Зміст

• Налаштування
• Що я бачив
• Оголошення
• Amazon AWS
• Гаразд, Google
• Що Google знає про мене?
• А як щодо Facebook, Twitter та інших?
• Потенціал проти фактичного
• Підбивання

Цифрова конфіденційність - гаряча тема. Ми перейшли в епоху, коли майже всі несуть підключений пристрій. У кожного є камера. Багато наших щоденних заходів - від їзди на автобусі до доступу до наших банківських рахунків - здійснюються в Інтернеті. Виникає запитання: "хто веде облік усіх цих даних?"

Деякі з найбільших технологічних компаній у світі перебувають під ретельним контролем щодо того, як вони використовують наші дані. Що Google знає про вас? Чи прозорий Facebook щодо того, як він обробляє ваші дані? Чи шпигує за нами Huawei?

Щоб спробувати відповісти на деякі з цих питань, я створив спеціальну мережу Wi-Fi, яка дозволила мені фіксувати кожен пакет даних, що надсилаються зі смартфона в Інтернет. Я хотів перевірити, чи хтось із моїх пристроїв таємно надсилав дані на віддалені сервери без мого відома. Чи шпигує за мною телефон?

Налаштування

Щоб зафіксувати всі дані, що надходять назад і назад зі свого смартфона, мені потрібна була приватна мережа - та, де я бос, де я корінь, де я адміністратор. Після повного контролю над мережею я можу стежити за всім, що надходить у мережу. Для цього я створив Raspberry Pi як точку доступу Wi-Fi. Я образно назвав це PiNet. Далі я підключив тестований смартфон до PiNet і відключив мобільні дані (щоб бути вдвічі впевненим, що я отримую весь трафік). У цей момент смартфон був підключений до Raspberry Pi, але нічого іншого. Наступним кроком є ​​налаштування Pi для передачі всього трафіку, який він виходить в Інтернет. Ось чому Pi - це настільки чудовий пристрій, оскільки багато моделей мають як Wi-Fi, так і Ethernet. Я підключив Ethernet до свого маршрутизатора, і тепер усе, що смартфон надсилає та отримує, повинно проходити через Raspberry Pi.

Існує безліч інструментів мережевого аналізу, і одним з найпопулярніших є WireShark. Це дозволяє знімати та обробляти в режимі реального часу кожен пакет даних, що летить по мережі. За допомогою мого Pi між смартфонами та Інтернетом я використовував WireShark для збору всіх даних. Після захоплення я міг проаналізувати це на своєму дозвіллі. Перевага методу «захопити зараз, задавати питання пізніше» полягає в тому, що я можу залишити налаштування працювати протягом ночі і подивитися, які секрети розкриває мій смартфон посеред ночі!

Я протестував чотири пристрої:

• Huawei Mate 8
• Піксель 3 XL
• OnePlus 6T
• Galaxy Note 9

Що я бачив

Перше, що я помітив - наші смартфони спілкуються з Google багато. Напевно, це не повинно мене здивувати - вся екосистема Android побудована навколо служб Google - але мені було цікаво побачити, як коли я прокидаю пристрій зі сну, він вимикає і перевіряє ваш Gmail та поточний час у мережі (через NTP) і цілу купу інших речей. Мене також здивувало, скільки доменних імен належить Google. Я очікував, що всі сервери будуть something.wwhat.google.com, але в Google є домени з іменами типу 1e100.net (які, мабуть, є посиланням на Googolplex), gstatic.com, crashlytics.com тощо.

Я перевіряв і перевіряв кожен домен і кожну IP-адресу, з якою зв’язувалися тестові пристрої, щоб бути впевненим, що я знаю, з ким мій смартфон розмовляв.

Окрім розмови з Google, наші смартфони здаються досить безтурботними соціальними метеликами та мають широке коло друзів. Вони, звичайно, прямо пропорційні кількості програм, які ви встановили. Якщо у вас встановлені WhatsApp і Twitter, здогадайтеся, що ваш пристрій регулярно контактує з серверами WhatsApp і Twitter!

Чи бачили я якісь небезпечні зв’язки із серверами в Китаї, Росії чи Північній Кореї? Ні.

Оголошення

Ваш смартфон часто робить це підключення до мереж доставки вмісту для отримання реклами. Знову, до яких мереж він підключається і скільки, залежатиме від встановлених програм. Більшість додатків, що підтримують рекламу, використовуватимуть бібліотеки, надані рекламною мережею, а це означає, що розробник додатків має мало знань про те, як реально розміщуються рекламні оголошення або які дані надсилаються в рекламну мережу. Найпоширенішими постачальниками оголошень, які я бачив, були Doubleclick та Akamai.

З точки зору конфіденційності ці бібліотеки оголошень можуть бути суперечливою темою, оскільки розробник додатків довіряє платформі зробити правильну інформацію з даними та надсилати лише те, що суворо потрібно для розміщення оголошень. Ми всі бачили, наскільки надійні рекламні платформи під час щоденного використання Інтернету. Спливаючі вікна, спливаючі підказки, автоматичне відтворення відеороликів, невідповідні рекламні оголошення, реклами, які переходять на весь екран - список продовжується. Якби реклама не була такою нав'язливою, ніколи не було б блокаторів оголошень.

Amazon AWS

Я побачив неабияку мережеву активність, пов’язану з веб-службами Amazon (AWS). Як основний постачальник хмарних серверів, Amazon часто є логічним вибором для розробників додатків, яким потрібні бази даних та інші можливості обробки на сервері, але вони не хочуть підтримувати власні фізичні сервери.

Загалом, зв’язок із AWS слід вважати нешкідливим. Вони там, щоб надати вам потрібні послуги. Однак він підкреслює відкритий характер підключених пристроїв. Після встановлення програми є потенціал, що він може надсилати будь-які та всі зібрані дані на помилку, навіть через авторитетного постачальника послуг, як Amazon. Android захищає це декількома способами, в тому числі шляхом застосування дозволів на додатки та таких служб, як Play Protect. Ось чому додатки для бічного завантаження можуть бути дуже небезпечними.

Гаразд, Google

Оскільки PiNet дозволив мені знімати кожен мережевий пакет, я хотів перевірити, чи Google таємно шпигує за мною, активувавши мікрофон на моєму Pixel 3 XL та відправивши дані в Google. Коли ви активуєте голосовий збіг на Pixel 3 XL, він постійно прослуховує ключові фрази «OK Google» або «Hey Google». Прослуховування постійно звучить для мене небезпечно. Як вам скаже будь-який політик, відкритий мікрофон - це небезпека, яку слід уникати будь-якою ціною!

Пристрій призначений для прослуховування локальної фрази, не підключаючись до Інтернету. Якщо ключову фразу не чути, нічого не відбувається. Після виявлення ключової фрази пристрій надішле фрагмент на сервери Google, щоб повторно перевірити, чи був помилковим позитив. Якщо все перевіряється, пристрій надсилає аудіо в Google в режимі реального часу, поки не буде зрозуміла або команда, або пристрій вимкнеться.

Це я бачив.

Мережевого трафіку взагалі немає, навіть коли я спілкувався безпосередньо по телефону. У той момент, коли я сказав «Привіт Google», потоковий мережевий трафік у реальному часі був спрямований до Google, поки взаємодія не припинилася. Я спробував обмацувати Pixel 3 XL невеликими варіантами фразової фрази, як-от "Моліться Google" або "Ей, Goggle". Одного разу мені вдалося отримати його, щоб надіслати фрагмент в Google для подальшої перевірки, але пристрій не отримав підтвердження. Помічник не активувався.

Що Google знає про мене?

Google пропонує послугу під назвою Takeout, яка дозволяє завантажувати всі дані з Google, нібито, щоб ви могли перенести свої дані до інших служб. Однак це також хороший спосіб побачити, які дані має на вас Google. Якщо ви спробуєте завантажити все, що виходить, архів може бути величезним (можливо, більше 50 Гб), але це буде включати всі ваші фотографії, всі ваші відеокліпи, кожен файл, який ви зберегли на Диску Google, все, що ви завантажили на YouTube, усі ваші електронні листи , і так далі. Як спосіб перевірити конфіденційність, мені не потрібно бачити, які фотографії має Google, я це вже знаю. Так само я знаю, які у мене електронні листи, які файли у мене на Google Диску тощо. Однак, якщо я виключаю ці об’ємні медіа-елементи із завантаження та концентруюсь на активності та метаданих, завантаження може бути зовсім невеликим.

Нещодавно я завантажив свій Takeout і поскакав, щоб побачити, що Google знає про мене. Дані надходять у вигляді одного або декількох .zip-файлів, що містять папки для кожної з різних областей, включаючи Chrome, Google Pay, Google Play Music, My Activity, Purchaps, Task тощо.

Занурення в кожну папку показує, що Google знає про вас у цій галузі. Наприклад, є копія моїх закладок Chrome і копія списків відтворення, створених мною в Google Play Music. Спочатку нічого дивного не було. Я очікував список моїх нагадувань, оскільки створив їх за допомогою Google Assistant, тому Google повинен мати їх копію. Але було одне-два сюрпризи, навіть для когось такого «кмітливого», як я.

Перша була папка з MP3-записами всього, що я коли-небудь говорив своєму. Був також HTML-файл із стенограмою всіх цих команд. Для уточнення, це команди, які я дав Google Assistant після його активації за допомогою "Привіт Google". Якщо чесно, я не очікував, що Google збереже MP3-файл усіх моїх команд.Гаразд, я розумію, що є можливість інженерної перевірки якості помічника, але я не думаю, що Google повинен зберігати ці аудіофайли. Це трохи

Був також список усіх статей, які я коли-небудь читав в Новинах Google, запис про кожен раз, коли я грав у пасьянс, і всі пошуки, які я робив у Google Play Music, починаючи майже п’ять років!

Виявляється, Google обробляє всі ваші електронні листи, які шукають покупки, і створює записи про них.

Той, який мене справді шокував, знаходився в папці "Покупки". Тут Google мав запис про все, що я коли-небудь купував в Інтернеті. Найдавніший предмет був з 2010 року, коли я придбав кілька квитків на літак. Сенс у тому, що я не купував ці квитки чи будь-який предмет через Google. У мене є записи про придбання предметів з Amazon, eBay та iTunes. Є навіть записи листівки до дня народження, які я купив.

Копаючи глибше, я почав шукати покупки, яких я не робив! Після декількох подряпин в голові виявляється, що ці записи є результатом оброблення Google електронною поштою та здогадуючись про покупки, які я здійснив. Ви, напевно, це бачили, особливо що стосується рейсів. Якщо ви відкриєте електронний лист від авіакомпанії, Gmail корисно розміщує деяку зведену інформацію про ваш рейс на спеціальній вкладці вгорі сторінки.

Виявляється, Google обробляє всі ваші електронні листи, які шукають покупки, і створює записи про них. Коли хтось пересилає вам електронний лист про щось, що вони придбали, Google навіть може ненавмисно проаналізувати це як покупку, яку ви здійснили!

А як щодо Facebook, Twitter та інших?

Соціальні медіа та конфіденційність певним чином суперечать один одному. Як зазначив Гарольд Фінч у телешоу «Особисті інтереси» щодо соціальних медіа, «Уряд роками намагався розібратися в цьому. Виявляється, більшість людей із задоволенням поступають на це добровільно ». У соціальних мережах ми охоче публікуємо інформацію, включаючи дні народження, імена, друзів, колег, фотографії, інтереси, списки побажань та прагнення. Потім, опублікувавши всю цю інформацію, ми шоковані, коли вона використовується способами, які ми не мали наміру. Як ще один відомий персонаж сказав про азартний зал, який він відвідував: "Я в шоці, шокований, виявивши, що азартні ігри тут відбуваються!"

Усі великі сайти соціальних медіа, включаючи Facebook та Twitter, мають політику конфіденційності, і вони досить широкі в тому, що вони висвітлюють. Ось фрагмент з політики Twitter:

"Крім інформації, якою ви ділитесь з нами, ми використовуємо ваші твіти, вміст, який ви читали, сподобалися чи ретвітували, та іншу інформацію, щоб визначити, які теми вас цікавлять, ваш вік, мови, якими ви говорите та інші сигнали щоб показати вам більш релевантний вміст. "

Отже, чи ваш пристрій підключається до Twitter і чи дозволяє Twitter визначати такі речі, як ваш вік, мова, якою ви говорите, і які речі вас цікавлять? Звичайно.

Він профілює вас - і ви дозволяєте це робити.

Ось ключове питання: якби у мене не було смартфона, чи перешкоджало б особам шпигувати на мене, якби вони хотіли?

Потенціал проти фактичного

Найбільша проблема з підключеними пристроями та мережевими організаціями - це не те, що вони роблять, а те, що вони могли б зробити. Я навмисно використовував словосполучення "суб'єкти", оскільки небезпека навколо масового нагляду, шпигунства та профілювання стосується не лише Google або Facebook. Ігноруючи справжні програмні помилки (помилки), а також стандартні бізнес-моделі великих інтернет-компаній, можна з впевненістю сказати, що Google не шпигує за вами. Також немає Facebook. Ні уряд. Це не означає, що вони не можуть - чи не будуть.

Десь хакер чи урядовий шпигун десь активує мікрофон на телефоні, щоб слухати вас? Ні, але вони могли. Як ми нещодавно бачили з подіями вбивства Джамала Хашоггі, особи можуть підманути вас встановити додаток, який шпигує за вами. Такі компанії, як Zerodium, продають урядові місця з нульовим днем, що може дозволити встановленню зловмисних програм (наприклад, Pegasus) на вашому пристрої, не знаючи про це.

Чи бачив я таку активність на своїх пристроях? Ні, але я не є ймовірною ціллю для такого спостереження та хірургічної роботи черепа. Це все ще могло трапитися з кимось іншим.

Ось ключове питання: якби у мене не було смартфона, чи перешкоджало б особам шпигувати на мене, якби вони хотіли?

До запуску смартфонів кожен великий уряд у світі вже займався шпигунством та спостереженням. Друга світова війна, ймовірно, була виграна шляхом порушення коду Енігми та отримання доступу до розвідки, яку вона приховувала. Смартфони не винні, але тепер більша поверхня атаки - іншими словами, існує більше способів шпигувати за вами.

Підбивання

Після мого тестування я впевнений, що жоден із пристроїв, які я використовував, не робить нічого незвичайного чи зловмисного. Однак проблема конфіденційності є більшою, ніж просто пристрій, який навмисно не є шкідливим. Ділові практики таких компаній, як Google, Facebook та Twitter, є дуже дискусійними, і вони часто здаються розсунутими межі конфіденційності.

Що стосується шпигунства, то біля мого будинку немає жодного білого фургона, який дивиться на мої рухи та вказує мікрофон, спрямований на мої вікна. Я щойно перевірив. Ніхто не зламає мій телефон. Це не означає, що вони не можуть.