Innhold

• Setup
• Det jeg så
• Annonser
• Amazon AWS
• OK, Google
• Hva vet Google om meg?
• Hva med Facebook, Twitter og andre?
• Potensiell vs faktisk
• Wrap-up

Digital personvern er et hett tema. Vi har flyttet inn i en tid der nesten alle har et tilkoblet apparat. Alle har et kamera. Mange av våre daglige aktiviteter - fra å sykle på bussen til å få tilgang til bankkontoer - gjøres online. Spørsmålet oppstår, "hvem holder rede på alle disse dataene?"

Noen av verdens største teknologiselskaper blir undersøkt hvordan de bruker dataene våre. Hva vet Google om deg? Er Facebook gjennomsiktig om hvordan den håndterer dataene dine? Spionerer Huawei på oss?

For å prøve å svare på noen av disse spørsmålene, opprettet jeg et spesielt Wi-Fi-nettverk som lot meg fange opp hver pakke med data som sendes fra en smarttelefon til Internett. Jeg ville se om noen av enhetene mine i all hemmelighet sendte data til eksterne servere uten min viten. Spionerer telefonen på meg?

Setup

For å fange opp alle dataene som flyter frem og tilbake fra smarttelefonen min, trengte jeg et privat nettverk, et der jeg er sjef, hvor jeg er rot, der jeg er administrator. Når jeg har full kontroll over nettverket, kan jeg overvåke alt som går inn og ut av nettverket. For å gjøre dette satte jeg opp en Raspberry Pi som et Wi-Fi-tilgangspunkt. Jeg kalte det fantasifullt PiNet. Deretter koblet jeg smarttelefonen under test til PiNet og deaktiverte mobildata (for å være dobbelt sikker på at jeg får all trafikken). På dette tidspunktet var smarttelefonen koblet til Raspberry Pi, men ingenting annet. Neste trinn er å konfigurere Pi-en til å videresende all trafikk den får ut til Internett. Dette er grunnen til at Pi er en så flott enhet, siden mange modeller har både Wi-Fi og Ethernet om bord. Jeg koblet Ethernet til ruteren min, og nå må alt som smarttelefonen sender og mottar strømme gjennom Raspberry Pi.

Det er mange verktøy for nettverksanalyse der ute, og et av de mest populære er WireShark. Det gjør det mulig å fange og behandle sanntid av hver datapakke som flyr over et nettverk. Med min Pi mellom smarttelefonene mine og Internett, brukte jeg WireShark til å fange opp alle dataene. Når jeg ble tatt til fange, kunne jeg analysere det på fritiden. Fordelen med metoden “ta tak nå, still spørsmål senere” er at jeg kan la oppsettet gå over natten og se hvilke hemmeligheter smarttelefonen min avslører midt på natten!

Jeg testet fire enheter:

• Huawei Mate 8
• Pixel 3 XL
• OnePlus 6T
• Galaxy Note 9

Det jeg så

Det første jeg la merke til var smarttelefonene våre som snakket med Google mye. Jeg antar at det ikke burde overraske meg - hele Android-økosystemet er bygget rundt Googles tjenester - men det var interessant å se hvordan når jeg vekket en enhet fra dvale, den skurrer av og sjekker Gmail og gjeldende nettverkstid (via NTP) og en hel haug med andre ting. Jeg ble også overrasket over hvor mange domenenavn Google eier. Jeg ventet at alle serverne skulle være det something.whatever.google.com, men Google har domener med navn som 1e100.net (som jeg antar er en henvisning til et Googolplex), gstatic.com, crashlytics.com, og så videre.

Jeg sjekket og bekreftet hvert domene og hver IP-adresse testenhetene kontaktet for å være sikker på at jeg visste hvem smarttelefonen min snakket med.

I tillegg til å snakke med Google, virker smarttelefonene våre ganske bekymringsløse sosiale sommerfugler og har en bred vennekrets. Disse er selvfølgelig direkte proporsjonale med hvor mange apper du har installert. Hvis du har WhatsApp og Twitter installert, gjett hva, enheten kontakter WhatsApps og Twitter-servere med jevne mellomrom!

Så jeg noen ubehagelige forbindelser til servere i Kina, Russland eller Nord-Korea? Nei.

Annonser

Noe smarttelefonen din ofte gjør er å koble seg til Content Delivery Networks for å få annonser. Igjen, hvilke nettverk den kobles til, og hvor mange, vil avhenge av appene du installerer. De fleste annonseringsstøttede apper vil bruke biblioteker levert av annonsenettverket, noe som betyr at apputvikleren har liten eller ingen kunnskap om hvordan annonsene faktisk blir vist eller hvilke data som blir sendt til annonsenettverket. De vanligste annonseleverandørene jeg så var Doubleclick og Akamai.

Når det gjelder personvern, kan disse annonsebibliotekene være et kontroversielt emne, fordi en apputvikler i utgangspunktet stoler på plattformen til å gjøre det rette med dataene og bare sender det som er strengt nødvendig for å vise annonsene. Vi har alle sett hvor pålitelige annonseplattformer er under vår daglige bruk av nettet. Pop-ups, pop-unders, automatisk avspilling av videoer, upassende annonser, annonser som tar over hele skjermen - listen fortsetter. Hvis annonser ikke var så påtrengende, ville det aldri vært annonseblokkere.

Amazon AWS

Jeg så en god del nettverksaktivitet relatert til Amazons Web Services (AWS). Som en stor leverandør av skyserver er Amazon ofte det logiske valget for apputviklere som trenger databaser og andre prosesseringsevner på en server, men ikke ønsker å opprettholde sine egne fysiske servere.

Totalt sett bør tilkoblinger til AWS anses som uskyldige. De er der for å tilby tjenestene du ba om. Imidlertid fremhever den åpne naturen til tilkoblede enheter. Når du har installert en app, er det potensielt at den kan sende alle dataene den har samlet til en feil, selv via en anerkjent tjenesteleverandør som Amazon. Android verner mot dette på flere måter, inkludert ved å håndheve tillatelser på apper, og med tjenester som Play Protect. Dette er grunnen til at sidelastende apper kan være veldig farlige.

OK, Google

Siden PiNet tillot meg å fange opp hver nettverkspakke, var jeg opptatt av å sjekke om Google i hemmelighet spionerte på meg ved å aktivere mikrofonen på Pixel 3 XL og sende dataene til Google. Når du aktiverer Voice Match på Pixel 3 XL, vil den lytte permanent etter nøkkelordene “OK Google” eller “Hei Google.” Å lytte permanent høres farlig ut for meg. Som enhver politiker vil fortelle deg, er en åpen mikrofon en fare for å unngå!

Enheten er ment å lytte lokalt etter nøkkelfrasen, uten å koble til internett. Hvis nøkkelfrasen ikke blir hørt, skjer det ingenting. Når nøkkelfrasen er oppdaget, vil enheten sende et utdrag til Googles servere for å dobbeltsjekke om det var en falsk positiv. Hvis alt sjekker ut, sender enheten lyd til Google i sanntid til enten en kommando blir forstått, eller enheten slutter.

Det var det jeg så.

Det er ingen nettverkstrafikk i det hele tatt, selv når jeg snakket direkte på telefonen. I det øyeblikket jeg sa "Hei Google", ble en sanntidsstrøm av nettverkstrafikk sendt til Google, til interaksjonen stoppet. Jeg prøvde å lure Pixel 3 XL med små varianter av nøkkelfrasen som "Be Google" eller "Hey Goggle." En gang klarte jeg å få den til å sende et kodebit til Google for videre validering, men enheten fikk ikke bekreftelse og det Assistent aktiverte ikke.

Hva vet Google om meg?

Google tilbyr en tjeneste som heter Takeout som lar deg laste ned alle dataene dine fra Google, tilsynelatende slik at du kan migrere dataene dine til andre tjenester. Imidlertid er det også en god måte å se hvilke data Google har på deg. Hvis du prøver å laste ned alt det resulterende arkivet kan være enormt (kanskje mer enn 50 GB), men det vil inkludere alle bildene dine, alle videoklippene, alle filene du har lagret på Google Drive, alt du lastet opp til YouTube, alle e-postene dine , og så videre. Som en måte å sjekke personvernet, trenger jeg ikke se hvilke bilder Google har, det vet jeg allerede. På samme måte vet jeg hvilke e-postmeldinger jeg har, hvilke filer jeg har på Google Drive, og så videre. Imidlertid, hvis jeg ekskluderer de klumpete medieartiklene fra nedlastingen og konsentrerer meg om aktivitet og metadata, kan nedlastingen være ganske liten.

Jeg lastet ned Takeout min nylig og hadde en kikk på meg for å se hva Google vet om meg. Dataene kommer som en eller flere .zip-filer som inneholder mapper for hvert av de forskjellige områdene, inkludert Chrome, Google Pay, Google Play Musikk, Min aktivitet, kjøp, oppgave, og så videre.

Dykking i hver mappe viser hva Google vet om deg i det området. For eksempel er det en kopi av Chrome-bokmerkene mine og en kopi av spillelistene jeg opprettet på Google Play Musikk. Til å begynne med var det ikke noe overraskende. Jeg forventet en liste over påminnelsene mine, siden jeg opprettet dem ved hjelp av Google Assistant, så Google burde ha en kopi av dem. Men det var en eller to overraskelser, selv for noen som var "teknisk kyndige" som meg.

Den første var en mappe med MP3-innspillinger av alt jeg noensinne sa til meg. Det var også en HTML-fil med en transkripsjon av alle disse kommandoene. For å avklare, dette er kommandoer jeg ga Google Assistant etter at den ble aktivert med "Hei Google." For å være ærlig forventet jeg ikke at Google ville beholde en MP3-fil med alle kommandoene mine.OK, jeg ser at det er en viss teknisk verdi i å kunne sjekke kvaliteten på Assistant, men jeg tror ikke Google trenger å beholde disse lydfilene. Det er litt mye.

Det var også en liste over alle artikklene jeg noensinne har lest på Google News, en oversikt over hver gang jeg spilte Solitaire, og alle søkene jeg har gjort på Google Play Music som går nesten fem år tilbake!

Det viser seg at Google behandler alle e-postadressene dine leter etter kjøp og lager en oversikt over dem.

Den som virkelig sjokkerte meg var i Innkjøp-mappen. Her hadde Google oversikt over alt jeg noen gang har kjøpt på nettet. Den eldste varen var fra 2010, da jeg kjøpte noen flybilletter. Poenget her er at jeg ikke kjøpte disse billettene, eller noen av varene, via Google. Jeg har kjøpsposter for varer fra Amazon, eBay og iTunes. Det er til og med poster over bursdagskort jeg kjøpte.

Når jeg graver dypere begynte jeg å finne kjøp jeg ikke gjorde! Etter litt riper i hodet viser det seg at disse postene er resultatene av at Google har behandlet e-postene mine og gjettet på kjøp jeg har gjort. Du har sikkert sett dette spesielt med tanke på flyreiser. Hvis du åpner en e-post fra et flyselskap, legger Gmail nyttig sammendragsinformasjon om flyreisen din i en spesiell fane øverst på.

Det viser seg at Google behandler alle e-postadressene dine leter etter kjøp og lager en oversikt over dem. Når noen videresender deg en e-post om noe de har kjøpt, kan Google til og med utilsiktet analysere den som et kjøp du har gjort!

Hva med Facebook, Twitter og andre?

Sosiale medier og personvern er på noen måter selvmotsigende. Som Harold Finch sa i TV-showet Person of Interest om sosiale medier, “Regjeringen hadde prøvd å finne ut av det i mange år. Det viser seg at folk var glade for å melde seg frivillig. ”Med sosiale medier legger vi villig ut informasjon inkludert bursdager, navn, venner, kolleger, bilder, interesser, ønskelister og ambisjoner. Da vi har publisert all den informasjonen, blir vi sjokkerte når den brukes på måter vi ikke hadde tenkt. Som en annen berømt karakter sa om en spillehall, han frekvente: "Jeg er sjokkert, sjokkert over å finne at det foregår spill her inne!"

Alle de store sosiale mediesidene, inkludert Facebook og Twitter, har personvernregler, og de er ganske brede i hva de dekker. Her er et utdrag fra Twitter's policy:

"I tillegg til informasjonen du deler med oss, bruker vi tweets, innhold du har lest, likte eller retweetet og annen informasjon for å bestemme hvilke emner du er interessert i, din alder, språkene du snakker og andre signaler for å vise deg mer relevant innhold. "

Så er enheten din koblet til Twitter og lar Twitter bestemme ting som alderen din, språket du snakker og hvilke ting som interesserer deg? Sikker.

Det profilerer deg - og du lar det gjøre det.

Her er hovedspørsmålet: hvis jeg ikke hadde en smarttelefon, ville det hindre enheter fra å spionere på meg hvis de ville?

Potensiell vs faktisk

Det største problemet med tilkoblede enheter og online enheter er ikke hva de gjør, men hva de kan gjøre. Jeg brukte uttrykket "enheter" med vilje fordi farene rundt masseovervåkning, spionering og profilering ikke bare handler om Google eller Facebook. Når du ignorerer ekte programvarefeil (bugs) så vel som standard forretningsmodeller for store online selskaper, er det ganske trygt å si at Google ikke spionerer på deg. Heller ikke Facebook. Regjeringen er heller ikke. Det betyr ikke at de ikke kan - eller ikke vil.

Er det noen hacker eller regjeringsspion et sted som aktiverer mikrofonen på telefonen din for å høre på deg? Nei, men de kunne det. Som vi nylig så med hendelsene rundt drapet på Jamal Khashoggi, kan enheter lure deg til å installere en app som spionerer på deg. Selskaper som Zerodium selger sårbarheter på null dager til myndigheter, noe som kan tillate skadelige apper (som Pegasus) å bli installert på enheten din uten at du vet det.

Så jeg noen slik aktivitet med enhetene mine? Nei, men jeg er ikke et sannsynlig mål for slik overvåking og skulldugging. Det kan fortsatt skje med noen andre.

Her er hovedspørsmålet: hvis jeg ikke hadde en smarttelefon, ville det hindre enheter fra å spionere på meg hvis de ville?

Før lanseringen av smarttelefoner var alle store regjeringer i verden allerede involvert i spionering og overvåking. Andre verdenskrig ble sannsynligvis vunnet ved å bryte Enigma-koden og få tilgang til etterretningen den skjulte. Smarttelefoner har ikke skylden, men nå er det en større angrepsflate - det er med andre ord flere måter å spionere på deg på.

Wrap-up

Etter testingen er jeg sikker på at ingen av enhetene jeg brukte gjør noe uvanlig eller ondskapsfullt. Imidlertid er personvernspørsmålet større enn bare en enhet som ikke blir med vilje. Forretninger fra selskaper som Google, Facebook og Twitter kan diskuteres veldig, og de ser ofte ut til å skyve grensene for personvern.

Når det gjelder spionering, er det ingen hvit varebil parkert utenfor huset mitt og ser på bevegelsene mine og peker en retningsmikrofon mot vinduene mine. Jeg sjekket akkurat. Ingen hacker telefonen min. Det betyr ikke at de ikke kan gjøre det.