Content

• Configuració
• El que vaig veure
• Anuncis
• Amazon AWS
• D'acord, Google
• Què sap Google de mi?
• Què passa amb Facebook, Twitter i altres?
• Potencial vs actual
• Embolicar

La privadesa digital és un tema fort. Ens hem convertit en una era en què gairebé tothom porta un dispositiu connectat. Tothom té una càmera. Moltes de les nostres activitats diàries, des de pujar a l’autobús fins a accedir als nostres comptes bancaris, es realitzen en línia. Se planteja la pregunta: "qui fa un seguiment de totes aquestes dades?"

Algunes de les companyies tecnològiques més grans del món estan estudiades sobre com utilitzen les nostres dades. Què sap Google de vosaltres? És transparent Facebook sobre com gestionen les vostres dades? Huawei ens està espiant?

Per intentar respondre a algunes d’aquestes preguntes, vaig crear una xarxa Wi-Fi especial que em permetia capturar tots els paquets de dades que s’envien des d’un telèfon intel·ligent a Internet. Volia veure si algun dels meus dispositius enviava secretament dades a servidors remots sense el meu coneixement. El meu telèfon m’està espiant?

Configuració

Per capturar totes les dades que surten d’ara i d’abans des del meu telèfon intel·ligent, necessitava una xarxa privada, una on sóc el cap, on sóc root, on sóc administrador. Un cop tingui el control total de la xarxa, puc supervisar tot el que entra i surt de la xarxa. Per fer-ho, vaig configurar un Raspberry Pi com a punt d'accés Wi-Fi. L’imaginativament l’anomenem PiNet. A continuació, vaig connectar el telèfon intel·ligent a prova amb PiNet i les dades mòbils desactivades (per estar segur que estic aconseguint tot el trànsit). En aquest moment, es va connectar el telèfon intel·ligent al Raspberry Pi, però res més. El següent pas és configurar el Pi per reenviar tot el trànsit que surti a Internet. Per això, el Pi és un dispositiu tan excel·lent, ja que molts models tenen Wi-Fi i Ethernet a bord. He connectat l’Ethernet al meu encaminador i ara tot el que envia i rep el telèfon intel·ligent ha de passar pel Raspberry Pi.

Hi ha moltes eines d’anàlisi de xarxa i una de les més populars és WireShark. Permet capturar i processar en temps real de tots els paquets de dades que volen per una xarxa. Amb el meu pi entre els meus telèfons intel·ligents i Internet, he utilitzat WireShark per capturar totes les dades. Un cop capturat, vaig poder analitzar-lo al meu temps. L’avantatge del mètode “capturar ara, fer preguntes més endavant” és que puc deixar la configuració en funcionament durant la nit i veure quins secrets està revelant el meu telèfon intel·ligent enmig de la nit!

He provat quatre dispositius:

• Huawei Mate 8
• Píxel 3 XL
• OnePlus 6T
• Galaxy Galaxy Nota 9

El que vaig veure

El primer que vaig notar va ser que els nostres telèfons intel·ligents parlessin amb Google molt. Suposo que això no hauria d’estranyar-me: tot l’ecosistema d’Android es construeix al voltant dels serveis de Google - però va ser interessant veure com quan vaig despertar un dispositiu des del somni, es desfaia i comprova el vostre Gmail i l’hora de la xarxa actual (via NTP). i un munt d’altres coses. També em va sorprendre el nombre de dominis que té Google. Jo esperava que fossin tots els servidors alguna cosa que sigui.google.com, però Google té dominis amb noms com 1e100.net (que suposo que és una referència a un Googolplex), gstatic.com, crashlytics.com, etc.

Vaig comprovar i verificar tots els dominis i totes les adreces IP dels contactes dels dispositius de prova per estar segurs de qui parlava amb el meu telèfon intel·ligent.

A més de parlar amb Google, els nostres telèfons intel·ligents semblen papallones socials despreocupades i tenen un ampli cercle d'amics. Aquestes, naturalment, són directament proporcionals a quantes aplicacions heu instal·lat. Si teniu WhatsApp i Twitter instal·lats, endevineu què, el vostre dispositiu contacta de forma regular amb els servidors de WhatsApp i Twitter.

He vist connexions nefastes a servidors de la Xina, Rússia o Corea del Nord? No.

Anuncis

Alguna cosa que fa el vostre telèfon intel·ligent és connectar-se a les xarxes d’entrega de contingut per obtenir anuncis. De nou, quines xarxes connecta i quantes dependran de les aplicacions que instal·leu. La majoria d'aplicacions admeses a publicitat faran servir les biblioteques proporcionades per la xarxa d'anuncis, cosa que significa que el desenvolupador d'aplicacions no té prou coneixement de com es publiquen els anuncis o de quines dades s'envien a la xarxa publicitària. Els proveïdors d'anuncis més comuns que vaig veure van ser Doubleclick i Akamai.

Pel que fa a la privadesa, aquestes biblioteques d’anuncis poden ser un tema controvertit, perquè un desenvolupador d’aplicacions bàsicament confia en la plataforma per fer el correcte amb les dades i només enviar el que sigui estrictament necessari per publicar els anuncis. Tots hem vist com són les plataformes d’anuncis de confiança durant l’ús diari del web. Pop-ups, finestres emergents, vídeos de reproducció automàtica, anuncis inapropiats, anuncis que es facin càrrec de tota la pantalla: la llista continua. Si els anuncis no fossin tan intrusius, no hi hauria mai bloquejadors d’anuncis.

Amazon AWS

Vaig veure una bona quantitat d’activitat de xarxa relacionada amb els serveis web d’AWS d’Amazon. Com a gran proveïdor de servidors en núvol, Amazon és l’opció lògica per als desenvolupadors d’aplicacions que necessiten bases de dades i altres capacitats de processament en un servidor, però no volen mantenir els seus propis servidors físics.

En general, les connexions a AWS haurien de considerar-se innòcues. Hi són per proporcionar els serveis que vau sol·licitar. Tot i així, destaca la naturalesa oberta dels dispositius connectats. Una vegada que instal·leu una aplicació, hi ha possibles que pugui enviar totes les dades que ha recopilat a una informació fal·lant, fins i tot a través d’un prestador de serveis de renom com Amazon. Android ho protegeix de diverses maneres, incloses mitjançant l'aplicació de permisos en aplicacions i amb serveis com Play Protect. És per això que les aplicacions de càrrega lateral poden ser molt perilloses.

D'acord, Google

Com que PiNet em va permetre capturar tots els paquets de xarxa, vaig voler comprovar si Google m’estava espiant en secret activant el micròfon del meu Pixel 3 XL i enviant les dades a Google. Quan activeu Voice Match al Pixel 3 XL, escoltarà de forma permanent les frases claus “OK Google” o “Hola Google”. Escoltar de manera permanent em sembla perillós. Com qualsevol polític us dirà, qualsevol micròfon obert és un risc que cal evitar a tota costa.

El dispositiu està pensat per escoltar localment la frase de clau, sense connectar-se a Internet. Si no s'escolta la frase clau, no passa res. Un cop detectada la frase de clau, el dispositiu enviarà un fragment als servidors de Google per comprovar el doble de positiu. Si tot es comprova, el dispositiu envia àudio a Google en temps real fins que no s’entengui una ordre o bé el dispositiu s’esgota.

Això ho vaig veure.

No hi ha trànsit de xarxa, fins i tot quan parlava directament per telèfon. En el moment en què vaig dir "Hola Google" es va enviar a Google un flux de trànsit en temps real fins que es va aturar la interacció. Vaig provar de trucar el Pixel 3 XL amb lleus variacions de la frase de clau com "Pray Google" o "Hey Goggle". Una vegada vaig aconseguir que enviés un fragment a Google per a una major validació, però el dispositiu no va obtenir confirmació. L'assistent no s'ha activat.

Què sap Google de mi?

Google ofereix un servei anomenat Takeout que us permet descarregar totes les vostres dades de Google, aparentment i de manera que pugueu migrar les vostres dades a altres serveis. Tot i això, també és una bona manera de veure quines dades té Google sobre vosaltres. Si intenteu descarregar tot l'arxiu resultant pot ser enorme (potser més de 50 GB), però inclourà totes les vostres fotos, tots els vostres videoclips, tots els fitxers que heu desat a Google Drive, tot el que heu penjat a YouTube, tots els vostres correus electrònics. , etcètera. Com a manera de comprovar la privadesa, no necessito veure quines fotos té Google, ja ho sé. De la mateixa manera, sé quins correus electrònics tinc, quins fitxers tinc a Google Drive, etc. Tanmateix, si exclogué aquells elements multimèdia voluminosos de la descàrrega i em concentro en l’activitat i els metadats, la descàrrega pot ser molt reduïda.

Fa poc vaig descarregar el Takeout i vaig fer un cop d’ull per veure què sap Google de mi. Les dades arriben com a un o més fitxers .zip que contenen carpetes per a cadascuna de les diferents àrees, inclosos Chrome, Google Pay, Google Play Music, La meva activitat, compres, tasca, etc.

El busseig a cada carpeta mostra el que Google sap de vosaltres a la zona. Per exemple, hi ha una còpia de les meves adreces d'interès de Chrome i una còpia de les llistes de reproducció que he creat a Google Play Music. Al principi, no va sorprendre res. M'esperava una llista dels meus recordatoris, ja que els vaig crear mitjançant Google Assistant, de manera que Google en tindria una còpia. Però hi va haver una o dues sorpreses, fins i tot per a algú tan “tecnològic” com jo.

El primer va ser una carpeta d’enregistraments en MP3 de tot el que he dit mai. També hi va haver un fitxer HTML amb una transcripció de totes aquestes ordres. Per aclarir, es tracta d’ordres que vaig donar a Google Assistant després d’haver estat activat amb “Hey Google”. Per ser sincer, no esperava que Google conservés un fitxer MP3 de totes les meves ordres.D’acord, aconsegueixo que hi hagi algun valor d’enginyeria per poder comprovar la qualitat d’assistent, però no crec que Google necessiti conservar aquests fitxers d’àudio. És una mica.

També hi havia una llista de tots els articles que he llegit alguna vegada a Google News, un registre de cada cop que vaig jugar a Solitaire i de totes les cerques que he fet a Google Play Music remuntant gairebé cinc anys!

Resulta que Google processa tots els vostres correus electrònics buscant compres i en crea un registre.

El que realment em va impactar va ser a la carpeta Compres. Aquí Google tenia un registre de tot el que he comprat en línia. L’article més antic va ser el 2010, quan vaig comprar uns bitllets d’avió. La qüestió és que no he comprat aquestes entrades ni cap article a través de Google. Tinc registres de compra d’articles d’Amazon, eBay i iTunes. Fins i tot hi ha registres de targetes d’aniversari que he comprat.

Cavant més a fons vaig començar a trobar compres que no vaig fer. Després d’haver-se ratllat cap, resulta que aquests registres són els resultats del processament de Google dels meus missatges de correu electrònic i de l’endevinació de les compres que he fet. Probablement ho heu vist especialment pel que fa als vols. Si obriu un correu electrònic des d’una companyia aèria, Gmail posa de manera útil algunes dades resumides sobre el vostre vol en una pestanya especial a la part superior de la pàgina.

Resulta que Google processa tots els vostres correus electrònics buscant compres i en crea un registre. Si algú us envia un correu electrònic sobre alguna cosa que ha comprat, Google pot fins i tot inadvertir analitzar-lo com a compra que heu fet.

Què passa amb Facebook, Twitter i altres?

Els mitjans socials i la privacitat són, en certa manera, contradictoris. Com va dir Harold Finch al programa de televisió Persona d’Interès sobre les xarxes socials, “El govern fa anys que intentava resoldre-ho. Resulta que la majoria de la gent estava contenta de fer-ho voluntari. ”Amb les xarxes socials, publicem voluntàriament informació que inclouen aniversaris, noms, amics, companys, fotos, interessos, llistes de desitjos i aspiracions. Després, després d’haver publicat tota aquesta informació, ens sorprèn quan s’utilitza de manera que no preteníem. Com va dir un altre personatge famós sobre una sala de jocs que ell va freqüentar, "Estic xocat, sorprès per trobar que aquí hi ha jocs!"

Tots els grans llocs de xarxes socials, inclosos Facebook i Twitter, tenen polítiques de privadesa i són prou àmplies en el que cobreixen. Aquí teniu un fragment de la política de Twitter:

"A més de la informació que compartiu amb nosaltres, utilitzem els vostres tuits, contingut que heu llegit, us ha agradat o retuit, i altra informació per determinar quins temes us interessen, la vostra edat, els idiomes que parleu i altres senyals. per mostrar-vos contingut més rellevant. "

Per tant, el vostre dispositiu es connecta a Twitter i permet que Twitter determini coses com la vostra edat, l’idioma que parleu i quines coses us interessen? Segur.

Et perfila, i ho deixes fer.

Heus aquí la pregunta clau: si no disposés d’un telèfon intel·ligent, això impediria que les entitats m’espionessin si volguessin?

Potencial vs actual

El major problema amb els dispositius connectats i les entitats en línia no és el que fan, sinó el que podrien fer. He utilitzat la frase "entitats" intencionadament perquè els perills de la vigilància massiva, espionatge i perfilació no són només de Google o Facebook. Ignorant els errors de programari (errors) autèntics, així com els models de negoci estàndard de les grans empreses en línia, és bastant segur dir que Google no us espia. Tampoc és Facebook. Tampoc el govern. Això no significa que no puguin o no ho aconseguiran.

Hi ha algun hacker o espia del govern en algun lloc que activa el micròfon del vostre telèfon per escoltar-lo? No, però podrien. Com vam veure recentment amb els fets entorn de l'assassinat de Jamal Khashoggi, les entitats poden enganyar-vos a instal·lar una aplicació que us espioni. Empreses com Zerodium venen vulnerabilitats al dia zero als governs, cosa que podria permetre que s’instal·lin aplicacions malintencionades (com Pegasus) al vostre dispositiu sense que ho sabeu.

He vist alguna activitat d’aquest tipus amb els meus dispositius? No, però no sóc un objectiu probable per a aquest tipus de vigilància i defensa. Encara podria passar amb algú altre.

Heus aquí la pregunta clau: si no disposés d’un telèfon intel·ligent, això impediria que les entitats m’espionessin si volguessin?

Abans del llançament de telèfons intel·ligents, tots els governs importants del món ja estaven implicats en espionatge i vigilància. La Segona Guerra Mundial es va guanyar probablement en trencar el codi Enigma i accedir a la intel·ligència que amagava. Els telèfons intel·ligents no tenen la culpa, però ara hi ha una superfície d’atac més gran, és a dir, hi ha més maneres d’espiar-te.

Embolicar

Després de la prova, confio que cap dels dispositius que he utilitzat no fa res inusual o dolent. Tanmateix, el problema de la privadesa és més gran que un dispositiu que no està sent mal intencionadament maliciós. Les pràctiques comercials d’empreses com Google, Facebook i Twitter són molt discutibles i sovint semblen empènyer els límits de la privadesa.

Pel que fa a l’espionatge, no hi ha cap furgoneta blanca estacionada fora de casa mirant els meus moviments i assenyalant un micròfon direccional a les finestres. Acabo de comprovar. Ningú no em pirata el telèfon. Això no vol dir que no puguin.