Главная » Хабрахабр » Security Week 03: 2019 — год приватности

Security Week 03: 2019 — год приватности

Ладно, может и не весь 2019 год, и вообще предсказания — штука сложная и неблагодарная. После громкого заголовка выскажемся точнее: важные новости начала января почти все так или иначе посвящены приватности. В 2018 году вопросы ценности данных, собираемых с клиентов сетевых сервисов, а также проблемы бесконтрольного использования этих данных впервые начали обсуждаться широко. Виной тому стал скандал с социальной сетью Facebook и массовым сбором данных пользователей соцсети даже не самим Фейсбуком, а какими-то непонятными левыми фирмами, с последующим широким применением, в том числе и на выборах.

Где мы находимся, о чем мечтаем, сколько зарабатываем, чем болеем, сколько стоим в пробках, за кого голосуем на выборах, из чего на праздники был салат. Специалистам и тем, кто в теме, давно уже было понятно: интернет-гигантам известно про нас почти все. Она может привести к окончанию своеобразной эпохи Дикого Запада на рынке данных. Более широкое обсуждение темы и, возможно, более серьезное давление на компании, собирающие информацию, — это в целом неплохая штука. Главное, чтобы в погоне за приватностью не пострадало качество сервисов, тоже зависящее от персональных данных пользователей.

Тем временем компании начинают использовать приватность как конкурентное преимущество. По крайней мере те, кто может себе это позволить без обвинений еще и в недобросовестной рекламе. На прошедшей в начале января в Лас-Вегасе выставке CES компания Apple рекламировала свои объективно неплохие позиции по неприкосновенности данных пользователей iPhone: что происходит на вашем телефоне, остается на вашем телефоне. Проблема в том, что одними только настройками операционной системы защититься не получится. Лучше всего это показано в журналистском расследовании, опубликованном на сайте Motherboard (краткое содержание на русском — здесь).
Автор статьи, журналист Джозеф Кокс, нашел частного детектива… Хотя нет, наверное, это слишком приличный термин. В статье его называют охотником за головами — в общем, найден был человек, который за деньги разыскивает должников или людей, скрывающихся от полиции, или вообще кого угодно, если за это платят. Ему было выдано 300 долларов и номер мобильного телефона. В обмен на деньги охотник за головами прислал скриншот из Google Maps, указывающий расположение владельца мобильника с точностью до квартала.

В эти организации, в свою очередь, обращаются кредитные агентства, автодилеры, в общем, все те, кому важно удостовериться, что человек, берущий кредит или покупающий машину, говорит правду. По американским законам такая деятельность не то чтобы запрещена: сотовым операторам позволяется передавать данные о расположении клиентов специализированным организациям. Представители сотовых операторов и крупных провайдеров персональных данных в итоге свалили вину на относительно мелкое агентство, которое перепродавало данные всем интересующимся и готовым платить. Ключевым моментом является явное согласие владельца контракта на отслеживание, которое в случае, описанном в статье Motherboard, дано не было.

С таким рефреном: как же так, это же ведь кого угодно можно отследить! Резонанс у статьи был нешуточный, даже до обсуждений в американском конгрессе дело дошло (смотрите твит выше). Еще одно дело о нежелательной слежке за пользователями дошло до суда: в Лос-Анджелесе подали иск (новость) против компании The Weather Channel. Ну дааа. Изначально это был действительно канал о погоде, теперь это скорее поставщик сводок о температурах и осадках на смартфоны, разработчик рекламной платформы, а с 2016 года компания еще и входит в состав IBM.

На этом моменте в дайджест заходит Капитан Очевидность и грустно кивает головой: а какая там еще могла быть цель? В иске против компании утверждается, что она собирала данные о местоположении пользователей мобильного приложения (аудитория в 45 миллионов человек) с целью извлечения прибыли. На самом деле для прогноза погоды такая точность не требуется, тем более не обязательно собирать данные, когда приложением никто не пользуется, в том числе и ночью. Логика иска такая: пользователям сообщалось, что геолокация позволяет более точно предсказывать погоду. Данные затем передавались в IBM и третьим лицам для использования в рекламе. А данные все равно собирали, и это даже не сотовые сети: тут точность выше. Скорее всего, так и есть. Представители компании, естественно, все отрицают и настаивают на правомерном сборе и обработке информации. Если иск не утонет в юридической демагогии, будет интересно.

В исследованные приложения для Android (включая очень популярные, например Yelp или Shazam) внедрен SDK Facebook, через который данные и передаются в соцсеть. В самом конце декабря на конференции 35С3 исследователи из организации Privacy International рассказали, как Facebook собирает данные даже тех пользователей, которые соцсетью не пользуются (новость, отчет организации). Если вас расстроили прошлогодние откровения о том, как ваши данные используются соцсетью, и вы решили удалить Facebook с телефона, у меня плохие новости: соцсеть все равно про вас много знает. Удивительно, правда?

Так, электронная версия Библии передавала в соцсеть номер главы и стиха, которые просматривал пользователь. В исследовании приводятся интересные примеры. Но дело даже не в этом: полезную в рекламных целях информацию можно извлечь просто из характеристик приложения — одни помогали рассчитывать менструальные циклы, другие — искать работу. Стандартный набор данных, передаваемых всеми приложениями: статистика использования аппа, тип устройства, неточная геолокация на основе языка и часовой зоны. Из 34 исследованных приложений 61% отправляли данные в Facebook постоянно, при каждом открытии программы на смартфоне.

В помещение снова заходит Капитан и непонимающе смотрит: а как вы думали, так же работают все рекламные сети. Таким образом, Facebook получает данные даже о тех людях, кто либо вовсе не имеет учетной записи в соцсети, либо не устанавливает соответствующие приложения на смартфон. Цифровая экономика конца второго десятилетия двадцать первого века питается персональными данными. Разработчики не просто так включают код Facebook в свои программы, а для получения прибыли. Ничего личного, просто бизнес.

Можно и ничего не делать: за исключением крайних случаев (вроде описанного в статье Motherboard) сбор данных не означает, что где-то в условном Гугле или Фейсбуке лежит папочка с вашим личным делом, именем и фамилией. Что с этим делать, зависит от вашего личного отношения к проблеме. Качество сервисов ведь тоже зависит от собираемых данных, и во многих случаях мы не против, чтобы сетевые сервисы становились лучше. Эффективность использования этих данных пока достаточно низкая — это можно понять по качеству показываемой вам рекламы. А такой выбор есть не всегда. Просто хотелось бы иметь выбор, какие именно данные передавать, и возможность разрешать или запрещать компаниям сбор и хранение информации.

Интересные примеры обеспечения приватности в эпоху тотальной цифровой прозрачности приводятся в сообществе /r/privacy на Reddit. Если вы параноик, то будет нелегко. Это простой способ, есть посложнее: Android-смартфон c альтернативной прошивкой LineageOS, без сервисов Google, установка приложений вручную. В частности, использование iPhone со строгими настройками передачи данных, с обязательным VPN, с ограниченным набором приложений (для каждого внимательно прочитать условия использования и заявление о приватности). Теперь отношение меняется, и приватность становится «требованием нормального человека». До недавнего времени приватность ассоциировалась в основном с анонимностью: типа вам нужно в Интернете делать какие-то темные дела. И это хорошо: если есть спрос — значит, будет и предложение.

Дорогая редакция вообще рекомендует относиться к любым мнениям со здоровым скептицизмом. Disclaimer: Мнения, изложенные в этом дайджесте, могут не всегда совпадать с официальной позицией «Лаборатории Касперского».


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

Акценты английского в «Игре престолов»

Восьмой сезон культового сериала «Игра престолов» уже стартовал и уже совсем скоро выяснится, кто сядет на Железный трон, а кто падет в борьбе за него. Внимательные зрители, которые смотрят сериал в оригинале, заметили, что герои говорят с разными акцентами английского ...

PHP-Дайджест № 154 (9 – 21 апреля 2019)

В выпуске: Zend Framework переходит под крыло Linux Foundation, новости из PHP Internals, порция полезных инструментов, и многое другое. Свежая подборка со ссылками на новости и материалы. Приятного чтения! Новости и релизы PHP Internals Инструменты pinba-server/pinba-server — Простой pinba-сервер на ...