Kandungan

• Persediaan
• Apa yang saya lihat
• Iklan
• Amazon AWS
• OK, Google
• Apa yang Google tahu tentang saya?
• Bagaimana dengan Facebook, Twitter, dan lain-lain?
• Potensi vs Sebenarnya
• Wrap-up

Privasi digital adalah topik hangat. Kami telah berpindah ke era di mana hampir semua orang membawa peranti yang bersambung. Setiap orang mempunyai kamera. Banyak aktiviti harian kami - dari menaiki bas untuk mengakses akaun bank kami - dilakukan secara dalam talian. Persoalannya timbul, "siapa yang menjejaki semua data itu?"

Sebahagian daripada syarikat teknologi terbesar di dunia berada di bawah pengawasan tentang bagaimana mereka menggunakan data kami. Apa yang diketahui oleh Google tentang anda? Adakah Facebook telus tentang bagaimana ia mengendalikan data anda? Adakah Huawei mengintip kami?

Untuk cuba menjawab beberapa soalan ini, saya membuat rangkaian Wi-Fi khas yang membolehkan saya menangkap setiap paket data yang dihantar dari telefon pintar ke Internet. Saya ingin melihat sama ada mana-mana peranti saya secara rahsia menghantar data ke pelayan jauh tanpa pengetahuan saya. Adakah telefon bimbit mengintip saya?

Persediaan

Untuk menangkap semua data yang mengalir ke belakang dari telefon pintar saya, saya memerlukan rangkaian persendirian, satu di mana saya bos, di mana saya akar, di mana saya menguruskan. Sebaik sahaja saya mempunyai kawalan penuh rangkaian, saya dapat memantau segala yang masuk dan keluar dari rangkaian. Untuk melakukan ini, saya menyediakan Raspberry Pi sebagai titik akses Wi-Fi. Saya imaginatively dipanggil PiNet. Seterusnya, saya menyambungkan telefon pintar di bawah ujian ke PiNet dan data mudah alih yang dilumpuhkan (untuk memastikan saya mendapat semua lalu lintas). Pada ketika ini, telefon pintar itu bersambung dengan Pi Raspberry tetapi tidak ada yang lain. Langkah seterusnya adalah untuk mengkonfigurasi Pi untuk meneruskan semua lalu lintas yang keluar ke Internet. Inilah sebab mengapa Pi adalah alat yang hebat, kerana banyak model mempunyai Wi-Fi dan Ethernet. Saya menyambungkan Ethernet ke router saya dan kini segala-galanya yang dihantar dan menerima telefon pintar mesti mengalir melalui Raspberry Pi.

Terdapat banyak alat analisis rangkaian di luar sana dan salah satu yang paling popular adalah WireShark. Ia membolehkan penangkapan dan pemprosesan masa nyata bagi setiap paket data yang terbang di seluruh rangkaian. Dengan Pi saya di antara telefon pintar saya dan Internet, saya menggunakan WireShark untuk menangkap semua data. Sebaik sahaja ditangkap, saya boleh menganalisis masa lapang saya. Kelebihan kaedah "menangkap sekarang, tanya soalan kemudian" adalah saya boleh meninggalkan persediaan berjalan semalaman dan melihat rahsia telefon pintar saya yang mendedahkan di tengah malam!

Saya telah menguji empat peranti:

• Huawei Mate 8
• Pixel 3 XL
• OnePlus 6T
• Galaxy Note 9

Apa yang saya lihat

Perkara pertama yang saya perhatikan adalah telefon pintar kami bercakap dengan Google banyak. Saya rasa tidak patut mengejutkan saya - keseluruhan ekosistem Android dibina di sekitar perkhidmatan Google - tetapi adalah menarik untuk melihat bagaimana apabila saya bangun peranti dari tidur, ia melepaskan dan memeriksa Gmail anda dan masa rangkaian semasa (melalui NTP) dan sebilangan besar perkara lain. Saya juga terkejut dengan berapa banyak nama domain Google yang dimilikinya. Saya menjangkakan semua pelayan menjadi something.whatever.google.com, tetapi Google mempunyai domain dengan nama seperti 1e100.net (yang saya rasa adalah rujukan kepada Googolplex), gstatic.com, crashlytics.com, dan sebagainya.

Saya memeriksa dan mengesahkan setiap domain dan setiap alamat IP peranti ujian yang dihubungi untuk memastikan saya tahu siapa telefon pintar saya bercakap.

Selain bercakap dengan Google, telefon pintar kami kelihatan rama-rama sosial yang agak riang dan mempunyai banyak kawan. Ini, tentu saja, adalah berkadar terus dengan berapa banyak aplikasi yang telah anda pasang. Jika anda memasang WhatsApp dan Twitter, tengok apa, peranti anda menjejaki pelayan WhatsApp dan Twitter secara teratur!

Adakah saya melihat apa-apa sambungan jahat ke pelayan di China, Rusia, atau Korea Utara? Tidak.

Iklan

Sesuatu yang sering dilakukan oleh telefon pintar anda adalah bersambung kepada Rangkaian Pengiriman Kandungan untuk mendapatkan iklan. Sekali lagi, rangkaian yang dihubungkan dengannya, dan berapa banyak, bergantung pada aplikasi yang anda pasang. Kebanyakan apl yang disokong iklan akan menggunakan perpustakaan yang disediakan oleh rangkaian iklan, yang bermaksud pembangun apl mempunyai sedikit atau tiada pengetahuan tentang bagaimana iklan itu sebenarnya disiarkan atau data yang dihantar ke rangkaian iklan. Penyedia iklan yang paling biasa yang saya lihat ialah Doubleclick dan Akamai.

Dari segi privasi, perpustakaan iklan ini boleh menjadi topik yang kontroversial, kerana pemaju aplikasi pada dasarnya mempercayai platform untuk melakukan perkara yang betul dengan data dan hanya menghantar apa yang sangat diperlukan untuk menyampaikan iklan. Kita semua telah melihat bagaimana platform iklan yang boleh dipercayai dalam penggunaan harian kami di web. Pop-up, video pop-under, auto-bermain, iklan yang tidak sesuai, iklan yang mengambil alih keseluruhan skrin - senarai itu menyala. Jika iklan tidak begitu mengganggu, tidak akan ada penyekat iklan.

Amazon AWS

Saya melihat sedikit aktiviti rangkaian yang berkaitan dengan Perkhidmatan Web Amazon (AWS). Sebagai penyedia pelayan awan utama, Amazon sering menjadi pilihan logik bagi pemaju aplikasi yang memerlukan pangkalan data dan kebolehan memproses lain pada pelayan, tetapi tidak mahu mengekalkan pelayan fizikal mereka sendiri.

Secara keseluruhan, sambungan ke AWS harus dianggap tidak berbahaya. Mereka ada di sana untuk menyediakan perkhidmatan yang anda minta. Walau bagaimanapun, ia menyerlahkan sifat terbuka peranti yang bersambung. Sebaik sahaja anda memasang aplikasi terdapat potensi ia boleh menghantar apa-apa dan semua data yang dikumpulkannya kepada salah laku, bahkan melalui pembekal perkhidmatan yang bereputasi seperti Amazon. Pengawal Android menentang ini dalam beberapa cara, termasuk dengan menguatkuasakan keizinan pada aplikasi, dan dengan perkhidmatan seperti Play Protect. Inilah sebabnya mengapa aplikasi bongkar muat boleh menjadi sangat berbahaya.

OK, Google

Oleh kerana PiNet membenarkan saya menangkap setiap paket rangkaian, saya berminat untuk memeriksa sama ada Google diam-diam mengintip saya dengan mengaktifkan mikrofon pada Pixel 3 XL saya dan menghantar data ke Google. Apabila anda mengaktifkan Padanan Suara pada Pixel 3 XL, ia akan mendengar secara kekal untuk kata kunci "OK Google" atau "Hey Google." Mendengar bunyi secara tetap berbahaya kepada saya. Seperti mana-mana ahli politik yang akan memberitahu anda, mikrofon terbuka adalah bahaya yang harus dielakkan di semua kos!

Peranti ini dimaksudkan untuk mendengar secara tempatan untuk keyphrase, tanpa menyambung ke internet. Jika keyphrase tidak didengar, tiada apa yang berlaku. Apabila keyphrase dikesan, peranti akan menghantar coretan kepada pelayan Google untuk menyemak semula jika ia positif palsu. Sekiranya semuanya selesai, peranti menghantar audio ke Google dalam masa nyata sehingga sama ada arahan difahami, atau masa peranti dikeluarkan.

Itulah yang saya lihat.

Tidak ada lalu lintas rangkaian sama sekali, walaupun saya bercakap terus di telefon. Sebaik sahaja saya berkata "Hey Google" arus trafik rangkaian sebenar dihantar ke Google, sehingga interaksi berhenti. Saya cuba menipu Pixel 3 XL dengan sedikit variasi keyphrase seperti "Doa Google" atau "Hey Goggle." Sekali saya berjaya mendapatkannya untuk menghantar coretan kepada Google untuk pengesahan selanjutnya, tetapi peranti itu tidak mendapat pengesahan dan sebagainya Pembantu tidak diaktifkan.

Apa yang Google tahu tentang saya?

Google menawarkan perkhidmatan yang dikenali sebagai Takeout yang membolehkan anda memuat turun semua data anda dari Google, seolah-olah anda boleh memindahkan data anda ke perkhidmatan lain. Walau bagaimanapun, ia juga merupakan cara yang baik untuk melihat data Google yang ada padamu. Jika anda cuba memuat turun semua arkib yang dihasilkan boleh menjadi besar (mungkin lebih daripada 50GB), tetapi itu akan merangkumi semua foto anda, semua klip video anda, setiap fail yang telah anda simpan di Google Drive, semua yang anda muat naik ke YouTube, semua e-mel anda , dan sebagainya. Sebagai cara untuk memeriksa privasi, saya tidak perlu melihat foto Google yang mana, saya tahu sudah. Begitu juga, saya tahu e-mel apa yang saya ada, file apa yang saya ada di Google Drive, dan sebagainya. Walau bagaimanapun, jika saya mengecualikan item media yang besar dari muat turun dan menumpukan pada aktiviti dan metadata, muat turun boleh agak kecil.

Saya memuat turun Takeout saya baru-baru ini dan mencubit sekitar untuk melihat apa yang Google tahu tentang saya. Data tersebut tiba sebagai satu atau lebih. Fail zip yang mengandungi folder untuk setiap kawasan yang berbeza termasuk Chrome, Google Pay, Muzik Google Play, Aktiviti Saya, Pembelian, Tugas, dan sebagainya.

Menyelam ke dalam setiap folder menunjukkan apa yang Google tahu tentang anda di kawasan itu. Sebagai contoh, terdapat satu salinan penanda halaman Chrome saya dan satu salinan senarai main yang saya buat di Google Play Music. Pada mulanya, tidak ada yang mengejutkan. Saya menjangkakan senarai Peringatan saya, kerana saya telah membuatnya menggunakan Pembantu Google, jadi Google sepatutnya mempunyai salinannya. Tetapi terdapat satu atau dua kejutan, walaupun bagi seseorang sebagai "teknologi cerdas" seperti saya.

Yang pertama ialah rakaman rakaman MP3 segala-galanya yang pernah saya katakan kepada saya. Terdapat juga fail HTML dengan transkrip semua arahan itu. Untuk memperjelas, ini adalah perintah yang saya berikan kepada Google Assistant selepas diaktifkan dengan "Hey Google." Jujur saya tidak mengharapkan Google menyimpan fail MP3 semua arahan saya.OK, saya dapati terdapat beberapa nilai kejuruteraan kerana dapat memeriksa kualiti Pembantu, tetapi saya tidak fikir Google perlu menyimpan fail audio ini. Ia agak banyak.

Terdapat juga senarai semua artikel yang pernah saya baca di Google News, satu rekod setiap kali saya bermain Solitaire, dan semua carian yang saya buat di Google Play Music akan kembali hampir lima tahun!

Ternyata Google memproses semua e-mel anda mencari pembelian dan mencatat rekodnya.

Yang benar-benar mengejutkan saya ialah dalam folder Pembelian. Di sini Google mempunyai rekod mengenai segala yang pernah saya beli dalam talian. Item tertua adalah dari 2010, apabila saya membeli beberapa tiket pesawat. Titik di sini ialah saya tidak membeli tiket ini, atau mana-mana item, melalui Google. Saya mempunyai rekod pembelian untuk item dari Amazon, eBay, dan iTunes. Terdapat juga rekod kad hari jadi yang saya beli.

Menggali lebih mendalam Saya mula mencari pembelian yang saya tidak buat! Selepas beberapa kepala menggaru ternyata bahawa rekod ini adalah hasil Google memproses e-mel saya dan meneka pada pembelian yang telah saya buat. Anda mungkin melihat ini terutama berkaitan dengan penerbangan. Sekiranya anda membuka e-mel dari syarikat penerbangan, Gmail membantu beberapa ringkasan maklumat mengenai penerbangan anda dalam tab khas di bahagian atas.

Ternyata Google memproses semua e-mel anda mencari pembelian dan mencatat rekodnya. Apabila seseorang menghantar e-mel kepada anda tentang sesuatu yang telah mereka beli, Google bahkan boleh mengasingkannya sebagai pembelian yang telah anda buat!

Bagaimana dengan Facebook, Twitter, dan lain-lain?

Media sosial dan privasi dalam beberapa cara bertentangan. Seperti yang dikatakan oleh Harold Finch dalam acara TV Perseorangan mengenai media sosial, "Kerajaan telah berusaha untuk memikirkannya selama bertahun-tahun. "Dengan media sosial, kami sengaja menghantar maklumat termasuk hari lahir, nama, rakan, rakan sekerja, foto, minat, senarai harapan, dan aspirasi. Kemudian, setelah menerbitkan semua maklumat itu, kami terkejut apabila ia digunakan dalam cara yang tidak kami berniat. Sebagai watak terkenal lain tentang dewan perjudian dia sering berkunjung, "Saya terkejut, terkejut mendapati perjudian sedang berlaku di sini!"

Semua laman media sosial yang besar, termasuk Facebook dan Twitter, mempunyai dasar privasi dan mereka cukup luas dalam apa yang mereka tutupi. Berikut ialah coretan dari dasar Twitter:

"Sebagai tambahan kepada maklumat yang anda kongsi dengan kami, kami menggunakan Tweet anda, kandungan yang telah anda baca, Disukai, atau Unduh, dan maklumat lain untuk menentukan topik yang anda minati, umur anda, bahasa yang anda ucapkan, dan isyarat lain untuk menunjukkan kepada anda kandungan yang lebih relevan. "

Jadi, apakah peranti anda menyambung ke Twitter dan membolehkan Twitter untuk menentukan perkara seperti umur anda, bahasa yang anda bercakap, dan perkara yang menarik minat anda? Pasti.

Ia profil anda - dan anda membiarkannya melakukannya.

Berikut adalah soalan utama: jika saya tidak mempunyai telefon pintar, adakah itu akan menghentikan entiti daripada mengintip saya jika mereka mahu?

Potensi vs Sebenarnya

Masalah terbesar dengan peranti yang disambungkan dan entiti dalam talian bukanlah apa yang mereka lakukan, tetapi apa yang mereka boleh lakukan. Saya menggunakan frasa "entiti" secara sengaja kerana bahaya di sekitar pengawasan besar-besaran, mengintip dan memfilter bukan hanya tentang Google atau Facebook. Mengabaikan kesilapan perisian tulen (pepijat) serta model perniagaan standard syarikat dalam talian yang besar, ia adalah agak selamat untuk mengatakan Google tidak mengintip anda. Tidak ada Facebook. Kerajaan juga tidak. Itu tidak bermakna mereka tidak boleh - atau tidak.

Adakah beberapa peretas atau pengintip kerajaan di mana-mana mengaktifkan mic pada telefon anda untuk mendengar anda? Tidak, tetapi mereka boleh. Seperti yang kita lihat baru-baru ini dengan peristiwa-peristiwa yang membabitkan pembunuhan Jamal Khashoggi, entiti boleh menipu anda ke dalam memasang aplikasi yang mengintip anda. Syarikat-syarikat seperti Zerodium menjual kelemahan sifar hari kepada kerajaan, yang membolehkan aplikasi jahat (seperti Pegasus) dipasang pada peranti anda tanpa anda mengetahui.

Adakah saya melihat apa-apa aktiviti dengan peranti saya? Tidak, tetapi saya bukan sasaran untuk pengawasan dan skullduggery. Ia masih boleh berlaku kepada orang lain.

Berikut adalah soalan utama: jika saya tidak mempunyai telefon pintar, adakah itu akan menghentikan entiti daripada mengintip saya jika mereka mahu?

Sebelum pelancaran telefon pintar, setiap kerajaan utama di dunia sudah terlibat dalam mengintip dan mengawasi. Perang Dunia II mungkin dimenangi dengan melanggar kod Enigma dan mendapat akses kepada kecerdasan yang disembunyikannya. Telefon pintar tidak harus dipersalahkan, tetapi sekarang terdapat permukaan serangan yang lebih besar - dengan kata lain, terdapat lebih banyak cara untuk mengintip anda.

Wrap-up

Mengikuti ujian saya, saya yakin tiada peranti yang saya gunakan lakukan sesuatu yang luar biasa atau jahat. Walau bagaimanapun, masalah privasi lebih besar daripada hanya peranti yang tidak sengaja berniat jahat. Amalan perniagaan syarikat seperti Google, Facebook, dan Twitter sangat banyak diperdebatkan dan mereka sering kelihatan menolak batas privasi.

Bagi mengintip, tidak ada van putih yang diletakkan di luar rumah saya memerhatikan pergerakan saya dan menunjuk mikrofon berarah di tingkap saya. Saya baru sahaja diperiksa. Tiada siapa menggodam telefon saya. Itu tidak bermakna mereka tidak boleh.