Obsah

• Založit
• Co jsem viděl
• Reklamy
• Amazon AWS
• Dobře, Google
• Co o mně Google ví?
• A co Facebook, Twitter a další?
• Potenciál vs Skutečné
• Zabalit

Digitální soukromí je žhavé téma. Přestěhovali jsme se do doby, kdy téměř každý nese připojené zařízení. Každý má kameru. Mnoho našich každodenních činností - od jízdy autobusem po přístup k našim bankovním účtům - se provádí online. Vyvstává otázka: „Kdo sleduje všechna ta data?“

Některé z největších světových technologických společností jsou pod kontrolou, jak používají naše data. Co o vás Google ví? Je Facebook transparentní, jak nakládá s vašimi daty? Špehuje na nás Huawei?

Abych se pokusil odpovědět na některé z těchto otázek, vytvořil jsem speciální síť Wi-Fi, která mi umožňuje zachytit každý balík dat odesílaných ze smartphonu na internet. Chtěl jsem zjistit, zda některá z mých zařízení tajně neposílala data na vzdálené servery bez mého vědomí. Je můj telefon špehuje mě?

Založit

Abych zachytil všechna data tekoucí ze smartphonu sem a tam, potřeboval jsem privátní síť, kde jsem šéf, kde jsem root, kde jsem admin. Jakmile budu mít plnou kontrolu nad sítí, mohu sledovat vše, co jde dovnitř a ven ze sítě. Za tímto účelem jsem nastavil Raspberry Pi jako přístupový bod Wi-Fi. Imaginativně jsem to nazval PiNet. Dále jsem připojil testovaný smartphone k PiNet a deaktivoval mobilní data (abych si byl jistý, že dostávám veškerý provoz). V tuto chvíli byl smartphone připojen k Raspberry Pi, ale nic jiného. Dalším krokem je nakonfigurovat Pi tak, aby předával veškerý provoz, který dostane, na internet. To je důvod, proč je Pi tak skvělé zařízení, protože mnoho modelů má na palubě Wi-Fi i Ethernet. Připojil jsem Ethernet k routeru a nyní vše, co smartphone odesílá a přijímá, musí procházet Raspberry Pi.

Existuje spousta nástrojů pro analýzu sítě a jedním z nejpopulárnějších je WireShark. Umožňuje zachycení a zpracování každého datového paketu létajícího v síti v reálném čase. S mým Pi mezi mými smartphony a internetem jsem použil WireShark k zachycení všech dat. Jakmile byl zajat, mohl jsem to analyzovat ve svém volném čase. Výhodou metody „Zachyťte hned, zeptejte se později“ je, že nechám nastavení běžet přes noc a uvidím, jaká tajemství můj smartphone odhaluje uprostřed noci!

Testoval jsem čtyři zařízení:

• Huawei Mate 8
• Pixel 3 XL
• OnePlus 6T
• Galaxy Note 9

Co jsem viděl

První věc, kterou jsem si všiml, byly naše chytré telefony mluvit s Google mnoho. Myslím, že by mě to nemělo překvapit - celý ekosystém Android je postaven na službách Google - ale bylo zajímavé sledovat, jak když jsem probudil zařízení ze spánku, vyškrábělo se a zkontroloval váš Gmail a aktuální síťový čas (prostřednictvím NTP) a spoustu dalších věcí. Také mě překvapilo, kolik doménových jmen Google vlastní. Čekal jsem, že všechny servery budou něco.whatever.google.com, ale Google má domény se jmény, jako je 1e100.net (což je podle mě odkaz na komplex Googol), gstatic.com, crashlytics.com atd.

Zkontroloval jsem a ověřil každou doménu a každou IP adresu, se kterými se testovací zařízení kontaktovala, abych si byl jistý, že vím, s kým můj telefon mluví.

Kromě rozhovoru s Googlem se naše chytré telefony zdají docela bezstarostné sociální motýly a mají široký okruh přátel. Tyto jsou samozřejmě přímo úměrné počtu aplikací, které jste nainstalovali. Pokud máte nainstalované WhatsApp a Twitter, hádejte co, vaše zařízení pravidelně kontaktuje servery WhatsApp a Twitter!

Viděl jsem nějaké škodlivé připojení k serverům v Číně, Rusku nebo Severní Koreji? Ne.

Reklamy

Váš smartphone se často připojuje k sítím pro doručování obsahu a získává reklamy. Které sítě se připojí a kolik bude opět záviset na nainstalovaných aplikacích. Většina aplikací podporujících reklamu bude používat knihovny poskytované reklamní sítí, což znamená, že vývojář aplikace má jen malou nebo žádnou znalost toho, jak se reklamy skutečně zobrazují nebo jaká data se do reklamní sítě odesílají. Nejběžnějšími poskytovateli reklamy, které jsem viděl, byli Doubleclick a Akamai.

Z hlediska ochrany osobních údajů mohou být tyto reklamní knihovny kontroverzním tématem, protože vývojář aplikace v podstatě důvěřuje platformě, aby s daty udělala správnou věc, a posílá pouze to, co je nezbytně nutné pro zobrazování reklam. Všichni jsme viděli, jak důvěryhodné reklamní platformy jsou při našem každodenním používání webu. Vyskakovací okna, vyskakovací okna, automaticky přehrávaná videa, nevhodné reklamy, reklamy, které přebírají celou obrazovku - seznam pokračuje. Pokud by reklamy nebyly tak rušivé, nikdy by blokace reklam neexistovaly.

Amazon AWS

Viděl jsem trochu síťové aktivity související s webovými službami Amazonu (AWS). Jako hlavní poskytovatel cloudových serverů je Amazon často logickou volbou pro vývojáře aplikací, kteří potřebují databáze a další možnosti zpracování na serveru, ale nechtějí si udržovat své vlastní fyzické servery.

Celkově by připojení k AWS mělo být považováno za neškodné. Jsou tam, aby poskytli požadované služby. Zdůrazňuje však otevřenou povahu připojených zařízení. Po instalaci aplikace existuje potenciál, že může odesílat veškerá data, která shromáždila, na miscreant, dokonce i přes renomovaného poskytovatele služeb, jako je Amazon. Android se proti tomu brání několika způsoby, například vynucením oprávnění k aplikacím a se službami, jako je Play Protect. Z tohoto důvodu mohou být aplikace pro boční načítání velmi nebezpečné.

Dobře, Google

Protože mi PiNet umožnil zachytit každý síťový paket, chtěl jsem zkontrolovat, zda Google na mě tajně špehuje aktivací mikrofonu na zařízení Pixel 3 XL a odesláním dat do Googlu. Když aktivujete Voice Match na Pixel 3 XL, bude trvale naslouchat klíčovým frázím „OK Google“ nebo „Hey Google“. Poslech trvale zní pro mě nebezpečně. Jak vám řekne kterýkoli politik, otevřený mikrofon je riziko, kterému byste se za každou cenu měli vyhnout!

Zařízení je určeno k místnímu naslouchání keyphrase bez připojení k internetu. Pokud klíčová fráze není slyšet, nic se nestane. Jakmile je klíčová fráze detekována, zařízení pošle na servery Google úryvek, aby znovu zkontrolovalo, zda se jednalo o falešně pozitivní. Pokud se vše odhlásí, zařízení odešle zvuk do Googlu v reálném čase, dokud nebude porozuměn některému příkazu nebo dokud nevyprší časový limit zařízení.

To jsem viděl.

Síťový provoz vůbec neexistuje, i když jsem mluvil přímo u telefonu. Ve chvíli, kdy jsem řekl „Ahoj Google“, byl do Googlu odeslán proud síťového provozu v reálném čase, dokud se interakce nezastavila. Snažil jsem se podvádět Pixel 3 XL s malými variacemi keyphrase jako „Pray Google“ nebo „Hey Goggle“. Jednou se mi podařilo získat to, aby poslal úryvek Googlu pro další ověření, ale zařízení nedostalo potvrzení a tak Asistent se neaktivoval.

Co o mně Google ví?

Google nabízí službu nazvanou Takeout, která vám umožňuje stahovat veškerá vaše data z Googlu, což zřejmě umožňuje migrovat data do jiných služeb. Je to však také dobrý způsob, jak zjistit, jaká data o vás Google má. Pokud se pokusíte stáhnout vše, co výsledný archiv může být obrovský (možná více než 50 GB), ale bude to zahrnovat všechny vaše fotografie, všechny vaše videoklipy, každý soubor, který jste uložili na Disk Google, vše, co jste nahráli na YouTube, všechny vaše e-maily , a tak dále. Jako způsob, jak zkontrolovat soukromí, nemusím vidět, které fotky Google má, už to vím. Stejně tak vím, jaké e-maily mám, jaké soubory mám na Disku Google atd. Pokud však vyloučím tyto objemné mediální položky ze stahování a soustředím se na aktivitu a metadata, stahování může být docela malé.

Nedávno jsem si stáhl Takeout a měl jsem kolem sebe hrabání, abych viděl, co o mně Google ví. Data přicházejí jako jeden nebo více souborů ZIP, které obsahují složky pro každou z různých oblastí, jako je Chrome, Google Pay, Hudba Google Play, Moje aktivita, Nákupy, Úkol atd.

Ponoření do každé složky ukazuje, co o vás Google v dané oblasti ví. Například existuje kopie mých záložek Chrome a kopie seznamů skladeb, které jsem vytvořil v Hudbě Google Play. Zpočátku nebylo nic překvapivého. Očekával jsem seznam svých připomenutí, protože jsem je vytvořil pomocí Google Assistant, takže Google by měl mít jejich kopii. Ale byla tu jedna nebo dvě překvapení, dokonce i pro někoho, kdo je „tech důvtipný“ jako já.

První byla složka nahrávek MP3 všeho, co jsem kdy řekl. Byl zde také soubor HTML s přepisem všech těchto příkazů. Abych to objasnil, jsou to příkazy, které jsem dal Asistentovi Google poté, co byl aktivován pomocí funkce „Ahoj Google“. Abych byl upřímný, neočekával jsem, že Google bude uchovávat soubor MP3 se všemi mými příkazy.Dobře, domnívám se, že existuje určitá technická hodnota v tom, že mohu zkontrolovat kvalitu asistenta, ale nemyslím si, že Google musí tyto zvukové soubory uchovávat. Je to trochu moc.

Byl tam také seznam všech článků, které jsem kdy četl ve Zprávách Google, záznam každé pokusy, kterou jsem hrál Solitaire, a všechna vyhledávání, která jsem provedl v Hudbě Google Play, se vrátili téměř pět let!

Ukázalo se, že Google zpracovává všechny vaše e-maily, které hledají nákupy, a vytváří z nich záznamy.

Ten, který mě opravdu šokoval, byl ve složce Nákupy. Zde Google zaznamenal vše, co jsem kdy koupil online. Nejstarší položka byla od roku 2010, kdy jsem si koupil nějaké letenky. Jde o to, že jsem si tyto lístky ani žádnou z položek nekoupil přes Google. Mám záznamy o nákupu zboží z Amazonu, eBay a iTunes. Existují dokonce záznamy o přáních k narozeninám, které jsem si koupil.

Hlubší kopání jsem začal hledat nákupy, které jsem neudělal! Po nějaké poškrábání hlavy se ukáže, že tyto záznamy jsou výsledky Google zpracovávající mé e-maily a hádání při nákupech, které jsem provedl. Pravděpodobně jste to viděli zejména s ohledem na lety. Pokud otevřete e-mail od letecké společnosti, Gmail pomůže uvést některé souhrnné informace o vašem letu na speciální kartu v horní části.

Ukázalo se, že Google zpracovává všechny vaše e-maily, které hledají nákupy, a vytváří z nich záznamy. Když vám někdo pošle e-mail o něčem, co si zakoupil, Google jej může nechtěně rozebrat jako nákup, který jste provedli!

A co Facebook, Twitter a další?

Sociální média a soukromí jsou v některých ohledech protichůdné. Jak řekl Harold Finch v televizním pořadu Osoba zájmu o sociálních médiích: „Vláda se o to pokoušela roky. Ukázalo se, že většina lidí byla šťastná, že ji dobrovolně nabídla. “U sociálních médií dobrovolně zveřejňujeme informace včetně narozenin, jmen, přátel, kolegů, fotografií, zájmů, seznamů přání a aspirací. Poté, co jsme zveřejnili všechny tyto informace, jsme šokováni, když jsou použity způsobem, který jsme nezamýšleli. Jak o slavné herně říkal další slavný hrdina, navštěvoval: „Jsem šokován, šokován, když jsem zjistil, že se tady hraje hazard!“

Všechny velké weby sociálních médií, včetně Facebooku a Twitteru, mají zásady ochrany osobních údajů a jejich obsah je poměrně široký. Zde je úryvek ze zásad Twitteru:

„Kromě informací, které s námi sdílíte, používáme také vaše tweety, obsah, který jste si přečetli, označili jako oblíbený nebo vyřadili, a další informace, abychom určili, jaká témata vás zajímají, váš věk, jazyky, kterými mluvíte, a další signály. abych vám ukázal relevantnější obsah. “

Připojuje se vaše zařízení k Twitteru a umožňuje Twitteru určovat věci, jako je váš věk, jazyk, kterým mluvíte, a co vás zajímá? Tak určitě.

Je to profil vás - a necháte to udělat.

Tady je klíčová otázka: Kdybych neměl chytrý telefon, zastavilo by to na mě, aby na mě špehovaly entity, kdyby chtěly?

Potenciál vs Skutečné

Největším problémem s připojenými zařízeními a online entitami není to, co dělají, ale co by mohli dělat. Frázi „entity“ jsem použil úmyslně, protože nebezpečí kolem hromadného sledování, špionáže a profilování nejsou jen o Googlu nebo Facebooku. Ignorování pravých softwarových chyb (chyb) a standardních obchodních modelů velkých online společností, je docela bezpečné říci, že Google na vás špionuje. Není to ani Facebook. Není to ani vláda. To neznamená, že nemohou - nebo ne.

Je nějaký hacker nebo vládní špión někde aktivující mikrofon v telefonu, aby vás poslouchal? Ne, ale mohli. Jak jsme nedávno viděli s událostmi kolem vraždy Jamala Khashoggiho, entity vás mohou přimět k instalaci aplikace, která vás špehuje. Společnosti jako Zerodium prodávají vládě nulové chyby zabezpečení, které by mohly umožnit instalaci škodlivých aplikací (jako je Pegasus) do vašeho zařízení, aniž byste to věděli.

Viděl jsem nějakou takovou aktivitu se svými zařízeními? Ne, ale nejsem pravděpodobný cíl pro takový dohled a střelbu. Stále se to může stát někomu jinému.

Zde je klíčová otázka: Kdybych neměl chytrý telefon, zastavilo by mě to, aby na mě subjekty špehovaly, pokud by to chtěly?

Před spuštěním chytrých telefonů byla každá velká vláda na světě již zapojena do špionáže a dohledu. Druhá světová válka byla pravděpodobně vyhrána porušením kódu Enigmy a získáním přístupu ke zprávě, kterou skrývala. Smartphony se neobviňují, ale nyní je zde větší útočná plocha - jinými slovy, existuje více způsobů, jak na vás špehovat.

Zabalit

Po mém testování jsem přesvědčen, že žádné ze zařízení, které jsem použil, nedělá nic neobvyklého nebo zlovolného. Otázka soukromí je však větší než jen zařízení, které není záměrně škodlivé. Obchodní praktiky společností jako Google, Facebook a Twitter jsou velmi diskutabilní a zdá se, že často posouvají hranice soukromí.

Co se týče špionáže, před mým domem není zaparkovaná bílá dodávka, která by sledovala mé pohyby a ukazovala směrový mikrofon na moje okna. Právě jsem to zkontroloval. Nikdo mi hacknul telefon. To neznamená, že nemohou.