un blog de Radu Dumitru

►► canalele mele de YouTube: youtube.com/RaduDumitru (personal) și youtube.com/NwraduBlog (tech) ◄◄

500 de aplicații de mobil conțin cod de tracking pentru servicii de informații

11 Aug 2020  ·

TEHNOLOGIE  ·

25 comentarii

Uitați începuturile unui viitor scandal legat de urmărirea cetățenilor. Peste 500 de aplicații de mobil conțin cod ascuns de tracking, iar datele colectate despre utilizatorii acelor telefoane ajung la autoritățile SUA.

Mai pe larg, codul aparține unei companii numite Anomaly Six, care lucrează de obicei pentru agențiile de informații și pentru autoritățile americane. Compania are sediul în Virginia și a fost fondată de doi foști angajați ai serviciilor de informații. În broșurile lor, se laudă că pot aduna date despre poziția sau mobilitatea utilizatorilor din peste 500 de aplicații de mobil.

Cum fac asta? Păi plătesc dezvoltatorii unor aplicații de mobil (jocuri, editare foto, magazine… ce-o fi) ca să includă și codul lor de tracking în aplicația respectivă, astfel încât utilizatorul telefonului să poată fi monitorizat. Nu se știe care sunt cele 500 de aplicații, că Anomaly Six nu le declară, iar dezvoltatorii acelor aplicații nu sunt obligați prin lege să te informeze că există și acel cod de tracking.

Situația este asta pentru că există un vid legislativ în domeniul privacy-ului și tracking-ului prin aplicații. Anomaly Six vinde datele culese unor agenții guvernamentale din SUA, dar nu pentru publicitate sau marketing, așa că aplicațiile de mobil ce integrează codul lor nu sunt obligate prin lege să te informeze în legătură cu asta. Practic, totul este legal conform legilor americane.

Datele sunt anonimizate. Altfel spus, Anomaly Six și autoritățile nu știu că John Smith s-a dus la Starbucks, ci doar că cineva a făcut asta, cineva identificat printr-un ID oarecare alocat de aplicație. Vor ști însă că acel ID s-a dus de trei ori pe săptămână la Starbucks, că face în jur de 18 km pe zi cu mașina, că o dată pe săptămână merge la Walmart șamd, plus probabil ce tip de telefon are, ce aplicații mai are instalate prin el, poate și alte date despre utilizare.

În practică, ne putem închipui că Anomaly Six știe foarte multe despre cum și unde folosește cineva telefonul mobil, dar nu și cine este exact acea persoană.

Treaba asta, la pachet cu anonimizarea datelor, este o practică destul de frecvent întâlnită în industria aplicațiilor mobile. De exemplu, producătorul unui joc este interesat să știe ce tip de telefoane au jucătorii, câte ore se joacă în fiecare zi, dacă o fac seara sau dimineața sau în timp ce fac naveta cu trenul șamd. Asta îl ajută să facă jocul sau ofertele mai bune, iar concluzii de acest gen pot fi trase statistic de pe urma datelor anonimizate. Producătorului unui joc nu-i pasă dacă eu, Radu, mă joc dimineața sau seara, ci câți fac asta din totalul jucătorilor.

Datele anonimizate nu mai sunt însă chiar anonime atunci când ajung pe mână guvernului. Explicația este simplă:

  1. guvernul are la dispoziție și restul bazelor de date uzuale, precum cele de la evidența populației, hărți detaliate șamd.
  2. guvernul are la dispoziție putere practic infinită de procesare.

Cele două, în combinație, fac foarte posibilă identificarea unei persoane pornind de la datele sale anonimizate. De exemplu, cum bine zice articolul sursă, dacă știi că un telefon a stat nemișcat timp de vreo 6 ore pe perioada nopții într-un loc, cel mai probabil poți trage concluzia că acolo este casa respectivului utilizator. Iar guvernul are la dispoziție datele de la evidența populației pentru a vedea cine locuiește la acea adresa, așa că dintr-o dată poate asocia un identificator numeric cu familia care locuiește la o anumită adresă.

Apoi intervine puterea de procesare practic infinită. Tot felul de algoritmi pot parcurge acele date anonime și pot trage concluzii pe baza lor. Dacă aplicația care le-a generat este un joc video cu mașini, este mai probabil ca persoana respectivă să fie băiatul de 11 al al familiei, nu tatăl de 46 de ani. Iar dacă datele anonimizate au venit din trackerul inclus într-o aplicație de monitorizare a ciclului menstrual, e mai probabil ca acel telefon să fie al fetei de 18 ani sau al mamei din respectiva familie, nu al bărbatului, așa că dintr-o dată un identificator numeric poate fi asociat cu o persoană anume din acea casă, nu cu întreaga familie.

(Cum faci mai departe? Nu-i greu, să zicem că dacă, persoana respectivă merge la Starbucks, un algoritm poate concluziona că e telefonul fetei de 18 ani, pe când dacă merge downtown și stă 8 ore pe zi într-o clădire de birouri, atunci probabil este al mamei.)

Așa că da, guvernul SUA cel mai probabil își monitorizează cetățenii. Nu-i prima oară, să ne amintim de PRISM și Edward Snowden și ce program uriaș de monitorizare a cetățenilor a fost dezvăluit atunci.

Scopul nu-i musai unul malițios. Cred că asta este diferența principală dintre supravegherea făcută de americani față de cea făcută de diverse alte țări cu regimuri dictatoriale. Americanii vor, cel mai probabil, să prevină acte de terorism sau trafic de droguri șamd. Regimurile dictatoriale vor să-i găsească și să-i aresteze pe cei care se plâng de conducători, de programul politic, mersul țării șamd. Oamenii se plâng și la americani de astfel de lucruri, dar acolo au libertatea de exprimare și o pot face pe față. Nu trebuie vreun program mare de spionaj pentru a-i găsi, acolo lumea postează direct astfel de mesaje pe rețeaua socială, cu nume și prenume și video, pentru că sunt liberi să facă asta fără repercusiuni.

Cum oprești terorismul cu cod de tracking inclus în diverse jocuri, din moment ce acel cod nu poate intercepta mesajele din WhatsApp sau Telegram sau apelurile telefonice? Nu știu. Mă gândesc însă că pot exista diverse metode. Un algoritm mișto (din nou, puterea aia practic infinită de procesare intră în acțiune) se poate uita prin date după comportamente atipice, de exemplu trei oameni din orașe diferite care se întâlnesc în secret noaptea în parcarea unui magazin. De ce fac asta? Nu se știe, dar poate merită investigat.

Sau o iei invers. Deja îl suspectezi pe John Smith care stă pe New Road Drive la numărul 28, așa că te uiți în datele “anonime” după cineva care are telefonul la aceeași adresă, îi afli astfel ce identificator a primit în cadrul datelor anonime și apoi de acolo cercetezi ce-a făcut, pe unde merge, ce alte telefoane a avut în preajmă șamd.

Nu-i simplu și este nevoie de multe date. 500 de aplicații cu acest cod ascuns prin ele generează însă un volum mare de date interpretabile. Să ne aducem aminte că cei de la Cambridge Analytica spuneau că pe baza a 10 like-uri pot deja evalua mai bine o persoană decât colegii de muncă, iar analizând 300 de like-uri, mai bine decât partenerul de viață.

Poate că, în mod surprinzător, eu sunt destul de chill în legătură cu asta. O parte din chilleală vine din faptul că m-am obișnuit ca jumătate din viața mea să fie publică, o prezint chiar eu pe blog, YouTube, Instagram șamd. Îmi plac oamenii deschiși, care și-o prezintă similar pe a lor, pentru că deschiderea aceasta ne face de fapt tuturor viața mai bună.

Apoi, sunt conștient că aceasta este tehnologia modernă și era de așteptat ca cineva să o folosească și în astfel de moduri. E ca la automobile, sunt utile pentru a te duce din A în B pentru motive benigne, dar unii le vor utiliza și pentru curse ilegale. Asta e lumea în care trăim. Câtă vreme nu este folosită împotriva libertății de exprimare sau a altor drepturi ale omului, ci doar pentru a preveni incidente neplăcute, situația este good enough.

Ar cam fi însă cazul, poate într-un orizont chiar scurt de timp, ca astfel de chestiuni să fie totuși discutate nu la nivel de țară sau UE, ci chiar la nivel mondial. De-a lungul timpului, țările s-au organizat la un astfel de nivel pentru un set de legi sau măcar bune practici în diverse chestiuni, precum utilizarea anumitor tipuri de arme sau reducerea poluării. Funcționale, nefuncționale, e mai puțin important acum, ci contează că discuția s-a purtat și se fac pași mici în direcția respectivă.

Mi se pare că trebuie avută o discuție similară și în privința acestor tehnologii de tracking și a analizei de date. Tehnologia nu-i chiar nouă pe piață, scandaluri au fost destule, e timpul să fie tratată și la cele mai înalte niveluri ca un subiect important, poate chiar pentru a completa convenția generală a drepturilor omului.

surse: Android Authority, WSJ.

    25 comentarii

  1. Asta cu trackingul mi se pare o discuție de acum 15 ani. De atunci e focusul pe stări emoționale, manipulări psihologice, consum, predicții, etc. Îți pot evalua stresul după cum ții telefonul și cât de mult îl agiți. Nu mai vorbesc de toate aplicațiile de health-care și fitness trackerele.

    Trackingul a devenit de mult o normalitate și o informație fără valoare adăugată atât de mare pentru că există n moduri de a o face. În Rusia operatorii de telefonie mobila vând oficial aceste date spre primării pentru optimizarea traficului navetiștilor. Unul din multele exemple.

      (Citează)

  2. De ce ne prefacem ca suntem prosti?
    Toate astea se trag de la 9/11 – pt cine știe. Sau 9/11 a fost pretextul suprem

      (Citează)

    • Daca la primul avion s-a dormit in papusoi, al doilea nu mai trebuia lasat ca sa loveasca cel de-al doilea turn. Ma amuza la Dezastre in aer cum se scuza ca le-au scapat toate astea rand pe rand. Unul dintre teroristi era marcat ca suspect in sistemul de securitate pentru verificare amanuntita, le-a scapat si asta.

        (Citează)

  3. Poti detalia te rog aceasta afirmatie?
    “Îmi plac oamenii deschiși, care și-o prezintă similar pe a lor, pentru că deschiderea aceasta ne face de fapt tuturor viața mai bună.”

    Cum imi poate face mie viata mai buna stiind ca cineva joaca un anumit joc, bea o anumita bere, si poarta o pereche de chiloti de firma?
    Viata mea buna consta in a copia pe cineva?
    Ce inseamna pentru tine “viata mai buna”?
    Viata mai buna consta in detalii [precum produse/servicii] sau in valori [morale/actiuni]?

      (Citează)

    • Exact cum ai spus tu. Oamenii sunt mai prietenoși și colaborează mai bine pe măsură ce văd ce le place altora și ce au în comun cu cei din jur, decât dacă stă fiecare secretos în casa lui. De ce crezi că se organizează team building-uri? Scopul lor nu este să bei pe banii companiei, ci să descoperi oamenii din jur și într-un mediu diferit și deci să ai o relație mai complexă cu ei. Sunt mulți cei care au descoperit că acel coleg care li se părea enervant sau fandosit era de fapt o persoană foarte de treabă atunci când au avut ocazia să-l cunoască mai bine într-un astfel de mediu.

      Nu putem merge toți în team buildinguri reale, dar asta nu înseamnă că nu putem afla mai multe despre ce le place și ce nu le place altora, ce probleme au, ce-i bucură, ce-au făcut mișto șamd. Și poate că unii vor folosi astfel de informații doar ca să fie hateri și să tragă concluzia că viața lor e proastă și a altora e bună, deci trebuie înjurați, dar majoritatea doar vor ajunge să-i cunoască pe cei din jur mai bine și asta contează mult.

        (Citează)

  4. Cred ca de fapt suntem mai aproape de o lege care sa ne oblige sa avem o aplicație de tracking pe telefon decat de o lege care sa ii împiedice pe ei sa intre in telefoanele noastre

      (Citează)

  5. Din partea sa ma urmărească cine vrea ca nu am nimic de ascuns. Chiar sunt de acord cu metode de gen ca și arma împotriva infracționalității și terorismului

      (Citează)

    • Pentru toti cei care sustin ca nu au nimic de ascuns, ii rog sa isi lase aici adresele de email si parolele ;)

        (Citează)

  6. Referitor la dezanonimizare, e un articol foarte misto pe NYT, esxcelent realizat, de la sfarsitul anului trecut unde se explica, cu exemple, cum se face asta relativ usor.
    Nu pun link dar il gasiti usor.

      (Citează)

  7. In Romania avem Flux Vision de la Orange, insa nune vorba de tracking, ci de a valorifica datele din retea in mod eficient.

    https://www.orange.ro/business/analiza-si-raportare/statistici-flux-vision/

      (Citează)

  8. Cred ca si aia rapiti pe vreme MK Ultra credeau ca au fost confundati cu niste teroristi. Si aia s-au bucurat de toate beneficiile democratiei americane.

      (Citează)

  9. pai tsa l-o si pipait pe cutitu din brisca, si o zis bine boss, zbor placut gen.

    XYZ:
    Daca la primul avion s-a dormit in papusoi, al doilea nu mai trebuia lasat ca sa loveasca cel de-al doilea turn. Ma amuza la Dezastre in aer cum se scuza ca le-au scapat toate astea rand pe rand. Unul dintre teroristi era marcat ca suspect in sistemul de securitate pentru verificare amanuntita, le-a scapat si asta.

      (Citează)

  10. Si cele 500 de aplicatii trimit datele colectate doar de pe teritoriul SUA?
    Pentru ca altfel ar fi acelasi lucru cu care face TikTok, Huawei sau alte companii chineze.

      (Citează)

    • Nu intelegi ca e ok când o fac altii, chinezii sunt problema. Ipocriți pana la dumnezeu

        (Citează)

    • Da, este ok cand o fac aliatii tai si nu este ok cand o face un guvern totalitarist care te si aresteaza daca afla ca ai accesat un anumit site interzis.
      Cat timp in tarile astea “vestice” inca exista libertatea de exprimare, faptul ca esti urmarit nu mai este atat de grav.

        (Citează)

  11. Subiect tabu, mie unul nu imi pasa, ma poate monitoriza si cand stau pe toaleta, pentru ca nu am nimic de ascuns, nu am afaceri dubioase, spagi, droguri. Daca as avea, nu as detine smartphone ci un nokia 3310 si as vorbi codat, e la mintea cocosolui ce naiba.

      (Citează)

  12. @Cristi si @Saragea
    Sa inteleg ca voi nu ati participat la protestele anticoruptie din anii anteriori. Cu exceptia a 1-2, toate au fost neautorizate, deci ilegale, deci participantii ar fi trebuit sa primeasca toti amenzi.

      (Citează)

    • Acolo au existat o multime de alte metode prin care sa se dea amenzi daca s-ar fi vrut asta. Nu are nicio legatura cu urmarirea pe telefon.

        (Citează)

  13. Toata lumea stie ca daca vrei sa comiti o infractiune lasi telefonul acasa.

    Joke aside(or not!?) am vazut ca se promoveaza din ce mai intens in serialele americane ca regula principala, cand vrei sa o comiti, nu iei telefonul cu tine, nu vorbesti nimic cat ai telefonul aproape, etc.

      (Citează)

  14. maica, o lasam mai moale cu iarba?

    Cosmin:
    Toata lumea stie ca daca vrei sa comiti o infractiune lasi telefonul acasa.

    Joke aside(or not!?) am vazut ca se promoveaza din ce mai intens in serialele americane ca regula principala, cand vrei sa o comiti, nu iei telefonul cu tine, nu vorbesti nimic cat ai telefonul aproape, etc.

      (Citează)

  15. @Andrei G
    Sau esti angajat la primarie si te duci la intalniri politice ale partidului din opozitie. Este legal, dar daca afla primarul va face tot ce poate sa te dea afara.

      (Citează)

  16. Mihai Dobre:
    Pentru toti cei care sustin ca nu au nimic de ascuns, ii rog sa isi lase aici adresele de email si parolele ;)

    Ai inteles total gresit ce reprezintă faptul că nu am nimic de ascuns.

      (Citează)

    • Ba eu cred ca a inteles foarte bine.

      Chestia asta cu “nu am nimic de ascuns” e o mizerie sinistra repetata de unii papagaliceste si utilizata de altii care au interese comerciale sau de alta natura in treaba asta.

      Cum ar fi sa sune maine la usa doi politisti de sector si sa dea buzna in casa, ca sa cauta droguri sau arme sau cine stie ce infractor. Asa, pur si simplu, doar din niste vorbe, le-a spus lor cineva ceva. Fara niciun mandat de la judecator. Ii lasi sa iti cotrobaie prin casa si sa iti sperie toata familia, doar pentru ca stii ca “nu ai nimic de ascuns”? De ce toate legile din tarile civilizate cer un protocol clar, cu cerere din partea procurorului si aprobarea unui judecator?

      Cum ar fi sa fie scoasa toata chestia asta din lege, pentru ca statul sa lupte mai eficient impotriva infractiunilor si teroristilor? Ca doar oamenii cinstiti “nu au nimic de ascuns”, nu?

      Nu e normal ca un telefon mobil sa imi monitorize deplasarea fara ca eu sa stiu asta. Sa inregistreze audio sau video fara ca eu sa stiu asta si sa fiu de acord cu asta. Nu e normal ca o sa incarce isi bazele de date cu informatii despre mine dupa ce imi scaneaza emailurile sau mesajele private, fara acordul meu si fara ca eu sa stiu asta. Nu e vreo mare diferenta intre entitatea care face asta si politistii aia doi care vor sa imi intre in casa fara mandat.

      Omenirea si-a vandut viata privata pentru niste kkaturi de softuri, care in mod normal ar fi costat cateva zeci de euro. Si pare ca se bucura masiv de asta si asteapta nivelul urmator. Care o sa vine, inevitabil, ca lumea pare pregatita.

        (Citează)

  17. “În practică, ne putem închipui că Anomaly Six știe foarte multe despre cum și unde folosește cineva telefonul mobil, dar nu și cine este exact acea persoană.”

    Așa-i, cu toții știm că e imposibil să știi exact cine e acea persoană. Imposibil să aibă acces la IP, IMEI/IMSI, S/N-uri, numerele de telefon și conturile asociate în acel telefon. Are acces la aplicațiile instalate, știe cam tot ce faci cu telefonul ăla oriunde și la orice oră din zi, dar atât, nimic altceva.

    Măi să fie.

      (Citează)

    Alătură-te discuției, lasă un mesaj

    E-mail-ul nu va fi publicat. Fără înjurături și cuvinte grele, că vorbim prietenește aici. Gândiți-vă de două ori înainte de a publica. Nu o luați pe arătură doar pentru că aveți un monitor în față și nu o persoană reală.

    Apăsați pe Citează pentru a cita întreg comentariul cuiva sau selectați întâi anumite cuvinte și apăsați apoi pe Citează pentru a le prelua doar pe acelea. Link-urile către alte site-uri, dar care au legătură cu subiectul discuției, sunt ok.


    Prin trimiterea comentariului acceptați politica de confidențialitate a site-ului.



    Vreți un avatar în comentarii? Mergeți pe gravatar.com (un serviciu Wordpress) și asociați o imagine cu adresa de email cu care comentați.

    Dacă ați bifat să fiți anunțați prin email de noi comentarii sau posturi, veți primi inițial un email de confirmare. Dacă nu validați acolo alegerea, nu se va activa sistemul și după un timp nu veți mai primi nici alte emailuri

    Comentariile nu se pot edita ulterior, așa că verificați ce ați scris. Dacă vreți să mai adăugați ceva, lăsați un nou comentariu.

sus