Съдържание
- Настройвам
- Какво видях
- Обяви
- Amazon AWS
- Добре, Google
- Какво знае Google за мен?
- Ами Facebook, Twitter и други?
- Потенциал срещу реално
- Wrap-нагоре
Дигиталната поверителност е гореща тема. Преминахме в епоха, в която почти всеки носи свързано устройство. Всеки има камера. Много от ежедневните ни дейности - от каране на автобус до достъп до банковите ни сметки - се извършват онлайн. Възниква въпросът „кой следи всички тези данни?“
Някои от най-големите технологични компании в света са под контрол как те използват нашите данни. Какво знае Google за вас? Прозрачен ли е Facebook за това как обработва вашите данни? Шпионира ли ни Huawei?
За да се опитам да отговоря на някои от тези въпроси, създадох специална Wi-Fi мрежа, която ми позволи да улавя всеки пакет данни, изпращан от смартфон навън. Исках да видя дали някое от моите устройства тайно изпраща данни на отдалечени сървъри без мое знание. Шпионира ли телефона ми?
Настройвам
За да заснема всички данни, които текат напред и назад от моя смартфон, ми трябваше частна мрежа, такава, където съм шефът, къде съм root, където съм администратор. След като имам пълен контрол върху мрежата, мога да наблюдавам всичко, което влиза и излиза от мрежата. За целта зададох Raspberry Pi като Wi-Fi точка за достъп. Въобразно го нарекох PiNet. След това свързах тествания смартфон с PiNet и деактивирах мобилните данни (за да бъда двойно сигурен, че получавам целия трафик). В този момент смартфонът беше свързан с Raspberry Pi, но нищо друго. Следващата стъпка е да конфигурирате Pi, за да препрати целия трафик, който излезе в Интернет. Ето защо Pi е толкова страхотно устройство, тъй като много модели имат както Wi-Fi, така и Ethernet на борда. Свързах Ethernet към моя рутер и сега всичко, което смартфонът изпраща и получава, трябва да протича през Raspberry Pi.
Има много инструменти за мрежов анализ и един от най-популярните е WireShark. Той позволява улавяне в реално време и обработка на всеки пакет данни, летящ по мрежа. С моя Pi между смартфоните и интернет използвах WireShark, за да заснема всички данни. Веднъж заловен, можех да го анализирам в свободното си време. Предимството на метода „улавяне сега, задайте въпроси по-късно“ е, че мога да оставя настройката да работи през нощта и да видя какви тайни разкрива смартфонът ми посред нощ!
Тествах четири устройства:
- Huawei Mate 8
- Пиксел 3 XL
- OnePlus 6T
- Galaxy Note 9
Какво видях
Първото нещо, което забелязах, бяха нашите смартфони да говорят с Google много, Предполагам, че това не бива да ме изненадва - цялата екосистема на Android е изградена около услугите на Google - но ми беше интересно да видя как, когато събудих устройство от сън, той се размива и проверява вашия Gmail и текущото мрежово време (чрез NTP) и още куп други неща. Бях изненадан и от това колко имена на домейни притежава Google. Очаквах всички сървъри да бъдат something.whatever.google.com, но Google има домейни с имена като 1e100.net (което предполагам е препратка към Googolplex), gstatic.com, crashlytics.com и т.н.
Проверих и проверих всеки домейн и всеки IP адрес, с които тестовите устройства се свързаха, за да съм сигурен, че знам с кого говори телефона ми.
Освен че говорят с Google, нашите смартфони изглеждат доста безгрижни социални пеперуди и имат широк кръг от приятели. Те, разбира се, са пряко пропорционални на броя на приложенията, които сте инсталирали. Ако имате инсталирани WhatsApp и Twitter, познайте какво, вашето устройство редовно контактува със сървърите на WhatsApp и Twitter!
Видях ли някакви опасни връзки със сървъри в Китай, Русия или Северна Корея? Не.
Обяви
Нещо, което вашият смартфон често прави, е да се свърже с мрежи за доставка на съдържание, за да получите реклами. Отново към кои мрежи се свързва и колко ще зависи от приложенията, които инсталирате. Повечето приложения, поддържани от реклама, ще използват библиотеки, предоставени от рекламната мрежа, което означава, че разработчикът на приложения има малко или никакви познания за това как действително се показват рекламите или какви данни се изпращат в рекламната мрежа. Най-честите доставчици на реклами, които видях, бяха Doubleclick и Akamai.
По отношение на поверителността тези рекламни библиотеки могат да бъдат противоречива тема, тъй като разработчик на приложения по принцип се доверява на платформата, за да направи правилното нещо с данните и да изпрати само това, което е строго необходимо за показване на рекламите. Всички сме виждали колко надеждни са рекламните платформи по време на ежедневната ни употреба в мрежата. Изскачащи прозорци, pop-unders, видеоклипове с автоматично възпроизвеждане, неподходящи реклами, реклами, които заемат целия екран - списъкът продължава. Ако рекламите не бяха толкова натрапчиви, никога няма да има рекламни блокери.
Amazon AWS
Видях доста малко мрежова активност, свързана с уеб услугите на Amazon (AWS). Като основен доставчик на облачни сървъри, Amazon често е логичният избор за разработчиците на приложения, които се нуждаят от бази данни и други способности за обработка на сървър, но не искат да поддържат собствените си физически сървъри.
Като цяло връзките с AWS трябва да се считат за безобидни. Те са там, за да предоставят поисканите от вас услуги. Той обаче подчертава отворения характер на свързаните устройства. След като инсталирате приложение има потенциал, то може да изпраща всякакви и всички събрани данни до злонамерено, дори и чрез реномиран доставчик на услуги като Amazon. Android предпазва от това по няколко начина, включително чрез налагане на разрешения за приложения и услуги като Play Protect. Ето защо приложенията за странично зареждане могат да бъдат много опасни.
Добре, Google
Тъй като PiNet ми позволи да заснема всеки мрежов пакет, аз държах да проверя дали Google тайно ме шпионира, като активира микрофона на моя Pixel 3 XL и изпрати данните на Google. Когато активирате Voice Match на Pixel 3 XL, той ще слуша постоянно за ключовите фрази „OK Google“ или „Hey Google.“ Слушането постоянно ми звучи опасно. Както всеки политик ще ви каже, отворен микрофон е опасност да се избегне на всяка цена!
Устройството е предназначено да слуша локално ключовата фраза, без да се свързва с интернет. Ако ключовата фраза не се чуе, нищо не се случва. След като бъде открита ключовата фраза, устройството ще изпрати фрагмент до сървърите на Google, за да провери два пъти дали е фалшиво положително. Ако всичко се провери, устройството изпраща аудио до Google в реално време, докато се разбере или команда, или устройството се изчака.
Това видях.
Изобщо няма мрежов трафик, дори когато разговарях директно по телефона. В момента, в който казах „Здравей, Google“, в Google беше изпратен поток от мрежов трафик в реално време, докато взаимодействието спря. Опитах да измамя Pixel 3 XL с леки вариации на клавишната фраза като „Молете се на Google“ или „Ей гогъл“. Веднъж успях да го накарам да изпратя фрагмент до Google за по-нататъшна проверка, но устройството не получи потвърждение и така Помощникът не се активира.
Какво знае Google за мен?
Google предлага услуга, наречена Takeout, която ви позволява да изтеглите всичките си данни от Google, привидно, за да можете да мигрирате данните си към други услуги. Това обаче е и добър начин да видите какви данни има Google за вас. Ако се опитате да изтеглите всичко, полученият архив може да бъде огромен (може би повече от 50 GB), но това ще включва всички ваши снимки, всички ваши видеоклипове, всеки файл, който сте запазили в Google Drive, всичко, което сте качили в YouTube, всичките си имейли , и така нататък. Като начин за проверка на поверителността не е нужно да виждам кои снимки има Google, знам това вече. По същия начин знам какви имейли имам, какви файлове имам в Google Drive и т.н. Ако обаче изключа тези обемисти медийни елементи от изтеглянето и се концентрирам върху активност и метаданни, изтеглянето може да бъде доста малко.
Наскоро изтеглих моя Takeout и се заех да видя какво Google знае за мен. Данните пристигат като един или повече .zip файлове, съдържащи папки за всяка от различните области, включително Chrome, Google Pay, Google Play Music, My Activity, Purchases, Task и т.н.
Гмуркането във всяка папка показва какво знае Google за вас в тази област. Например, има копие на отметките ми в Chrome и копие на плейлистите, които създадох в Google Play Music. В началото нямаше нищо изненадващо. Очаквах списък с моите напомняния, тъй като ги създадох с помощта на Google Assistant, така че Google трябва да има копие от тях. Но имаше една или две изненади, дори и за някой, който е „технично разбиран“ като мен.
Първата беше папка с MP3 записи на всичко, което някога съм казвал на моя. Имаше и HTML файл с препис на всички тези команди. За да поясня, това са команди, които дадох на Google Assistant след активирането му с „Здравей, Google.“ За да бъда честен, не очаквах Google да запази MP3 файл от всичките ми команди.Добре, разбирам, че има някаква инженерна стойност в това да може да проверява качеството на Assistant, но не мисля, че Google трябва да пази тези аудио файлове. Малко е много
Имаше и списък на цялата статия, която някога съм чел в Google News, запис за всеки път, когато играх пасианс, и всички търсения в Google Play Music, които се връщат почти пет години!
Оказва се, че Google обработва всички ваши имейли, които търсят покупки, и създава запис за тях.
Този, който наистина ме шокираше, беше в папката Purchases. Тук Google имаше запис на всичко, което някога съм купувал онлайн. Най-старият артикул беше от 2010 г., когато закупих самолетни билети. Важното тук е, че не съм купувал тези билети или някой от артикулите чрез Google. Имам записи за покупки за елементи от Amazon, eBay и iTunes. Има дори записи на картички за рожден ден, които купих.
Копаейки по-дълбоко, започнах да търся покупки, които не съм правил! След известно надраскване по главата се оказва, че тези записи са резултат от обработката на имейлите ми от Google и отгатването при направените от мен покупки. Вероятно сте виждали това особено по отношение на полетите. Ако отворите имейл от авиокомпания, Gmail полезно поставя обобщена информация за вашия полет в специален раздел в горната част на.
Оказва се, че Google обработва всички ваши имейли, които търсят покупки, и създава запис за тях. Когато някой ви препрати имейл за нещо, което е закупил, Google дори може по невнимание да го анализира като покупка, която сте направили!
Ами Facebook, Twitter и други?
Социалните медии и поверителността по някакъв начин са противоречиви. Както Харолд Финч каза в телевизионното шоу „Лице на интерес за социалните медии“, правителството се опитва да го измисли от години. Оказва се, че повечето хора са били щастливи да го доброволно. ”Със социалните медии ние с готовност публикуваме информация, включително рождени дни, имена, приятели, колеги, снимки, интереси, списъци с желания и стремежи. След това, след публикуването на цялата тази информация, сме шокирани, когато тя се използва по начини, които не сме възнамерявали. Както друг известен герой каза за хазартна зала, той посещаваше: „Шокиран съм, шокиран, когато открих, че хазартът се случва тук!“
Всички големи сайтове за социални медии, включително Facebook и Twitter, имат политики за поверителност и те са доста широки в това, което покриват. Ето фрагмент от правилата на Twitter:
„В допълнение към информацията, която споделяте с нас, ние използваме вашите туитове, съдържание, което сте чели, харесали или ретуирали, и друга информация, за да определим какви теми ви интересуват, вашата възраст, езици, които говорите и други сигнали за да ви покажем по-подходящо съдържание. “
И така, устройството ви се свързва с Twitter и позволява ли на Twitter да определя неща като вашата възраст, език, на който говорите и какви неща ви интересуват? Сигурен.
Той ви профилира - и вие го оставяте да прави това.
Ето основния въпрос: ако нямах смартфон, това би ли спряло субектите да ми шпионират, ако искат?
Потенциал срещу реално
Най-големият проблем с свързаните устройства и онлайн субектите не е това, което правят, а това, което биха могли да направят. Използвах умишлено израза „образувания“, защото опасностите около масовото наблюдение, шпиониране и профилиране не се отнасят само до Google или Facebook. Пренебрегвайки истински софтуерни грешки (бъгове), както и стандартните бизнес модели на големите онлайн компании, е доста безопасно да кажем, че Google не ви шпионира. Нито е Facebook. Нито правителството. Това не означава, че не могат или няма.
Някакъв хакер или правителствен шпионин някъде активира микрофона на телефона си, за да ви слуша? Не, но можеха. Както видяхме наскоро със събитията около убийството на Джамал Хашоги, образуванията могат да ви подведат да инсталирате приложение, което шпионира върху вас. Компании като Zerodium продават уязвимости за нулев ден на правителствата, което може да позволи на зловредни приложения (като Pegasus) да се инсталират на вашето устройство, без да знаете.
Виждах ли някаква такава дейност с моите устройства? Не, но не съм вероятна мишена за подобно наблюдение и череп. Все още може да се случи на някой друг.
Ето основния въпрос: ако не разполагах със смартфон, това ще спре ли субектите да ми шпионират, ако искат?
Преди пускането на смартфони всяко голямо правителство в света вече се занимаваше с шпиониране и наблюдение. Втората световна война вероятно е спечелена чрез нарушаване на кода на Enigma и получаване на достъп до разузнаването, което крие. Смартфоните не са виновни, но сега има по-голяма повърхност за атака - с други думи, има повече начини да ви шпионират.
Wrap-нагоре
След моето тестване съм сигурен, че нито едно от устройствата, които използвах, не прави нещо необичайно или злонамерено. Проблемът с поверителността обаче е по-голям от просто устройство, което не е умишлено злонамерено. Бизнес практиките на компании като Google, Facebook и Twitter са много дискусионни и често изглежда да прокарват границите на поверителността.
Що се отнася до шпионирането, няма бял микробус, паркиран пред къщата ми, който да наблюдава движенията ми и да насочва микрофон към прозорците ми. Току-що проверих. Никой не ми хаква телефона. Това не означава, че не могат.
