkor a kapott archívum hatalmas lehet (esetleg több mint 50 GB), de ez tartalmazza az összes fotót, minden videoklipet, minden fájlt, amelyet a Google Drive-ra mentett, minden, amit a YouTube-ra feltöltött, minden e-mailjét , stb. A magánélet ellenőrzésének módjaként nem kell látnom, melyik fotó található a Google-ban, ezt már tudom. Hasonlóképpen, tudom, hogy milyen e-maileket kapok, milyen fájlokat tárolok a Google Drive-on stb. Ha azonban kizárom ezeket a terjedelmes médiaelemeket a letöltésből, és a tevékenységekre és a metaadatokra összpontosítom, a letöltés meglehetősen kicsi lehet.
Nemrég töltöttem le a Takeout-ot, és köröztem, hogy megnézze, mit tud a Google rólam. Az adatok egy vagy több .zip fájlként érkeznek, amelyek mappákat tartalmaznak a különféle területeken, beleértve a Chrome-ot, a Google Pay-t, a Google Play Zenét, a Saját tevékenységemet, a Beszerzéseket, a Feladatot és így tovább.
Az egyes mappákba merülés megmutatja, mit tud a Google rólad az adott területen. Például van egy Chrome-könyvjelzőim és a Google Play Zenén létrehozott lejátszási listák másolata. Eleinte semmi meglepő nem volt. Vártam az emlékeztetőim listáját, mivel a Google Asszisztens segítségével készítettem őket, tehát a Google-nak rendelkeznie kellene ezek másolatával. De volt egy vagy két meglepetés, még olyan ember számára is, aki olyan tech-hozzáértő, mint én.
Az első egy MP3-felvételek mappája volt, amelyben mindent elmondtam. Volt egy HTML fájl, amely tartalmazza az összes parancs átiratát. A tisztázás kedvéért ezeket a parancsokat adtam a Google Asszisztensnek, miután aktiválta a „Hé Google” szolgáltatással. Hogy őszinte legyek, nem számítottam arra, hogy a Google megőrzi az összes parancsomat MP3 fájlt.Rendben, tudom, hogy van valami műszaki érték abban, hogy ellenőrizhessük az asszisztens minőségét, de nem hiszem, hogy a Google-nak meg kellene őriznie ezeket az audio fájlokat. Egy kicsit sok.
Megtalálható volt az összes cikk, amelyet valaha olvastam a Google Hírekben, minden olyan alkalom, amikor játszottam a pasziánszot, és az összes olyan keresésem, amelyet majdnem öt évvel ezelőtt végeztem a Google Play Zenén!
Kiderül, hogy a Google feldolgozza az összes e-mailt, amelyben vásárol, és nyilvántartást készít ezekről.
Az, ami igazán megdöbbent, a Beszerzések mappában található. Itt a Google nyilvántartott mindent, amit valaha online vásároltam. A legrégebbi cikk 2010-től volt, amikor vásároltam néhány repülőjegyet. A lényeg az, hogy nem vásároltam ezeket a jegyeket, vagy bármelyik elemet a Google-on keresztül. Vásárlási nyilvántartásaim vannak az Amazon, az eBay és az iTunes tételeiről. Vannak nyilvántartások a születésnapi kártyákról is, amelyeket vettem.
Mélyebben ásni kezdtem olyan vásárlásokat, amelyeket nem tettem meg! Néhány fej megkarcolás után kiderül, hogy ezek a nyilvántartások annak eredményei, hogy a Google feldolgozta az e-mailjeimet és kitalálta a vásárlásaimat. Valószínűleg ezt látta különösen a járatok tekintetében. Ha e-mailt nyit meg egy légitársaságtól, akkor a Gmail a (z) tetején található speciális lapon segítséget nyújt az Ön repülésével kapcsolatos összefoglaló információkkal.
Kiderül, hogy a Google feldolgozza az összes e-mailt, amelyben vásárol, és nyilvántartást készít ezekről. Amikor valaki e-mailt küld Önnek valami megvásárolt termékről, a Google akár véletlenül is elemezheti azt vásárlásként!
Mi a helyzet a Facebook, a Twitter és másokkal?
A közösségi média és a magánélet bizonyos értelemben ellentmondásos. Ahogyan Harold Finch elmondta a Személyes érdeklődés a szociális média című TV-műsorban: „A kormány évek óta próbálta kitalálni. Kiderült, hogy a legtöbb ember szívesen vállalta önként. ”A szociális média segítségével szívesen közzéteszünk információkat, beleértve születésnapokat, neveket, barátokat, kollégákat, fényképeket, érdeklődési köröket, kívánságlistákat és törekvéseket. Ezután az összes információ közzététele után megdöbbentő vagyunk, amikor az olyan módon kerül felhasználásra, amelyet nem szándékoztuk. Ahogy egy másik híres karakter egy szerencsejáték-teremről beszélt, ő gyakran fordult: "Döbbenten vagyok, megdöbbenve, hogy rájöttem, hogy itt zajlik a szerencsejáték!"
Az összes nagy közösségi média-oldal, köztük a Facebook és a Twitter, rendelkezik adatvédelmi politikákkal, és meglehetősen széles körűek abban, amit lefednek. Itt egy kivonat a Twitter politikájából:
„A velünk megosztott információkon túl a tweeteidet, az elolvasott tartalmat, a tetszésnyilvántartást vagy a retweetet és más információkat használunk annak meghatározására, hogy mely témákban érdekli Önt, korát, a beszélt nyelveket és egyéb jeleket relevánsabb tartalom megmutatása érdekében. ”
Tehát csatlakozik-e eszköze a Twitter-hez, és lehetővé teszi-e a Twitter számára, hogy meghatározza az életkorát, a beszélt nyelvet, és mi érdekli Önt? Biztos.
Profilálja Önt - és hagyod, hogy megtegye.
Itt van a legfontosabb kérdés: ha nincs okostelefonom, megállíthatja-e az entitásokat, hogy kémkedjenek, ha akarnak?
Potenciális vs tényleges
A csatlakoztatott eszközökkel és az online szervezetekkel a legnagyobb probléma nem az, amit csinálnak, hanem az, hogy mit tudnak tenni. Az „entitások” kifejezést szándékosan használtam, mert a tömeges megfigyelés, a kémkedés és a profilozás veszélyei nemcsak a Google-ra vagy a Facebookra vonatkoznak. Ha nem vesszük figyelembe a valódi szoftverhibákat (hibákat), valamint a nagy online cégek szokásos üzleti modelljeit, elég biztonságos azt mondani, hogy a Google nem kémked téged. A Facebook sem. A kormány sem. Ez nem azt jelenti, hogy nem tudják - vagy nem is.
Van valami hacker vagy állami kém, aki aktiválja a telefon mikrofonját, hogy meghallgasson? Nem, de megtehetik. Amint a közelmúltban láttuk Jamal Khashoggi meggyilkolásával kapcsolatos eseményekkel, az entitások becsaphatják Önt egy kémkedõ alkalmazás telepítésébe. Az olyan vállalatok, mint a Zerodium, nulla napos sérülékenységeket árulnak el a kormányoknak, amelyek lehetővé tehetik a rosszindulatú alkalmazások (például a Pegasus) telepítését az eszközére anélkül, hogy tudnának.
Láttam ilyen tevékenységeket az eszközökkel? Nem, de én nem vagyok valószínű célpontja az ilyen megfigyelésnek és a koponyafedésnek. Még mindig történhet valakivel.
Itt van a kulcskérdés: ha nincs okostelefonom, megállíthatja-e az entitásokat, hogy kémkedjenek rám, ha akarnak?
Az okostelefonok bevezetése előtt a világ minden nagyobb kormánya már részt vett a kémkedésben és a megfigyelésben. A II. Világháborút valószínűleg az Enigma-kód megtörésével és az általa elrejtett hírszerzéshez való hozzáféréssel nyerték meg. Az okostelefonok nem hibáztathatók, de most egy nagyobb támadási felület van, vagyis többféleképpen lehet kémkedni téged.
Wrap-up
A tesztelés után biztos vagyok benne, hogy az általam használt eszközök egyik sem szokatlan vagy rosszindulatú. A magánélet kérdése azonban nagyobb, mint pusztán egy eszköz, amely nem szándékosan rosszindulatú. A cégek, például a Google, a Facebook és a Twitter üzleti gyakorlata rendkívül vitatható, és úgy tűnik, hogy gyakran kitolják a magánélet határait.
Ami a kémkedést illeti, a házam előtt nincs parkoló fehér kisteherautó, amely figyeli a mozgásaimat és irányított mikrofont mutat az ablakon. Csak ellenőriztem. Senki sem zaklatja a telefonomat. Ez nem azt jelenti, hogy nem tudják.
