NộI Dung
- Thiết lập
- Những gì tôi trông thấy
- Quảng cáo
- Amazon AWS
- Được rồi, Google
- Google biết gì về tôi?
- Còn Facebook, Twitter và những người khác thì sao?
- Tiềm năng so với thực tế
- Gói lại
Quyền riêng tư kỹ thuật số là một chủ đề nóng. Chúng ta đã bước vào kỷ nguyên mà hầu hết mọi người đều mang theo một thiết bị được kết nối. Mọi người đều có máy ảnh. Nhiều hoạt động hàng ngày của chúng tôi - từ đi xe buýt đến truy cập tài khoản ngân hàng của chúng tôi - được thực hiện trực tuyến. Câu hỏi được đặt ra, người đang theo dõi tất cả dữ liệu đó?
Một số công ty công nghệ lớn nhất thế giới đang được xem xét kỹ lưỡng về cách họ sử dụng dữ liệu của chúng tôi. Google biết gì về bạn? Facebook có minh bạch về cách nó xử lý dữ liệu của bạn không? Có phải Huawei đang theo dõi chúng ta?
Để cố gắng trả lời một số câu hỏi này, tôi đã tạo một mạng Wi-Fi đặc biệt cho phép tôi chụp mọi gói dữ liệu được gửi từ điện thoại thông minh ra Internet. Tôi muốn xem liệu có bất kỳ thiết bị nào của tôi đang bí mật gửi dữ liệu đến các máy chủ từ xa mà tôi không biết. Là điện thoại của tôi gián điệp tôi?
Thiết lập
Để nắm bắt tất cả dữ liệu chảy qua lại từ điện thoại thông minh của tôi, tôi cần một mạng riêng, nơi tôi là ông chủ, nơi tôi là root, nơi tôi là quản trị viên. Khi tôi có toàn quyền kiểm soát mạng, tôi có thể giám sát mọi thứ vào và ra khỏi mạng. Để làm điều này, tôi thiết lập Raspberry Pi làm điểm truy cập Wi-Fi. Tôi tưởng tượng gọi nó là PiNet. Tiếp theo, tôi đã kết nối điện thoại thông minh đang thử nghiệm với PiNet và dữ liệu di động bị vô hiệu hóa (để chắc chắn rằng tôi sẽ nhận được tất cả lưu lượng truy cập). Tại thời điểm này, điện thoại thông minh đã được kết nối với Raspberry Pi nhưng không có gì khác. Bước tiếp theo là cấu hình Pi để chuyển tiếp tất cả lưu lượng truy cập ra Internet. Đây là lý do tại sao Pi là một thiết bị tuyệt vời như vậy, vì nhiều mô hình có cả Wi-Fi và Ethernet trên tàu. Tôi đã kết nối Ethernet với bộ định tuyến của mình và bây giờ mọi thứ mà điện thoại thông minh gửi và nhận phải truyền qua Raspberry Pi.
Có rất nhiều công cụ phân tích mạng hiện có và một trong những công cụ phổ biến nhất là WireShark. Nó cho phép thu thập và xử lý thời gian thực của mọi gói dữ liệu bay qua mạng. Với Pi giữa điện thoại thông minh của tôi và Internet, tôi đã sử dụng WireShark để thu thập tất cả dữ liệu. Sau khi chụp, tôi có thể phân tích nó lúc rảnh rỗi. Ưu điểm của việc bắt giữ ngay bây giờ, hãy đặt câu hỏi về phương pháp sau đó là tôi có thể để thiết lập chạy qua đêm và xem những bí mật mà điện thoại thông minh của tôi tiết lộ vào giữa đêm!
Tôi đã thử nghiệm bốn thiết bị:
- Huawei Mate 8
- Pixel 3 XL
- OnePlus 6T
- Lưu ý Galaxy 9
Những gì tôi trông thấy
Điều đầu tiên tôi nhận thấy là điện thoại thông minh của chúng tôi nói chuyện với Google rất nhiều. Tôi đoán điều đó không làm tôi ngạc nhiên - toàn bộ hệ sinh thái Android được xây dựng xung quanh các dịch vụ của Google - nhưng thật thú vị khi xem khi tôi đánh thức thiết bị khỏi giấc ngủ, nó sẽ tắt và kiểm tra Gmail và thời gian mạng hiện tại (thông qua NTP) và cả đống thứ khác Tôi cũng ngạc nhiên bởi có bao nhiêu tên miền Google sở hữu. Tôi đã mong đợi tất cả các máy chủ được một cái gì đó, nhưng Google có các tên miền với các tên như 1e100.net (mà tôi đoán là tham chiếu đến Googolplex), gstatic.com, crashlytics.com, v.v.
Tôi đã kiểm tra và xác minh mọi miền và mọi địa chỉ IP mà các thiết bị kiểm tra đã liên hệ để đảm bảo tôi biết điện thoại thông minh của mình đang nói chuyện với ai.
Bên cạnh việc nói chuyện với Google, điện thoại thông minh của chúng ta có vẻ như những con bướm xã hội khá vô tư và có một nhóm bạn rộng. Những thứ này, tất nhiên, tỷ lệ thuận với số lượng ứng dụng bạn đã cài đặt. Nếu bạn đã cài đặt WhatsApp và Twitter, hãy đoán xem, thiết bị của bạn sẽ liên lạc với máy chủ WhatsApp và Twitter trên một cách thường xuyên!
Tôi có thấy bất kỳ kết nối bất chính nào với các máy chủ ở Trung Quốc, Nga hoặc Bắc Triều Tiên không? Không.
Quảng cáo
Thứ mà điện thoại thông minh của bạn thường làm là kết nối với Mạng phân phối nội dung để nhận quảng cáo. Một lần nữa, mạng mà nó kết nối và bao nhiêu, sẽ phụ thuộc vào ứng dụng bạn cài đặt. Hầu hết các ứng dụng hỗ trợ quảng cáo sẽ sử dụng các thư viện do mạng quảng cáo cung cấp, điều đó có nghĩa là nhà phát triển ứng dụng có ít hoặc không có kiến thức về cách quảng cáo thực sự được phục vụ hoặc dữ liệu nào được gửi đến mạng quảng cáo. Các nhà cung cấp quảng cáo phổ biến nhất tôi thấy là Doubleclick và Akamai.
Về quyền riêng tư, các thư viện quảng cáo này có thể là một chủ đề gây tranh cãi, bởi vì nhà phát triển ứng dụng về cơ bản tin tưởng vào nền tảng để làm đúng với dữ liệu và chỉ gửi những gì cần thiết để phục vụ quảng cáo. Chúng ta đều đã thấy các nền tảng quảng cáo đáng tin cậy như thế nào trong quá trình sử dụng web hàng ngày của chúng ta. Cửa sổ bật lên, cửa sổ bật xuống, video tự động phát, quảng cáo không phù hợp, quảng cáo chiếm toàn bộ màn hình - danh sách vẫn tiếp tục. Nếu quảng cáo weren xâm nhập, sẽ không bao giờ có trình chặn quảng cáo.
Amazon AWS
Tôi đã thấy một chút hoạt động mạng liên quan đến Dịch vụ web Amazon (AWS). Là nhà cung cấp máy chủ đám mây lớn, Amazon thường là lựa chọn hợp lý cho các nhà phát triển ứng dụng, những người cần cơ sở dữ liệu và khả năng xử lý khác trên máy chủ, nhưng don không muốn duy trì máy chủ vật lý của riêng họ.
Nhìn chung, các kết nối đến AWS nên được coi là vô hại. Họ có thể cung cấp các dịch vụ mà bạn yêu cầu. Tuy nhiên, nó làm nổi bật bản chất mở của các thiết bị được kết nối. Khi bạn cài đặt một ứng dụng, có khả năng nó có thể gửi bất kỳ và tất cả dữ liệu mà nó đã thu thập đến một hành vi sai trái, thậm chí thông qua một nhà cung cấp dịch vụ có uy tín như Amazon. Android bảo vệ chống lại điều này theo nhiều cách, bao gồm bằng cách thực thi quyền trên ứng dụng và với các dịch vụ như Play Protect. Đây là lý do tại sao các ứng dụng tải bên có thể rất nguy hiểm.
Được rồi, Google
Vì PiNet cho phép tôi chụp mọi gói mạng, tôi rất muốn kiểm tra xem Google có đang bí mật theo dõi tôi hay không bằng cách kích hoạt micrô trên Pixel 3 XL của tôi và gửi dữ liệu tới Google. Khi bạn kích hoạt Kết hợp bằng giọng nói trên Pixel 3 XL, nó sẽ lắng nghe vĩnh viễn các cụm từ chính OK OK Google Google hoặc Google Hey. Nghe Nghe có vẻ nguy hiểm đối với tôi. Như bất kỳ chính trị gia nào cũng sẽ nói với bạn, mic mở là mối nguy hiểm cần tránh bằng mọi giá!
Thiết bị này có nghĩa là nghe cục bộ cho cụm từ khóa, mà không cần kết nối với internet. Nếu cụm từ khóa được nghe, không có gì xảy ra. Sau khi phát hiện cụm từ khóa, thiết bị sẽ gửi một đoạn mã đến các máy chủ Google Google để kiểm tra kỹ xem đó có phải là dương tính giả hay không. Nếu mọi thứ kiểm tra, thiết bị sẽ gửi âm thanh đến Google trong thời gian thực cho đến khi một lệnh được hiểu hoặc thiết bị hết thời gian.
Đó là những gì tôi thấy.
Không có lưu lượng mạng nào cả, ngay cả khi tôi nói chuyện trực tiếp qua điện thoại. Khoảnh khắc tôi nói rằng, Hey Hey Google, một luồng lưu lượng truy cập mạng thời gian thực đã được gửi tới Google, cho đến khi quá trình tương tác dừng lại. Tôi đã thử đánh lừa Pixel 3 XL bằng các biến thể nhỏ của cụm từ khóa như Lời cầu nguyện của Google, hay Hey Heyglegle. Sau khi tôi tìm cách gửi nó đến một đoạn trích để xác thực thêm, nhưng thiết bị không được xác nhận và vì vậy Trợ lý đã không kích hoạt.
Google biết gì về tôi?
Google cung cấp một dịch vụ có tên Takeout cho phép bạn tải xuống tất cả dữ liệu của mình từ Google, bề ngoài để bạn có thể di chuyển dữ liệu của mình sang các dịch vụ khác. Tuy nhiên, đó cũng là một cách tốt để xem Google có dữ liệu gì về bạn. Nếu bạn cố tải xuống mọi thứ, kho lưu trữ kết quả có thể rất lớn (có thể hơn 50 GB), nhưng sẽ bao gồm tất cả ảnh của bạn, tất cả các video clip của bạn, mọi tệp bạn đã lưu trên Google Drive, mọi thứ bạn đã tải lên YouTube, tất cả các email của bạn , v.v. Để kiểm tra quyền riêng tư, tôi không cần xem Google có ảnh nào, tôi biết điều đó rồi. Tương tự, tôi biết tôi có email nào, tệp nào tôi có trên Google Drive, v.v. Tuy nhiên, nếu tôi loại trừ các mục phương tiện cồng kềnh đó khỏi quá trình tải xuống và tập trung vào hoạt động và siêu dữ liệu, thì quá trình tải xuống có thể khá nhỏ.
Gần đây tôi đã tải xuống Takeout của mình và chọc ngoáy để xem Google biết gì về tôi. Dữ liệu đến dưới dạng một hoặc nhiều tệp .zip chứa các thư mục cho từng khu vực khác nhau bao gồm Chrome, Google Pay, Google Play Music, Hoạt động của tôi, Mua hàng, Nhiệm vụ, v.v.
Đi sâu vào từng thư mục cho thấy những gì Google biết về bạn trong khu vực đó. Ví dụ: có một bản sao dấu trang Chrome của tôi và bản sao Danh sách phát tôi đã tạo trên Google Play Music. Lúc đầu, không có gì đáng ngạc nhiên. Tôi mong đợi một danh sách Nhắc nhở của tôi, vì tôi đã tạo chúng bằng Google Assistant, vì vậy Google nên có một bản sao của chúng. Nhưng có một hoặc hai điều bất ngờ, ngay cả với một người hiểu biết về công nghệ cao như tôi.
Đầu tiên là một thư mục các bản ghi MP3 của tất cả mọi thứ tôi từng nói với tôi. Ngoài ra còn có một tệp HTML với bản ghi của tất cả các lệnh đó. Để làm rõ, đây là những lệnh tôi đã cung cấp cho Google Assistant sau khi nó được kích hoạt với Google Hey. Nói thật, tôi đã không mong đợi Google giữ một tệp MP3 trong tất cả các lệnh của tôi.OK, tôi nhận thấy rằng có một số giá trị kỹ thuật trong việc có thể kiểm tra chất lượng của Trợ lý, nhưng tôi không nghĩ rằng Google cần phải giữ các tệp âm thanh này. Nó có một chút nhiều.
Ngoài ra còn có một danh sách tất cả các bài viết tôi đã đọc trên Google News, một bản ghi chép về mỗi lần tôi chơi Solitaire và tất cả các tìm kiếm tôi đã thực hiện trên Google Play Music đã tồn tại gần năm năm!
Hóa ra Google xử lý tất cả các email của bạn đang tìm mua và tạo một bản ghi về chúng.
Thứ khiến tôi thực sự sốc là trong thư mục Purchasing. Ở đây Google đã có một bản ghi tất cả mọi thứ tôi đã mua trực tuyến. Món đồ cổ nhất là từ năm 2010, khi tôi mua một số vé máy bay. Vấn đề ở đây là tôi đã mua những vé này, hoặc bất kỳ mặt hàng nào, thông qua Google. Tôi có hồ sơ mua hàng cho các mặt hàng từ Amazon, eBay và iTunes. Thậm chí có hồ sơ về thiệp sinh nhật tôi đã mua.
Đào sâu hơn tôi bắt đầu tìm mua hàng tôi đã thực hiện! Sau khi gãi đầu, hóa ra những hồ sơ này là kết quả của việc Google xử lý email của tôi và đoán khi mua hàng tôi đã thực hiện. Bạn có thể đã thấy điều này đặc biệt là liên quan đến các chuyến bay. Nếu bạn mở email từ một hãng hàng không, Gmail sẽ hữu ích đưa một số thông tin tóm tắt về chuyến bay của bạn vào một tab đặc biệt ở đầu trang.
Hóa ra Google xử lý tất cả các email của bạn đang tìm mua và tạo một bản ghi về chúng. Khi ai đó chuyển cho bạn một email về thứ họ đã mua, Google thậm chí có thể vô tình phân tích nó như một giao dịch bạn đã thực hiện!
Còn Facebook, Twitter và những người khác thì sao?
Phương tiện truyền thông xã hội và quyền riêng tư là một số cách mâu thuẫn. Như Harold Finch đã nói trong chương trình truyền hình Person of Interest về phương tiện truyền thông xã hội, Chính phủ đã cố gắng tìm ra nó trong nhiều năm. Hóa ra hầu hết mọi người đều vui vẻ tình nguyện. Với truyền thông xã hội, chúng tôi sẵn sàng đăng thông tin bao gồm sinh nhật, tên, bạn bè, đồng nghiệp, ảnh, sở thích, danh sách mong muốn và nguyện vọng. Sau đó, khi công bố tất cả thông tin đó, chúng tôi bị sốc khi nó được sử dụng theo cách mà chúng tôi không có ý định. Như một nhân vật nổi tiếng khác nói về một phòng đánh bạc mà anh ta thường lui tới, thì tôi đã bị sốc, bị sốc khi thấy rằng đánh bạc đang diễn ra ở đây!
Tất cả các trang web truyền thông xã hội lớn, bao gồm cả Facebook và Twitter, đều có chính sách bảo mật và chúng khá rộng trong những gì chúng đề cập. Đây là đoạn trích từ chính sách Twitter Twitter:
Ngoài thông tin bạn chia sẻ với chúng tôi, chúng tôi sử dụng Tweets của bạn, nội dung bạn đã đọc, Thích hoặc đã trả lời và các thông tin khác để xác định chủ đề bạn quan tâm, độ tuổi, ngôn ngữ bạn nói và các tín hiệu khác để hiển thị cho bạn nội dung phù hợp hơn.
Vì vậy, thiết bị của bạn có kết nối với Twitter và cho phép Twitter xác định những thứ như tuổi của bạn, ngôn ngữ bạn nói và những điều bạn quan tâm không? Chắc chắn rồi.
Nó cấu hình bạn - và bạn để nó làm điều đó.
Đây là câu hỏi chính: nếu tôi không có điện thoại thông minh, điều đó có ngăn các thực thể theo dõi tôi nếu họ muốn không?
Tiềm năng so với thực tế
Vấn đề lớn nhất với các thiết bị được kết nối và các thực thể trực tuyến không phải là những gì họ đang làm, mà là những gì họ có thể làm. Tôi đã sử dụng cụm từ mà các thực thể của Cộng đồng cố ý vì những nguy hiểm xung quanh việc giám sát hàng loạt, gián điệp và hồ sơ không chỉ là về Google hay Facebook. Bỏ qua các lỗi phần mềm chính hãng (lỗi) cũng như các mô hình kinh doanh tiêu chuẩn của các công ty trực tuyến lớn, khá an toàn khi nói Google không phải là gián điệp của bạn. Facebook cũng vậy. Chính phủ cũng vậy. Điều đó không có nghĩa là họ có thể gặt hái - hoặc giành chiến thắng.
Là một số tin tặc hoặc gián điệp chính phủ ở đâu đó kích hoạt mic trên điện thoại của bạn để lắng nghe bạn? Không, nhưng họ có thể. Như chúng ta đã thấy gần đây với các sự kiện xung quanh vụ giết Jamal Khashoggi, các thực thể có thể lừa bạn cài đặt một ứng dụng do thám bạn. Các công ty như Zerodium bán các lỗ hổng zero-day cho các chính phủ, có thể cho phép các ứng dụng độc hại (như Pegasus) được cài đặt trên thiết bị của bạn mà bạn không biết.
Tôi có thấy bất kỳ hoạt động như vậy với các thiết bị của tôi? Không, nhưng tôi không phải là một mục tiêu có khả năng cho việc giám sát và buôn lậu như vậy. Nó vẫn có thể xảy ra với người khác.
Đây là câu hỏi chính: nếu tôi không có điện thoại thông minh, điều đó có ngăn các thực thể theo dõi tôi nếu họ muốn không?
Trước khi ra mắt điện thoại thông minh, mọi chính phủ lớn trên thế giới đều đã tham gia vào hoạt động gián điệp và giám sát. Chiến tranh thế giới thứ hai có lẽ đã chiến thắng bằng cách phá mã Enigma và giành quyền truy cập vào trí thông minh mà nó ẩn giấu. Điện thoại thông minh không thể đổ lỗi, nhưng bây giờ có một bề mặt tấn công lớn hơn - nói cách khác, có nhiều cách để theo dõi bạn.
Gói lại
Sau khi thử nghiệm, tôi tin chắc rằng không có thiết bị nào tôi sử dụng đang làm bất cứ điều gì bất thường hoặc ác ý. Tuy nhiên, vấn đề riêng tư lớn hơn một thiết bị không cố ý là độc hại. Các hoạt động kinh doanh của các công ty như Google, Facebook và Twitter rất gây tranh cãi và dường như họ thường đẩy ranh giới của quyền riêng tư.
Về việc gián điệp, ở đó, không có chiếc xe tải màu trắng nào đậu ngoài nhà tôi theo dõi chuyển động của tôi và chĩa micro định hướng vào cửa sổ của tôi. Tôi chỉ cần kiểm tra. Không ai hack điện thoại của tôi. Điều đó không có nghĩa là họ có thể.
