Indhold

• Opsætning
• Hvad jeg så
• annoncer
• Amazon AWS
• OK, Google
• Hvad ved Google om mig?
• Hvad med Facebook, Twitter og andre?
• Potentiale vs faktisk
• Wrap-up

Digital privatliv er et varmt emne. Vi er flyttet ind i en æra, hvor næsten alle har en tilsluttet enhed. Alle har et kamera. Mange af vores daglige aktiviteter - fra at køre med bussen til at få adgang til vores bankkonti - foregår online. Spørgsmålet opstår, "hvem holder styr på alle disse data?"

Nogle af verdens største tech-virksomheder undersøges, hvordan de bruger vores data. Hvad ved Google om dig? Er Facebook gennemsigtig om, hvordan den håndterer dine data? Spionerer Huawei på os?

For at prøve at besvare nogle af disse spørgsmål oprettede jeg et specielt Wi-Fi-netværk, der lod mig fange hver pakke data, der sendes fra en smartphone ud til Internettet. Jeg ville se, om nogen af ​​mine enheder i hemmelighed sendte data til eksterne servere uden min viden. Spionerer min telefon på mig?

Opsætning

For at fange alle de data, der flyder frem og tilbage fra min smartphone, havde jeg brug for et privat netværk, hvor jeg er chef, hvor jeg er rod, hvor jeg er administrator. Når jeg har fuld kontrol over netværket, kan jeg overvåge alt, hvad der går ind og ud af netværket. For at gøre dette oprettede jeg en Raspberry Pi som et Wi-Fi-adgangspunkt. Jeg kaldte det fantasifuldt PiNet. Dernæst tilsluttede jeg smarttelefonen til PiNet og deaktiverede mobildata (for at være dobbelt sikker på, at jeg får al trafik). På dette tidspunkt var smartphonen tilsluttet Raspberry Pi, men intet andet. Det næste trin er at konfigurere Pi'en til at videresende al trafik, den får ud på Internettet. Dette er grunden til, at Pi er en så stor enhed, da mange modeller har både Wi-Fi og Ethernet om bord. Jeg tilsluttede Ethernet til min router, og nu skal alt, hvad smartphonen sender og modtager, strømme gennem Raspberry Pi.

Der er masser af netværksanalyseværktøjer derude, og et af de mest populære er WireShark. Det muliggør realtidsfangst og -behandling af enhver datapakke, der flyver over et netværk. Med min Pi mellem mine smartphones og Internettet brugte jeg WireShark til at fange alle data. Når jeg var fanget, kunne jeg analysere det på min fritid. Fordelen ved metoden “fange nu, still spørgsmål senere” er, at jeg kan lade opsætningen køre natten over og se, hvilke hemmeligheder min smartphone afslører midt på natten!

Jeg testede fire enheder:

• Huawei Mate 8
• Pixel 3 XL
• OnePlus 6T
• Galaxy Note 9

Hvad jeg så

Den første ting, jeg bemærkede, var vores smartphones, der talte med Google en masse. Jeg skulle gætte, at det ikke burde overraske mig - hele Android-økosystemet er bygget op omkring Googles tjenester - men det var interessant at se, hvordan når jeg vækkede en enhed fra søvn, det rykker ud og kontrollerer din Gmail og den aktuelle netværkstid (via NTP) og en hel masse andre ting. Jeg blev også overrasket over, hvor mange domænenavne Google ejer. Jeg forventede, at alle servere skulle være something.whatever.google.com, men Google har domæner med navne som 1e100.net (som jeg antager er en henvisning til et Googolplex), gostat.com, crashlytics.com og så videre.

Jeg kontrollerede og verificerede hvert domæne og hver IP-adresse, som testenhederne kontaktede for at være sikker på, at jeg vidste, hvem min smartphone talte med.

Ud over at tale med Google, synes vores smartphones ganske ubekymrede sociale sommerfugle og har en bred vennekreds. Disse er naturligvis direkte proportional med hvor mange apps du har installeret. Hvis du har WhatsApp og Twitter installeret, gæt hvad, din enhed kontakter WhatsApps og Twitter's servere regelmæssigt!

Så jeg nogen ubehagelige forbindelser til servere i Kina, Rusland eller Nordkorea? Ingen.

annoncer

Noget, som din smartphone ofte gør, er at oprette forbindelse til Content Delivery Networks for at få annoncer. Igen, hvilke netværk den opretter forbindelse til, og hvor mange, afhænger af de apps, du installerer. De fleste reklamestøttede apps bruger biblioteker leveret af annoncenetværket, hvilket betyder, at appudvikleren har ringe eller ingen viden om, hvordan annoncerne faktisk vises, eller hvilke data der sendes til annoncenetværket. De mest almindelige annonceudbydere, jeg så, var Doubleclick og Akamai.

Med hensyn til privatliv kan disse annoncebiblioteker være et kontroversielt emne, fordi en appudvikler stort set har tillid til platformen til at gøre det rigtige med dataene og kun sende det, der er strengt nødvendigt for at vise annoncerne. Vi har alle set, hvor pålidelige annonceplatforme er under vores daglige brug af internettet. Pop-ups, pop-unders, automatisk afspilning af videoer, upassende annoncer, annoncer, der overtager hele skærmen - listen fortsætter. Hvis annoncer ikke var så indgribende, ville der aldrig være annonceblokkere.

Amazon AWS

Jeg så en hel del netværksaktivitet relateret til Amazons Web Services (AWS). Som en vigtig cloud-serverudbyder er Amazon ofte det logiske valg for appudviklere, der har brug for databaser og andre behandlingsevner på en server, men ikke ønsker at vedligeholde deres egne fysiske servere.

Generelt skal forbindelser til AWS betragtes som uskadelige. De er der for at levere de tjenester, du har bedt om. Det fremhæver dog den åbne karakter af tilsluttede enheder. Når du installerer en app, er der potentiale, den kan sende alle de data, den har indsamlet, til en miscreant, også via en velrenommeret tjenesteudbyder som Amazon. Android beskytter mod dette på flere måder, herunder ved at håndhæve tilladelser på apps og med tjenester som Play Protect. Dette er grunden til, at sider-indlæser apps kan være meget farlige.

OK, Google

Da PiNet gjorde det muligt for mig at fange hver netværkspakke, var jeg interesseret i at kontrollere, om Google hemmeligt spionerede på mig ved at aktivere mikrofonen på min Pixel 3 XL og sende dataene til Google. Når du aktiverer Voice Match på Pixel 3 XL, vil den lytte permanent efter nøglefraser “OK Google” eller “Hey Google.” At lytte permanent lyder farligt for mig. Som enhver politiker vil fortælle dig, er en åben mikrofon en fare for at undgå for enhver pris!

Enheden er beregnet til at lytte lokalt efter nøglefrasen uden at oprette forbindelse til internettet. Hvis nøglefrasen ikke høres, sker der ikke noget. Når nøglefrasen er detekteret, sender enheden et kodestykke til Googles servere for at dobbelttjekke, om det var en falsk positiv. Hvis alt tjekker ud, sender enheden lyd til Google i realtid, indtil enten en kommando forstås, eller enheden afbrydes.

Det var, hvad jeg så.

Der er overhovedet ingen netværkstrafik, selv når jeg talte direkte på telefonen. I det øjeblik, jeg sagde ”Hej Google”, blev der sendt en netværkstrafik i realtid til Google, indtil interaktionen stoppede. Jeg prøvede at narre Pixel 3 XL med små variationer af nøglefrasen som “Bed Google” eller “Hey Goggle.” Når jeg først fik det til at sende et kodestykke til Google for yderligere validering, men enheden fik ikke bekræftelse og så Assistent aktiverede ikke.

Hvad ved Google om mig?

Google tilbyder en service kaldet Takeout, som giver dig mulighed for at downloade alle dine data fra Google, tilsyneladende, så du kan migrere dine data til andre tjenester. Det er dog også en god måde at se, hvilke data Google har om dig. Hvis du prøver at downloade alt det resulterende arkiv kan være enormt (måske mere end 50 GB), men det vil indeholde alle dine fotos, alle dine videoklip, hver fil du har gemt på Google Drev, alt hvad du uploade til YouTube, alle dine e-mails , og så videre. Som en måde at kontrollere privatlivets fred behøver jeg ikke se hvilke fotos Google har, det ved jeg allerede. Ligeledes ved jeg, hvilke e-mails jeg har, hvilke filer jeg har på Google Drev osv. Men hvis jeg udelukker de omfangsrige medieelementer fra download og koncentrerer mig om aktivitet og metadata, kan downloadet være ganske lille.

Jeg downloadede min Takeout for nylig og havde en spyd omkring for at se, hvad Google ved om mig. Dataene ankommer som en eller flere .zip-filer, der indeholder mapper til hvert af de forskellige områder, herunder Chrome, Google Pay, Google Play Musik, Min aktivitet, køb, opgave osv.

Dykning i hver mappe viser, hvad Google ved om dig i dette område. For eksempel er der en kopi af mine Chrome-bogmærker og en kopi af de playlister, jeg oprettede på Google Play Musik. Først var der intet overraskende. Jeg forventede en liste over mine påmindelser, da jeg oprettede dem ved hjælp af Google Assistant, så Google skulle have en kopi af dem. Men der var en eller to overraskelser, selv for en så teknisk kyndig som mig.

Den første var en mappe med MP3-optagelser af alt hvad jeg nogensinde sagde til min. Der var også en HTML-fil med en udskrift af alle disse kommandoer. For at præcisere, dette er kommandoer, som jeg gav Google Assistant, efter at den blev aktiveret med "Hey Google." For at være ærlig forventede jeg ikke, at Google skulle opbevare en MP3-fil af alle mine kommandoer.OK, jeg får ud af, at der er en vis teknisk værdi ved at kunne kontrollere assistentens kvalitet, men jeg tror ikke, Google har brug for at beholde disse lydfiler. Det er lidt meget.

Der var også en liste over alle de artikler, jeg nogensinde har læst på Google Nyheder, en oversigt over hver gang jeg spillede Solitaire, og alle de søgninger, jeg har foretaget på Google Play Musik, næsten fem år tilbage!

Det viser sig, at Google behandler alle dine e-mails på udkig efter køb og opretter en registrering af dem.

Den, der virkelig chokerede mig, var i mappen Indkøb. Her havde Google en fortegnelse over alt, hvad jeg nogensinde har købt online. Den ældste vare var fra 2010, da jeg købte nogle flybilletter. Pointen her er, at jeg ikke købte disse billetter, eller nogen af ​​tingene, via Google. Jeg har købsposter for varer fra Amazon, eBay og iTunes. Der er endda optegnelser over fødselsdagskort, jeg købte.

Når jeg graver dybere, begyndte jeg at finde køb, som jeg ikke foretog! Efter nogle hovedridser viser det sig, at disse poster er resultaterne af, at Google behandler mine e-mails og gætter på de køb, jeg har foretaget. Du har sandsynligvis set dette især med hensyn til flyvninger. Hvis du åbner en e-mail fra et flyselskab, lægger Gmail hjælpsom nogle resumeoplysninger om din flyvning i en særlig fane øverst på.

Det viser sig, at Google behandler alle dine e-mails på udkig efter køb og opretter en registrering af dem. Når nogen videresender dig en e-mail om noget, de har købt, kan Google endda utilsigtet parse den som et køb, du har foretaget!

Hvad med Facebook, Twitter og andre?

Sociale medier og privatliv er på nogle måder modstridende. Som Harold Finch sagde i tv-showet Person of Interest om sociale medier, “Regeringen havde forsøgt at finde ud af det i årevis. Det viser sig, at de fleste var glade for at melde sig frivilligt. ”Med sociale medier lægger vi gerne information, inklusive fødselsdage, navne, venner, kolleger, fotos, interesser, ønskelister og forhåbninger. Derefter, efter at have offentliggjort alle disse oplysninger, er vi chokeret, når de bruges på måder, vi ikke havde til hensigt. Som en anden berømt karakter sagde om en spillehal, frekventerede han: "Jeg er chokeret, chokeret over at opdage, at der foregår spil herinde!"

Alle de store sociale mediesider, inklusive Facebook og Twitter, har privatlivspolitikker, og de er ret brede i, hvad de dækker. Her er et uddrag fra Twitter's politik:

”Ud over de oplysninger, du deler med os, bruger vi dine tweets, indhold, som du har læst, synes om eller retweetet og andre oplysninger til at bestemme, hvilke emner du er interesseret i, din alder, de sprog, du taler og andre signaler for at vise dig mere relevant indhold. ”

Så opretter din enhed forbindelse til Twitter og tillader Twitter at bestemme ting som din alder, det sprog, du taler, og hvilke ting der interesserer dig? Jo da.

Det profilerer dig - og du lader det gøre det.

Her er det centrale spørgsmål: hvis jeg ikke havde en smartphone, ville det forhindre enheder i at spionere efter mig, hvis de ville?

Potentiale vs faktisk

Det største problem med tilsluttede enheder og online enheder er ikke, hvad de laver, men hvad de kunne gøre. Jeg brugte udtrykket ”enheder” med vilje, fordi farerne omkring masseovervågning, spionering og profilering ikke kun handler om Google eller Facebook. Ignorerer ægte softwarefejl (bugs) såvel som de store forretningsmodeller for store online virksomheder, er det temmelig sikkert at sige, at Google ikke spionerer på dig. Facebook er heller ikke. Regeringen er heller ikke. Det betyder ikke, at de ikke kan - eller ikke vil.

Er en hacker eller regeringsspion et sted, der aktiverer mikrofonen på din telefon for at lytte til dig? Nej, men de kunne. Som vi for nylig så med begivenhederne omkring mordet på Jamal Khashoggi, kan enheder narre dig til at installere en app, der spionerer på dig. Virksomheder som Zerodium sælger nul-dages sårbarheder til regeringer, som kan tillade, at ondsindede apps (som Pegasus) installeres på din enhed, uden at du ved det.

Så jeg nogen sådan aktivitet med mine enheder? Nej, men jeg er ikke et sandsynligt mål for sådan overvågning og skullduggery. Det kunne stadig ske med en anden.

Her er det centrale spørgsmål: hvis jeg ikke havde en smartphone, ville det forhindre enheder i at spionere efter mig, hvis de ville?

Før lanceringen af ​​smartphones var enhver større regering i verden allerede involveret i spionage og overvågning. Anden verdenskrig blev sandsynligvis vundet ved at bryde Enigma-koden og få adgang til den intelligens, den skjulte. Smartphones er ikke skylden, men nu er der en større angrebsflade - med andre ord er der flere måder at spionere på dig på.

Wrap-up

Efter min testning er jeg sikker på, at ingen af ​​de enheder, jeg brugte, gør noget usædvanligt eller ondsindet. Imidlertid er spørgsmålet om privatlivets fred større end blot en enhed, der ikke med vilje er ondsindet. Virksomhedspraksis for virksomheder som Google, Facebook og Twitter kan diskuteres meget, og de ser ofte ud til at skubbe grænserne for privatlivets fred.

Hvad angår spionage, er der ingen hvid varevogn parkeret uden for mit hus og ser på mine bevægelser og peger en retningsmikrofon mod mine vinduer. Jeg har lige tjekket. Ingen hacker min telefon. Det betyder ikke, at de ikke kan.