Turinys
- Sąranka
- Ką aš pamačiau
- Skelbimai
- „Amazon AWS“
- Gerai, „Google“
- Ką „Google“ žino apie mane?
- O kaip „Facebook“, „Twitter“ ir kiti?
- Galimas vs faktinis
- Apvyniokite
Skaitmeninis privatumas yra aktuali tema. Mes perėjome į erą, kai beveik visi nešiojasi prijungtą įrenginį. Kiekvienas turime fotoaparatą. Daugelis mūsų kasdieninės veiklos rūšių - nuo važiavimo autobusu iki prisijungimo prie mūsų banko sąskaitų - vykdomi internetu. Iškyla klausimas: „kas stebi visus tuos duomenis?“
Kai kurios didžiosios pasaulio technologijų įmonės yra tikrinamos, kaip jos naudoja mūsų duomenis. Ką „Google“ žino apie tave? Ar „Facebook“ yra skaidrus, kaip jis tvarko jūsų duomenis? Ar „Huawei“ šnipinėja mus?
Norėdami pabandyti atsakyti į kai kuriuos iš šių klausimų, sukūriau specialų „Wi-Fi“ tinklą, kuris leido man užfiksuoti kiekvieną duomenų paketą, siunčiamą iš išmaniojo telefono į internetą. Norėjau sužinoti, ar kuris nors mano įrenginys be mano žinios slapta siunčia duomenis į nuotolinius serverius. Ar mano telefonas šnipinėja mane?
Sąranka
Norint surinkti visus duomenis, sklindančius iš mano išmaniojo telefono pirmyn ir atgal, man reikėjo privataus tinklo - vieno, kuriame esu viršininkas, kur esu šaknis, kur esu administratorius. Kai aš visiškai kontroliuoju tinklą, galiu stebėti viską, kas patenka į tinklą ir iš jo. Norėdami tai padaryti, aš nustatiau Raspberry Pi kaip „Wi-Fi“ prieigos tašką. Įsivaizduojamai pavadinau tai „PiNet“. Tada prijungiau bandomą išmanųjį telefoną prie „PiNet“ ir neįgaliųjų mobiliųjų duomenų (kad būtum dvigubai tikras, kad gaunu visą srautą). Šiuo metu išmanusis telefonas buvo prijungtas prie „Raspberry Pi“, bet nieko daugiau. Kitas žingsnis yra sukonfigūruoti Pi, kad jis persiųstų visą srautą, kurį jis gauna į internetą. Štai kodėl „Pi“ yra toks puikus įrenginys, nes daugelio modelių laive yra ir „Wi-Fi“, ir „Ethernet“. Aš prijungiau Ethernet prie savo maršrutizatoriaus ir dabar viskas, ką išmanusis telefonas siunčia ir gauna, turi tekėti per „Raspberry Pi“.
Yra daugybė tinklo analizės įrankių, ir vienas iš populiariausių yra „WireShark“. Tai leidžia realiu laiku fiksuoti ir apdoroti kiekvieną duomenų paketą, skrendantį per tinklą. Turėdamas „Pi“ tarp savo išmaniųjų telefonų ir interneto, visus duomenis gavau „WireShark“. Patekęs į laisvę, galėjau tai išanalizuoti. Metodo „Užfiksuok dabar, užduok klausimus vėliau“ pranašumas yra tai, kad galiu palikti sąranką veikti per naktį ir pamatyti, kokias paslaptis mano išmanusis telefonas atskleidžia nakties viduryje!
Išbandžiau keturis įrenginius:
- „Huawei Mate 8“
- „Pixel 3 XL“
- „OnePlus 6T“
- „Galaxy Note 9“
Ką aš pamačiau
Pirmas dalykas, kurį pastebėjau, buvo mūsų išmaniųjų telefonų pokalbis su „Google“ daug. Manau, tai neturėtų manęs nustebinti - visa „Android“ ekosistema yra sukurta remiantis „Google“ paslaugomis, tačiau buvo įdomu pamatyti, kaip pažadinęs įrenginį iš miego jis nuskaito ir patikrina jūsų „Gmail“ ir dabartinį tinklo laiką (per NTP) ir visa krūva kitų dalykų. Mane taip pat nustebino tai, kiek domenų vardų priklauso „Google“. Aš tikėjausi, kad visi serveriai bus kažkas.whatever.google.com, tačiau „Google“ turi domenus, kurių vardai yra 1e100.net (manau, kad tai nuoroda į „Google Google“), gstatic.com, crashlytics.com ir pan.
Aš patikrinau ir patikrinau kiekvieną domeną ir kiekvieną IP adresą, į kuriuos bandymo įrenginiai susisiekė, kad įsitikinčiau, jog žinojau, su kuo mano išmanusis telefonas kalba.
Be to, kad kalbamės su „Google“, mūsų išmanieji telefonai atrodo gana nerūpestingi socialiniai drugeliai ir turi platų draugų ratą. Tai, be abejo, yra tiesiogiai proporcingi įdiegtų programų skaičiui. Jei turite įdiegę „WhatsApp“ ir „Twitter“, atspėkite ką, jūsų įrenginys reguliariai susisiekia su „WhatsApp“ ir „Twitter“ serveriais!
Ar mačiau kokių nors blogų ryšių su serveriais Kinijoje, Rusijoje ar Šiaurės Korėjoje? Ne.
Skelbimai
Tai, ką jūsų išmanusis telefonas dažnai daro, yra prisijungimas prie turinio pateikimo tinklų, kad būtų galima gauti skelbimų. Vėlgi, prie kurių tinklų jis prisijungs ir kiek, priklausys nuo jūsų įdiegtų programų. Daugumoje reklamavimo palaikomų programų bus naudojamos bibliotekos, kurias teikia skelbimų tinklas, o tai reiškia, kad programų kūrėjas turi mažai žinių apie tai, kaip iš tikrųjų pateikiami skelbimai, arba kokie duomenys siunčiami į skelbimų tinklą, arba jų visai nėra. Dažniausi skelbimų teikėjai, kuriuos mačiau, buvo „Doubleclick“ ir „Akamai“.
Kalbant apie privatumą, šios skelbimų bibliotekos gali būti prieštaringai vertinama tema, nes programų kūrėjas iš esmės pasitiki platforma, kad elgiasi teisingai su duomenimis ir siunčia tik tai, kas griežtai reikalinga skelbimams pateikti. Mes visi matėme, kaip patikimos skelbimų platformos yra kasdien naudojant internetą. Iššokantys langai, iškylantys langai, automatiniai vaizdo įrašų paleidimai, netinkami skelbimai, skelbimai, užimantys visą ekraną - sąrašas tęsiasi. Jei skelbimai nebuvo tokie įkyrūs, skelbimų blokatorių niekada nebus.
„Amazon AWS“
Pamačiau nemažą tinklo veiklą, susijusią su „Amazon“ žiniatinklio paslaugomis (AWS). Kaip pagrindinė debesijos serverių tiekėja, „Amazon“ dažnai yra logiškas pasirinkimas programų kūrėjams, kuriems reikia duomenų bazių ir kitų duomenų apdorojimo galimybių serveryje, tačiau nenori prižiūrėti savo fizinių serverių.
Apskritai jungtys su AWS turėtų būti laikomos nekenksmingomis. Jie teikia paslaugas, kurių paprašėte. Tačiau tai pabrėžia atvirą prijungtų įrenginių pobūdį. Įdiegę programą yra galimybė, kad bet kuriuos visus surinktus duomenis jis gali nusiųsti netinkamam vartotojui, net per patikimą paslaugų teikėją, pavyzdžiui, „Amazon“. „Android“ nuo to apsaugo keliais būdais, įskaitant įgyvendindama programų leidimus ir naudodama tokias paslaugas kaip „Play Protect“. Štai kodėl šoninės programos gali būti labai pavojingos.
Gerai, „Google“
Kadangi „PiNet“ leido man užfiksuoti kiekvieną tinklo paketą, aš norėjau patikrinti, ar „Google“ slapta manęs šnipinėja, suaktyvindamas „Pixel 3 XL“ mikrofoną ir siųsdamas duomenis „Google“. Kai „Pixel 3 XL“ suaktyvinsite „Balso atitikimą“, jis nuolat klausys frazių „OK Google“ arba „Ei Google“. Klausymasis man nuolat skamba pavojingai. Kaip jums pasakys bet kuris politikas, atviras mikrofonas yra pavojus, kurio reikia vengti bet kokia kaina!
Įrenginys skirtas klausytis raktinės frazės vietoje, neprisijungiant prie interneto. Jei raktinio frazės negirdite, nieko neatsitiks. Aptikus raktinę frazę, įrenginys nusiųs fragmentą „Google“ serveriams, kad dar kartą patikrintų, ar tai buvo klaidingai teigiama. Jei viskas patikrinama, įrenginys siunčia „Google“ garsą realiuoju laiku, kol komanda nesuprantama arba įrenginys nesibaigia.
Tai aš mačiau.
Net ir tinklo srauto nėra, net tada, kai kalbėjau tiesiogiai telefonu. Tuo metu, kai pasakiau „Ei Google“, „Google“ buvo išsiųstas realaus laiko tinklo srautas, kol sąveika nutrūko. Aš bandžiau apgauti „Pixel 3 XL“ su nedideliais raktinių frazių variantais, tokiais kaip „Pray Google“ arba „Hey Goggle“. Kartą man pavyko tai nusiųsti, norint nusiųsti fragmentą „Google“ tolimesniam patvirtinimui, tačiau įrenginys negavo patvirtinimo ir todėl Asistentas neaktyvavo.
Ką „Google“ žino apie mane?
„Google“ siūlo paslaugą pavadinimu „Išėmimas“, leidžiančią atsisiųsti visus savo duomenis iš „Google“, kad galėtumėte perkelti savo duomenis į kitas paslaugas. Tačiau tai taip pat yra geras būdas pamatyti, kokius duomenis apie jus turi „Google“. Jei bandysite atsisiųsti viską, gautas archyvas gali būti didžiulis (galbūt daugiau nei 50 GB), tačiau jame bus visos jūsų nuotraukos, visi vaizdo įrašai, visi failai, kuriuos išsaugojote „Google“ diske, viskas, ką įkėlėte į „YouTube“, visi jūsų el. , ir taip toliau. Kaip būdas patikrinti privatumą, man nereikia matyti, kurias nuotraukas turi „Google“. Aš tai jau žinau. Taip pat aš žinau, kokius el. Laiškus turiu, kokius failus turiu „Google“ diske ir pan. Tačiau, jei neįtrauksiu tų didelių gabaritų laikmenų elementų iš atsisiuntimo ir susitelksiu į veiklą bei metaduomenis, atsisiuntimas gali būti gana mažas.
Neseniai atsisiunčiau „Takeout“ ir buvau spėjęs pamatyti, ką „Google“ žino apie mane. Duomenys pateikiami kaip vienas ar keli .zip failai, kuriuose yra kiekvienos skirtingos srities aplankai, įskaitant „Chrome“, „Google Pay“, „Google Play“ muziką, „Mano veikla“, „Pirkimai“, „Užduotis“ ir kt.
Nardymas į kiekvieną aplanką rodo, ką „Google“ žino apie tave toje srityje. Pvz., Yra mano „Chrome“ žymių kopija ir grojaraščių, kuriuos sukūriau „Google Play“ muzikoje, kopija. Iš pradžių nieko stebėtino nebuvo. Tikėjausi savo priminimų sąrašo, nes juos sukūriau naudodamas „Google Assistant“, todėl „Google“ turėtų turėti jų kopijas. Tačiau buvo vienas ar du netikėtumai, net ir tokiems, kurie yra „patyrę“ ir aš.
Pirmasis buvo MP3 įrašų aplankas apie viską, ką aš kada nors sakiau. Taip pat buvo HTML failas su visų tų komandų nuorašais. Aiškiau, tai yra komandos, kurias daviau „Google Assistant“, kai ji buvo suaktyvinta su „Ei Google“. Tiesą sakant, nesitikėjau, kad „Google“ laikys visų mano komandų MP3 failą.Gerai, manau, kad yra tam tikra inžinerinė vertė, leidžianti patikrinti asistento kokybę, tačiau nemanau, kad „Google“ reikia saugoti šiuos garso failus. Tai šiek tiek.
Čia taip pat buvo sąrašas visų straipsnių, kuriuos aš kada nors skaičiau „Google News“, įrašai apie kiekvieną kartą, kai aš grojau pasjansą, ir visos paieškos, kurias padariau „Google Play“ muzikoje, grįžo beveik prieš penkerius metus!
Pasirodo, „Google“ apdoroja visus jūsų el. Pašto adresus, kuriuose ieškote pirkinių, ir sukuria jų įrašus.
Tai, kas mane tikrai sukrėtė, buvo aplanke Pirkimai. Čia „Google“ turėjo įrašą apie viską, ką aš kada nors pirkau internete. Seniausia prekė buvo nuo 2010 m., Kai aš nusipirkau keletą lėktuvo bilietų. Esmė ta, kad aš nepirkau šių bilietų ar bet kurių jų per „Google“. Turiu prekių įrašų iš „Amazon“, „eBay“ ir „iTunes“. Yra net įrašų apie mano įsigytas gimtadienio korteles.
Kasdamas giliau, pradėjau ieškoti pirkinių, kurių nepadariau! Po truputį sukramčius galvą paaiškėja, kad šie įrašai yra „Google“ apdorotų mano el. Pašto adresų ir atspėjus apie mano pirkinius rezultatas. Tikriausiai tai matėte ypač kalbant apie skrydžius. Jei atidarote el. Laišką iš oro linijų bendrovės, „Gmail“ specialiai skirtuke, esančioje viršuje, naudingai pateikia tam tikrą informaciją apie jūsų skrydį.
Pasirodo, „Google“ apdoroja visus jūsų el. Pašto adresus, kuriuose ieškote pirkinių, ir sukuria jų įrašus. Kai kas nors jums persiunčia el. Laišką apie ką nors įsigytą, „Google“ gali net netyčia jį parsisiųsti kaip jūsų pirktą!
O kaip „Facebook“, „Twitter“ ir kiti?
Socialinė žiniasklaida ir privatumas tam tikru atžvilgiu yra prieštaringi. Kaip sakė televizijos laidoje „Žmogus apie socialinę žiniasklaidą“ Haroldas Finchas, „Vyriausybė metų metus stengėsi tai išsiaiškinti. Pasirodo, dauguma žmonių mielai sutiko tai padaryti savanoriškai. “Socialinėje žiniasklaidoje noriai skelbiame informaciją, įskaitant gimtadienius, vardus, draugus, kolegas, nuotraukas, pomėgius, norų sąrašus ir siekius. Paskui, paskelbę visą tą informaciją, esame šokiruoti, kai ji naudojama taip, kaip neketinome. Kaip dar vienas garsus personažas sakė apie lošimų salę, jis dažnai lankėsi: „Aš šokiruotas, sukrėstas sužinojęs, kad lošimai vyksta čia!“
Visose didelėse socialinės žiniasklaidos svetainėse, įskaitant „Facebook“ ir „Twitter“, yra privatumo politika ir jos yra gana plačios. Čia yra „Twitter“ politikos fragmentas:
„Be informacijos, kuria dalijatės su mumis, mes naudojame jūsų„ Tweets “, jūsų perskaitytą turinį,„ Patiko “arba„ Retweed “ir kitą informaciją norėdami nustatyti, kokios temos jus domina, jūsų amžius, kalbos, kuriomis kalbate, ir kiti signalai parodyti jums tinkamesnį turinį. “
Taigi, ar jūsų įrenginys jungiasi prie „Twitter“ ir leidžia „Twitter“ nustatyti tokius dalykus kaip jūsų amžius, kalba, kuria kalbate, ir kokie dalykai jus domina? Aišku.
Tai apibūdina jus - ir jūs leidžiate tai daryti.
Čia yra pagrindinis klausimas: jei neturėčiau išmaniojo telefono, ar tai sustabdytų subjektus nuo manęs šnipinėjimo, jei jie to norėtų?
Galimas vs faktinis
Didžiausia prijungtų įrenginių ir internetinių subjektų problema yra ne tai, ką jie daro, o tai, ką jie galėtų padaryti. Aš frazę „subjektai“ naudojau sąmoningai, nes pavojus, kylantys dėl masinio stebėjimo, šnipinėjimo ir profiliavimo, yra ne tik „Google“ ar „Facebook“. Nepaisant autentiškų programinės įrangos klaidų (klaidų) ir standartinių didelių internetinių kompanijų verslo modelių, gana saugu sakyti, kad „Google“ šnipinėja jus ne šiaip sau. Nei „Facebook“. Nei vyriausybė. Tai nereiškia, kad jie to negali arba nedarys.
Ar koks nors įsilaužėlis ar vyriausybės šnipas suaktyvina telefono mikrofoną ir klauso tavęs? Ne, bet jie galėjo. Kaip neseniai matėme įvykius, susijusius su Jamalo Khashoggi nužudymu, subjektai gali jus apgauti, kad įdiegtų jus šnipinėjančią programą. Tokios kompanijos kaip „Zerodium“ vyriausybėms parduoda nulinės dienos silpnąsias vietas, kurios gali leisti kenkėjiškas programas (pvz., „Pegasus“) įdiegti jūsų įrenginyje jums nežinant.
Ar aš mačiau tokią veiklą su savo prietaisais? Ne, bet nesu tikėtina tokio stebėjimo ir kaukolės chirurgijos taikinys. Tai vis tiek gali nutikti kam nors kitam.
Čia yra pagrindinis klausimas: jei neturėčiau išmaniojo telefono, ar tai sustabdytų subjektus, norinčius manęs šnipinėti?
Prieš išleidžiant išmaniuosius telefonus, kiekviena didžiausia pasaulio vyriausybė jau buvo įsitraukusi į šnipinėjimą ir stebėjimą. Antrasis pasaulinis karas greičiausiai buvo laimėtas sulaužius „Enigma“ kodą ir įsigijus žvalgybos duomenis, kuriuos jis slėpė. Išmanieji telefonai nėra kalti, tačiau dabar yra didesnis užpuolimo paviršius - kitaip tariant, yra daugiau būdų šnipinėti jus.
Apvyniokite
Po bandymų esu įsitikinęs, kad nė vienas mano naudojamas įrenginys nedaro nieko neįprasto ar piktavališko. Tačiau privatumo klausimas yra didesnis nei tik įrenginys, kuris nėra tyčinis kenkėjiškas. Tokių kompanijų kaip „Google“, „Facebook“ ir „Twitter“ verslo praktika yra labai diskutuotina ir dažnai atrodo, kad jos stumia privatumo ribas.
Kalbant apie šnipinėjimą, už mano namo nėra balto furgono, stebinčio mano judesius ir nukreipiančio kryptinį mikrofoną prie mano langų. Aš tik patikrinau. Niekas nesikišo į mano telefoną. Tai nereiškia, kad jie to negali.
