תוֹכֶן

• להכין
• מה ראיתי
• מודעות
• אמזון AWS
• אוקיי גוגל
• מה גוגל יודעת עלי?
• מה עם פייסבוק, טוויטר ואחרים?
• פוטנציאל לעומת בפועל
• לעטוף

פרטיות דיגיטלית היא נושא חם. עברנו לעידן בו כמעט כולם נושאים מכשיר מחובר. לכל אחד יש מצלמה. רבות מהפעילויות היומיות שלנו - החל מרכיבה באוטובוס לגישה לחשבונות הבנק שלנו - נעשות באופן מקוון. נשאלת השאלה "מי עוקב אחר כל אותם נתונים?"

כמה מחברות הטכנולוגיה הגדולות בעולם נבדקות כיצד הן משתמשות בנתונים שלנו. מה גוגל יודעת עליך? האם פייסבוק שקופה לגבי אופן הטיפול שלה בנתונים שלך? האם Huawei מרגל בנו?

כדי לנסות לענות על כמה מהשאלות הללו, יצרתי רשת Wi-Fi מיוחדת המאפשרת לי לתפוס כל חבילת נתונים שנשלחת מסמארטפון לאינטרנט. רציתי לראות אם אחד מהמכשירים שלי שולח נתונים בסתר לשרתים מרוחקים ללא ידיעתי. האם הטלפון שלי מרגל עלי?

להכין

בכדי לתפוס את כל הנתונים הזורמים הלוך ושוב מהסמארטפון שלי הייתי זקוק לרשת פרטית, כזו שבה אני הבוס, איפה אני שורש, איפה אני מנהל. ברגע שיש לי שליטה מלאה ברשת, אוכל לפקח על כל מה שנכנס ויוצא מהרשת. לשם כך הגדרתי Raspberry Pi כנקודת גישה Wi-Fi. בדמיון קראתי לזה PiNet. בשלב הבא חיברתי את הטלפון החכם שנמצא בבדיקה ל- PiNet והשבתי את הנתונים הניידים (כדי להיות בטוח כפול שאני מקבל את כל התעבורה). בשלב זה, הטלפון החכם היה מחובר ל- Raspberry Pi אך שום דבר אחר. השלב הבא הוא להגדיר את ה- Pi להעביר את כל התעבורה שהוא יוצא לאינטרנט. זו הסיבה שה- Pi הוא מכשיר כה נהדר, שכן בדגמים רבים יש גם Wi-Fi וגם Ethernet על הסיפון. חיברתי את ה- Ethernet לנתב שלי ועכשיו כל מה שהסמארטפון שולח ומקבל צריך לזרום דרך ה- Raspberry Pi.

יש המון כלים לניתוח רשת ואחד הפופולריים שבהם הוא WireShark. זה מאפשר לכידת ועיבוד בזמן אמת של כל חבילת נתונים שטסה ברשת. עם ה- Pi שלי בין הסמארטפונים שלי לאינטרנט השתמשתי ב- WireShark כדי לתפוס את כל הנתונים. לאחר שנלכד יכולתי לנתח את זה בשעות הפנאי. היתרון בשיטה "ללכוד עכשיו, לשאול שאלות אחר כך" הוא שאני יכול להשאיר את ההתקנה פועלת במשך הלילה ולראות אילו סודות הסמארטפון שלי חושף באמצע הלילה!

בדקתי ארבעה מכשירים:

• Huawei Mate 8
• פיקסל 3 XL
• OnePlus 6T
• גלקסי נוט 9

מה ראיתי

הדבר הראשון ששמתי לב אליו הוא שיחת הטלפונים החכמים שלנו עם גוגל הרבה. אני מניח שזה לא אמור להפתיע אותי - כל המערכת האקולוגית של אנדרואיד בנויה סביב השירותים של גוגל - אבל היה מעניין לראות איך כשהעירתי מכשיר משינה, הוא מתנגש ובודק את ה- Gmail שלך ואת זמן הרשת הנוכחי (דרך NTP) ועוד שלל דברים אחרים. הופתעתי גם מכמה שמות התחום שגוגל מחזיקה. ציפיתי שכל השרתים יהיו משהו. מה. google.com, אך ל- Google יש תחומים עם שמות כמו 1e100.net (שלדעתי הוא התייחסות ל- Googolplex), gostat.com, crashlytics.com וכן הלאה.

בדקתי ואימותתי כל תחום וכל כתובת IP שאליהם התקשרו מכשירי הבדיקה כדי להיות בטוח שאני יודע עם מי הסמארטפון שלי מדבר.

מלבד השיחה עם גוגל, הסמארטפונים שלנו נראים פרפרים חברתיים חסרי דאגות ויש להם מעגל חברים רחב. אלה, כמובן, עומדים ביחס ישר לכמה היישומים שהתקנתם. אם מותקנת בהם WhatsApp וטוויטר, נחשו מה, המכשיר שלכם יוצר קשר עם שרתי WhatsApp וטוויטר על בסיס קבוע!

האם ראיתי קשרים מצערים לשרתים בסין, רוסיה או צפון קוריאה? לא.

מודעות

משהו שהסמארטפון שלך עושה לעתים קרובות הוא להתחבר לרשתות למשלוח תוכן כדי לקבל מודעות. שוב, לאילו רשתות היא מתחברת וכמה, תלויות באפליקציות שתתקין. מרבית האפליקציות הנתמכות בפרסום ישתמשו בספריות המסופקות על ידי רשת המודעות, מה שאומר שלמפתחי האפליקציות אין מעט או שום ידע על אופן הצגת המודעות בפועל או אילו נתונים נשלחים לרשת המודעות. ספקי המודעות הנפוצים ביותר שראיתי היו Doubleclick ו- Akamai.

מבחינת הפרטיות, ספריות מודעות אלה יכולות להיות נושא שנוי במחלוקת, מכיוון שמפתח אפליקציות בוטח בעצם בפלטפורמה שתעשה את הדבר הנכון עם הנתונים ורק ישלח את מה שנדרש בהחלט כדי להציג את המודעות. כולנו ראינו עד כמה פלטפורמות מודעות אמינות במהלך השימוש היומיומי שלנו באינטרנט. חלונות קופצים, חלונות קופצים, הפעלה אוטומטית של סרטונים, מודעות לא הולמות, מודעות שמשתלטות על כל המסך - הרשימה עוד ארוכה. אם מודעות לא היו כל כך פולשניות, לעולם לא היו חוסמי מודעות.

אמזון AWS

ראיתי מעט פעילויות ברשת הקשורות לשירותי האינטרנט של אמזון (AWS). כספקית שרתי ענן עיקריים, אמזון היא לרוב הבחירה ההגיונית עבור מפתחי אפליקציות הזקוקים למסדי נתונים ויכולות עיבוד אחרות בשרת, אך אינם רוצים לשמור על שרתים פיזיים משלהם.

בסך הכל, יש לראות בחיבורים ל- AWS כמזיקים. הם שם כדי לספק את השירותים שביקשת. עם זאת, הוא מדגיש את האופי הפתוח של מכשירים מחוברים. ברגע שתתקין אפליקציה יש פוטנציאל שהיא יכולה לשלוח את כל הנתונים ואת כל הנתונים שהיא אספה למטעה שגויה, אפילו באמצעות ספק מכובד כמו אמזון. אנדרואיד שומרת על כך בכמה אופנים, כולל על ידי אכיפת הרשאות באפליקציות, ושירותים כמו Play Protect. זו הסיבה שאפליקציות לטעינת צד יכולות להיות מסוכנות מאוד.

אוקיי גוגל

מכיוון ש- PiNet אפשרה לי לתפוס כל מנות רשת, הייתי מעוניין לבדוק אם גוגל ריגשה אותי בסתר על ידי הפעלת המיקרופון בפיקסל 3 XL שלי ושליחת הנתונים לגוגל. כשאתה מפעיל את ה- Voice Match ב- Pixel 3 XL, הוא יקשיב לצמיתות לביטויי המפתח "OK Google" או "היי גוגל." האזנה לצמיתות נשמעת לי מסוכנת. כמו שכל פוליטיקאי יגיד לך, מיקרופון פתוח הוא סכנה שיש להימנע מכל מחיר!

המכשיר מיועד להאזנה מקומית למשפט המפתח, מבלי להתחבר לאינטרנט. אם ביטוי המפתח לא נשמע, שום דבר לא קורה. לאחר איתור ביטוי המפתח, המכשיר ישלח קטע לשרתי גוגל כדי לבדוק שוב אם זה היה חיובי כוזב. אם הכל בודק, המכשיר שולח שמע לגוגל בזמן אמת עד להבנת הפקודה או שהמכשיר פסק זמן.

זה מה שראיתי.

אין תנועת רשת בכלל, אפילו כשדיברתי ישירות בטלפון. ברגע שאמרתי "היי גוגל" זרם בזמן אמת של תנועת רשת לגוגל, עד שהאינטראקציה נפסקה. ניסיתי להערים על ה- Pixel 3 XL עם וריאציות קלות של ביטוי המפתח כמו "התפלל גוגל" או "היי גוגלה." פעם הצלחתי לגרום לו לשלוח קטע לגוגל לצורך אימות נוסף, אך המכשיר לא קיבל אישור וכך העוזר לא הפעיל.

מה גוגל יודעת עלי?

גוגל מציעה שירות בשם Takeout המאפשר לך להוריד את כל הנתונים שלך מגוגל, לכאורה כך שתוכל להעביר את הנתונים שלך לשירותים אחרים. עם זאת, זו גם דרך טובה לראות אילו נתונים יש בידי Google. אם אתה מנסה להוריד את כל מה שהארכיון שהתקבל יכול להיות ענק (אולי יותר מ- 50 ג'יגה-בייט), אבל זה יכלול את כל התמונות שלך, את כל קטעי הווידיאו שלך, כל קובץ ששמרת בכונן Google, כל מה שהעלית ליוטיוב, כל הדוא"ל שלך. , וכולי. כדרך לבדוק פרטיות, אינני צריך לראות אילו תמונות יש לגוגל, אני יודע זאת כבר. באופן דומה, אני יודע אילו הודעות דוא"ל יש לי, אילו קבצים יש לי בכונן Google וכן הלאה. עם זאת, אם אני מחריג את אותם פריטי מדיה מגושמים מההורדה ומתרכז בפעילות ובמטא נתונים, ההורדה יכולה להיות קטנה למדי.

הורדתי את ה- Takeout שלי לאחרונה והתחלתי לבחון מה גוגל יודעת עלי. הנתונים מגיעים כקובץ .zip או יותר המכילים תיקיות לכל אחד מהאזורים השונים, כולל Chrome, Google Pay, Google Play מוסיקה, הפעילות שלי, רכישות, משימה וכן הלאה.

צלילה לכל תיקיה מציגה את מה שגוגל יודעת עליכם באזור זה. לדוגמה, יש עותק של הסימניות של Chrome ועותק של הפלייליסטים שיצרתי ב- Google Play מוסיקה. בהתחלה, לא היה שום דבר מפתיע. ציפיתי לרשימה של התזכורות שלי, מכיוון שיצרתי אותן באמצעות Google Assistant, כך שגוגל צריכה לקבל עותק שלהן. אבל היו הפתעה אחת או שתיים, אפילו עבור מישהו "מנוסה בטכנולוגיה" כמוני.

הראשונה הייתה תיקיה של הקלטות MP3 של כל מה שאמרתי אי פעם. היה גם קובץ HTML עם תעתיק של כל אותן פקודות. כדי להבהיר, אלה פקודות שנתתי לעוזר גוגל לאחר שהופעל עם "היי גוגל." למען האמת, לא ציפיתי שגוגל תשמור קובץ MP3 של כל הפקודות שלי.אוקיי, אני מבין שיש ערך הנדסי כלשהו ביכולת לבדוק את האיכות של העוזר, אבל אני לא חושב שגוגל צריכה לשמור על קבצי האודיו האלה. זה קצת הרבה.

הייתה גם רשימה של כל המאמר שקראתי בחדשות גוגל, תיעוד של כל פעם ששיחקתי סוליטייר, וכל החיפושים שביצעתי ב- Google Play מוסיקה כמעט חמש שנים!

מסתבר שגוגל מעבדת את כל דוא"ל הדואר האלקטרוני שלך מחפש רכישות ויוצרת תיעוד שלהם.

זה שבאמת זעזע אותי היה בתיקיית הרכישות. כאן היה לגוגל תיעוד של כל מה שרכשתי אי פעם ברשת. הפריט העתיק ביותר היה משנת 2010, כשרכשתי כמה כרטיסי טיסה. העניין כאן הוא שלא קניתי את הכרטיסים האלה, או את אחד הפריטים, דרך גוגל. יש לי רשומות רכישה של פריטים מאמזון, eBay ו- iTunes. יש אפילו רשומות של כרטיסי יום הולדת שקניתי.

לחפור עמוק יותר התחלתי למצוא רכישות שלא ביצעתי! לאחר קצת שריטות ראש מתברר שהרשומות הללו הן התוצאה של גוגל מעבד את הדואר האלקטרוני שלי וניחוש ברכישות שביצעתי. ככל הנראה ראית זאת במיוחד ביחס לטיסות. אם אתה פותח דוא"ל מחברת תעופה, Gmail מציב מידע מסכם על הטיסה שלך בכרטיסייה מיוחדת בחלקו העליון של Gmail.

מסתבר שגוגל מעבדת את כל דוא"ל הדואר האלקטרוני שלך מחפש רכישות ויוצרת תיעוד שלהם. כשמישהו מעביר לך דוא"ל על משהו שרכש, גוגל יכולה אפילו לנתח אותו שלא בכוונה כרכישה שביצעת!

מה עם פייסבוק, טוויטר ואחרים?

מדיה חברתית ופרטיות הן במובנים מסוימים סותרות. כפי שאמר הרולד פינץ 'בתכנית הטלוויזיה "אדם המעניין" על מדיה חברתית, "הממשלה מנסה להבין את זה במשך שנים. מסתבר שרוב האנשים שמחו להתנדב. "באמצעות מדיה חברתית אנו מפרסמים ברצון מידע הכולל ימי הולדת, שמות, חברים, קולגות, תמונות, תחומי עניין, רשימת משאלות ושאיפות. לאחר שפרסמנו את כל המידע הזה, אנו המומים כאשר משתמשים בו בדרכים שלא התכוונו. כפי שאמר דמות מפורסמת אחרת על אולם הימורים, הוא פקד, "אני המום, המום לגלות שההימורים מתרחשים כאן!"

לכל אתרי המדיה החברתית הגדולים, כולל פייסבוק וטוויטר, יש מדיניות פרטיות והם רחבים למדי במה שהם מכסים. להלן קטע מתוך המדיניות של טוויטר:

"בנוסף למידע שאתה משתף איתנו, אנו משתמשים בציוצים שלך, בתוכן שקראת, אהבת או צייץ מחדש ומידע נוסף כדי לקבוע באילו נושאים אתה מתעניין, גילך, שפות שאתה מדבר וסימנים אחרים. כדי להראות לך תוכן רלוונטי יותר. "

אז האם המכשיר שלך מתחבר לטוויטר ומאפשר לטוויטר לקבוע דברים כמו הגיל שלך, השפה שאתה מדבר ואילו דברים מעניינים אותך? בטוח.

זה פרופיל אותך - ואתה נותן לזה לעשות את זה.

הנה שאלת המפתח: אם לא היה לי סמארטפון, האם זה היה מונע מגורמים לרגל אחרי אותי אם הם רוצים?

פוטנציאל לעומת בפועל

הבעיה הגדולה ביותר עם מכשירים מחוברים וגורמים מקוונים אינה מה שהם עושים, אלא מה הם יכולים לעשות. השתמשתי בביטוי "ישויות" בכוונה מכיוון שהסכנות סביב מעקב המוני, ריגול ופרופילציה לא נוגעות רק לגוגל או לפייסבוק. תוך התעלמות מטעויות תוכנה מקוריות (באגים) כמו גם מהמודלים העסקיים הסטנדרטיים של חברות מקוונות גדולות, זה די בטוח לומר שגוגל לא מרגלת עליך. גם לא פייסבוק. גם הממשלה אינה. זה לא אומר שהם לא יכולים - או לא.

האם איזה האקר או מרגל ממשלתי איפשהו מפעיל את המיקרופון בטלפון שלך כדי להקשיב לך? לא, אבל הם יכלו. כפי שראינו לאחרונה עם האירועים סביב רצח ג'מאל חש'וגי, ישויות יכולות להערים אותך להתקין אפליקציה שמרגלת עליך. חברות כמו Zerodium מוכרות פגיעויות של יום אפס לממשלות, שעלולות לאפשר התקנת אפליקציות זדוניות (כמו Pegasus) במכשיר שלך מבלי שאתה יודע.

האם ראיתי פעילות כזו במכשירים שלי? לא, אבל אינני מטרה סבירה למעקב כזה או אחר כירורגיה. זה עדיין יכול לקרות למישהו אחר.

הנה שאלת המפתח: אם לא היה לי סמארטפון, האם זה היה מונע מגורמים לרגל אחרי אותי אם הם רוצים?

לפני השקת הסמארטפונים, כל ממשלה גדולה בעולם כבר הייתה מעורבת בריגול ומעקב. מלחמת העולם השנייה ניצחה ככל הנראה על ידי שבירת קוד אניגמה וקבלת גישה לתבונה שהסתירה. אין להאשים את הטלפונים החכמים, אך כעת יש משטח התקפה גדול יותר - במילים אחרות, יש דרכים נוספות לרגל אחריך.

לעטוף

לאחר הבדיקה שלי, אני בטוח שאף אחד מהמכשירים בהם השתמשתי אינו עושה דבר חריג או רע. עם זאת, נושא הפרטיות גדול יותר מאשר רק מכשיר שאינו זדוני בכוונה. הנהלים העסקיים של חברות כמו גוגל, פייסבוק וטוויטר ניתנים לוויכוח רב ולעיתים קרובות הם דוחפים את גבולות הפרטיות.

באשר לריגול, אין טנדר לבן לבן שחונה מחוץ לבית שלי צופה בתנועות שלי ומפנה מיקרופון כיוון אל חלונותיי. אני רק בדקתי. אף אחד לא פורץ את הטלפון שלי. זה לא אומר שהם לא יכולים.