Innehåll
- Inrätta
- Vad jag såg
- annonser
- Amazon AWS
- OK, Google
- Vad vet Google om mig?
- Vad sägs om Facebook, Twitter och andra?
- Potential vs Faktisk
- Sammanfatta
Digital integritet är ett hett ämne. Vi har flyttat in i en era där nästan alla bär en ansluten enhet. Alla har en kamera. Många av våra dagliga aktiviteter - från att åka buss till åtkomst till våra bankkonton - görs online. Frågan uppstår, "vem håller reda på all den informationen?"
Några av världens största teknikföretag granskas hur de använder våra data. Vad vet Google om dig? Är Facebook öppet för hur det hanterar dina data? Spionerar Huawei på oss?
För att försöka svara på några av dessa frågor skapade jag ett speciellt Wi-Fi-nätverk som låter mig fånga varje paket med data som skickas från en smartphone till Internet. Jag ville se om någon av mina enheter i hemlighet skickade data till fjärrservrar utan min vetskap. Spionerar min telefon på mig?
Inrätta
För att fånga all information som flyter fram och tillbaka från min smartphone behövde jag ett privat nätverk, ett där jag är chef, där jag är rot, där jag är admin. När jag har full kontroll över nätverket kan jag övervaka allt som går in och ut ur nätverket. För att göra detta skapade jag en Raspberry Pi som en Wi-Fi-åtkomstpunkt. Jag kallade fantasifullt det PiNet. Därefter anslöt jag smarttelefonen under test till PiNet och inaktiverade mobildata (för att vara dubbla säker på att jag får all trafik). Vid denna tidpunkt var smarttelefonen ansluten till Raspberry Pi men inget annat. Nästa steg är att konfigurera Pi för att vidarebefordra all trafik som den får ut till Internet. Det är därför Pi är en så bra enhet, eftersom många modeller har både Wi-Fi och Ethernet ombord. Jag anslöt Ethernet till min router och nu måste allt som smarttelefonen skickar och tar emot flyta genom Raspberry Pi.
Det finns massor av nätverksanalysverktyg där ute och ett av de mest populära är WireShark. Det möjliggör i realtid fångst och bearbetning av varje datapaket som flyger över ett nätverk. Med min Pi mellan mina smartphones och Internet, använde jag WireShark för att fånga all data. När jag fångats kunde jag analysera det på min fritid. Fördelen med metoden “fånga nu, ställa frågor senare” är att jag kan lämna installationen igång över natten och se vilka hemligheter min smartphone avslöjar mitt på natten!
Jag testade fyra enheter:
- Huawei Mate 8
- Pixel 3 XL
- OnePlus 6T
- Galaxy Note 9
Vad jag såg
Det första jag märkte var våra smartphones prata med Google mycket. Jag antar att det inte borde överraska mig - hela Android-ekosystemet är byggt runt Googles tjänster - men det var intressant att se hur när jag vaknade en enhet från sömn, det skurrar av och kontrollerar din Gmail och den aktuella nätverkstiden (via NTP) och en hel massa andra saker. Jag blev också förvånad över hur många domännamn som Google äger. Jag förväntade mig att alla servrar skulle vara det something.whatever.google.com, men Google har domäner med namn som 1e100.net (som jag antar är en hänvisning till ett Googolplex), gostat.com, crashlytics.com och så vidare.
Jag kontrollerade och verifierade varje domän och varje IP-adress som testenheterna kontaktade för att vara säker på att jag visste vem min smartphone talade med.
Förutom att vi pratar med Google verkar våra smartphones ganska sorglösa sociala fjärilar och har en bred vänskrets. Dessa är naturligtvis direkt proportionella mot hur många appar du har installerat. Om du har WhatsApp och Twitter installerat, gissa vad, din enhet kontaktar WhatsApps och Twitters servrar regelbundet!
Såg jag några besvärliga anslutningar till servrar i Kina, Ryssland eller Nordkorea? Nej.
annonser
Något som din smartphone ofta gör är att ansluta till Content Delivery Networks för att få annonser. Återigen, vilka nätverk den ansluter till och hur många beror på apparna du installerar. De flesta annonsstödda appar kommer att använda bibliotek som tillhandahålls av annonsnätverket, vilket innebär att apputvecklaren har liten eller ingen kunskap om hur annonserna faktiskt visas eller vilken information som skickas till annonsnätverket. De vanligaste annonsleverantörerna jag såg var Doubleclick och Akamai.
När det gäller sekretess kan dessa annonsbibliotek vara ett kontroversiellt ämne, eftersom en apputvecklare i princip litar på plattformen för att göra det rätta med uppgifterna och bara skicka det som strikt behövs för att visa annonserna. Vi har alla sett hur pålitliga annonsplattformar är under vår dagliga användning av webben. Pop-ups, pop-unders, auto-spela videor, olämpliga annonser, annonser som tar över hela skärmen - listan fortsätter. Om annonser inte var så påträngande skulle det aldrig finnas annonsblockerare.
Amazon AWS
Jag såg en hel del nätverksaktivitet relaterad till Amazons webbtjänster (AWS). Som en viktig leverantör av molnserver är Amazon ofta det logiska valet för apputvecklare som behöver databaser och andra behandlingsförmågor på en server, men inte vill behålla sina egna fysiska servrar.
Sammantaget bör anslutningar till AWS anses oskadliga. De är där för att tillhandahålla de tjänster du bad om. Det belyser dock den öppna naturen hos anslutna enheter. När du installerar en app finns det potential att den kan skicka all information som den har samlat in till en felaktig, även via en ansedd tjänsteleverantör som Amazon. Android skyddar mot detta på flera sätt, inklusive genom att upprätthålla behörigheter på appar och med tjänster som Play Protect. Detta är anledningen till att appar med sidladdning kan vara mycket farliga.
OK, Google
Eftersom PiNet tillät mig att fånga varje nätverkspaket var jag angelägen om att kontrollera om Google hemligt spionerade på mig genom att aktivera mikrofonen på min Pixel 3 XL och skicka data till Google. När du aktiverar Voice Match på Pixel 3 XL lyssnar den permanent för nyckelfraser “OK Google” eller “Hej Google.” Att lyssna permanent låter farligt för mig. Som alla politiker säger är en öppen mikrofon en risk att undvikas till varje pris!
Enheten är avsett att lyssna lokalt efter nyckelfrasen utan att ansluta till internet. Om nyckelfrasen inte hörs händer ingenting. När nyckelfrasen har upptäckts skickar enheten ett kodavsnitt till Googles servrar för att dubbelkontrollera om det var falskt positivt. Om allt checkar ut skickar enheten ljud till Google i realtid tills antingen ett kommando förstås, eller så släpper enheten ut.
Det var vad jag såg.
Det finns ingen nätverkstrafik alls, även när jag pratade direkt i telefonen. Det ögonblick som jag sa "Hej Google" skickades en realtidsström av nätverkstrafik till Google tills interaktionen stannade. Jag försökte lura Pixel 3 XL med små variationer av nyckelfrasen som "Be Google" eller "Hey Goggle." En gång lyckades jag få den att skicka ett kodavsnitt till Google för ytterligare validering, men enheten fick ingen bekräftelse och så Assistenten aktiverade inte.
Vad vet Google om mig?
Google erbjuder en tjänst som heter Takeout som låter dig ladda ner all information från Google, till synes så att du kan migrera dina data till andra tjänster. Men det är också ett bra sätt att se vilka data Google har om dig. Om du försöker ladda ner allt kan det resulterande arkivet vara enormt (kanske mer än 50 GB), men det kommer att inkludera alla dina foton, alla dina videoklipp, alla filer du har sparat på Google Drive, allt du laddat upp till YouTube, alla dina e-postmeddelanden , och så vidare. Som ett sätt att kontrollera integriteten behöver jag inte se vilka bilder Google har, det vet jag redan. På samma sätt vet jag vilka e-postmeddelanden jag har, vilka filer jag har på Google Drive och så vidare. Men om jag utesluter de skrymmande medieobjekt från nedladdningen och koncentrerar mig på aktivitet och metadata, kan nedladdningen vara ganska liten.
Jag laddade ner min Takeout nyligen och hade en poke runt för att se vad Google vet om mig. Uppgifterna kommer som en eller flera .zip-filer som innehåller mappar för vart och ett av de olika områdena inklusive Chrome, Google Pay, Google Play Musik, Min aktivitet, Inköp, Uppgift och så vidare.
Dykning i varje mapp visar vad Google vet om dig inom det området. Till exempel finns det en kopia av mina Chrome-bokmärken och en kopia av spellistorna jag skapade på Google Play Musik. Till en början var det inget överraskande. Jag förväntade mig en lista med mina påminnelser, eftersom jag skapade dem med Google Assistant, så Google borde ha en kopia av dem. Men det fanns en eller två överraskningar, även för någon som var "teknisk kunnig" som jag.
Den första var en mapp med MP3-inspelningar av allt jag någonsin sa till min. Det fanns också en HTML-fil med ett transkript av alla dessa kommandon. För att klargöra är detta kommandon som jag gav Google Assistant efter att det aktiverades med "Hej Google." För att vara ärlig förväntade jag mig inte att Google skulle behålla en MP3-fil med alla mina kommandon.OK, jag ser att det finns något tekniskt värde i att kunna kontrollera assistentens kvalitet, men jag tror inte att Google behöver behålla dessa ljudfiler. Det är lite mycket.
Det fanns också en lista över all artikeln jag någonsin har läst på Google News, en post för varje gång jag spelade Solitaire och alla sökningar jag har gjort på Google Play Music som går tillbaka nästan fem år!
Det visar sig att Google bearbetar alla dina e-postmeddelanden som letar efter köp och skapar en post av dem.
Den som verkligen chockade mig fanns i mappen Inköp. Här hade Google en post av allt jag någonsin har köpt online. Den äldsta varan var från 2010, då jag köpte några flygbiljetter. Poängen här är att jag inte köpte dessa biljetter, eller någon av artiklarna, via Google. Jag har köpt poster för artiklar från Amazon, eBay och iTunes. Det finns till och med register över födelsedagskort jag köpte.
Grävde djupare Jag började hitta köp jag inte gjorde! Efter en viss skrapning av huvudet visar det sig att dessa poster är resultatet av att Google bearbetar mina e-postmeddelanden och gissade på köp jag har gjort. Du har förmodligen sett detta särskilt när det gäller flygningar. Om du öppnar ett e-postmeddelande från ett flygbolag lägger Gmail bra sammanfattande information om din flygning i en speciell flik högst upp på.
Det visar sig att Google bearbetar alla dina e-postmeddelanden som letar efter köp och skapar en post av dem. När någon vidarebefordrar ett e-postmeddelande om något de har köpt kan Google till och med oavsiktligt analysera det som ett köp du har gjort!
Vad sägs om Facebook, Twitter och andra?
Sociala medier och integritet är på vissa sätt motstridiga. Som Harold Finch sa i TV-serien Person of Interest om sociala medier, ”Regeringen hade försökt ta reda på det i flera år. Det visar sig att de flesta människor var glada att frivilligt göra det. ”Med sociala medier publicerar vi gärna information inklusive födelsedagar, namn, vänner, kollegor, foton, intressen, önskelistor och ambitioner. Sedan, efter att ha publicerat all den informationen, är vi chockade när den används på sätt som vi inte tänkte. Som en annan berömd karaktär sade om en spelhall han besökte: "Jag är chockad, chockad över att spela pågår här inne!"
Alla stora sociala mediesajter, inklusive Facebook och Twitter, har integritetspolicyer och de är ganska breda vad de täcker. Här är ett fragment från Twitter: s policy:
"Förutom information du delar med oss, använder vi dina tweets, innehåll du har läst, gillade eller retweetat och annan information för att avgöra vilka ämnen du är intresserad av, din ålder, språk du talar och andra signaler för att visa dig mer relevant innehåll. ”
Så är din enhet ansluten till Twitter och låter Twitter bestämma saker som din ålder, språket du pratar och vilka saker som intresserar dig? Säker.
Det profilerar dig - och du låter det göra det.
Här är nyckelfrågan: om jag inte hade en smartphone, skulle det hindra enheter från att spionera på mig om de ville?
Potential vs Faktisk
Det största problemet med anslutna enheter och onlineenheter är inte vad de gör, utan vad de kunde göra. Jag använde uttrycket ”enheter” avsiktligt eftersom farorna kring massövervakning, spionering och profilering inte bara handlar om Google eller Facebook. Genom att ignorera äkta programvarufel (buggar) såväl som de stora affärsmodellerna för stora onlineföretag, är det ganska säkert att Google inte spionerar på dig. Inte heller Facebook. Regeringen är inte heller. Det betyder inte att de inte kan - eller inte kommer att göra det.
Är någon hacker eller regeringsspion någonstans att aktivera mikrofonen på din telefon för att lyssna på dig? Nej, men de kunde. Som vi såg nyligen med händelserna kring mordet på Jamal Khashoggi, kan enheter lura dig att installera en app som spionerar på dig. Företag som Zerodium säljer nolldagars sårbarheter till regeringar, vilket kan tillåta skadliga appar (som Pegasus) att installeras på din enhet utan att du vet.
Såg jag någon sådan aktivitet med mina enheter? Nej, men jag är inte ett troligt mål för sådan övervakning och skuggning. Det kan fortfarande hända med någon annan.
Här är nyckelfrågan: om jag inte hade en smartphone, skulle det hindra enheter från att spionera på mig om de ville?
Före lanseringen av smartphones var varje större regering i världen redan involverad i spionering och övervakning. Andra världskriget vann förmodligen genom att bryta Enigma-koden och få tillgång till den intelligens som den gömde. Smartphones är inte skylden, men nu finns det en större attackyta - med andra ord finns det fler sätt att spionera på dig.
Sammanfatta
Efter min testning är jag övertygad om att ingen av enheterna jag använde gör något ovanligt eller ondskapsfullt. Frågan om sekretess är dock större än bara en enhet som inte avsiktligt är skadlig. Företag som Google, Facebook och Twitter är mycket diskutabla och de verkar ofta driva gränserna för integritet.
När det gäller spionering finns det ingen vit skåpbil utanför mitt hus och tittar på mina rörelser och pekar en riktningsmikrofon mot mina fönster. Jag kollade just. Ingen hackar min telefon. Det betyder inte att de inte kan göra det.
