Kada preuzmete neku aplikaciju, zahtjev za dozvolu za pristup informacijama/funkcijama mobitela i politika privatnosti obično su jedina dva upozorenja o praćenju podataka i trebamo im vjerovati na riječ da će uzeti samo podatke koje smo im pristali dati.
Međutim, istraživači sigurnosti su otkrili da se često događa mnogo veće preuzimanje podataka nego što su nas naveli da vjerujemo.
Otkriveno je da više od 1000 aplikacija preuzima podatke s mobitela, čak i ako ste im uskratili dozvolu. Na primjer, aplikacija za praćenje “onih dana” kod žena podijelila je osjetljive podatke s Facebookom, kao i s drugim kompanijama. Slično ovom slučaju, aplikacije kreirane za sprječavanje automatiziranih poziva podijelile su podatke korisnika s kompanijama koje se bave analitikom.
U svakom trenutku kada uređaj šalje podatke, promet i povezivanje se bilježe. Vaša lokacija se evidentira kada provjeravate vremensku prognozu, a ti isti podaci mogu se poslati oglašivačima.
Istraživači imaju alat za vidjeti takvu vrstu povezivanja. Oni ih zatim analiziraju kako bi shvatili koliko podataka se šalje i gdje. Obično je ovakva analiza prometa podataka na mreži omogućavala pogled na to što se događa na javnim Wi-Fi mrežama. Međutim, posljednjih godina istraživači su analizu preselili na svoje mobitele, da bi vidjeli koje podatke aplikacije uzimaju s mobitela korisnika i šalju dalje.
Kada su “zavirili” unutra, ustanovili su da mnoge aplikacije šalju podatke koji premašuju ono na što su ljudi pristali.
“Na kraju, ostaje vam politika privatnosti koja je zapravo besmislena, jer ne opisuje što se točno događa. Jedini način da se odgovori na to pitanje je da se vidi što aplikacija radi s tim podacima”, kaže Serge Egelman, direktor istraživanja sigurnosti i privatnosti na Međunarodnom institutu za kompjutersku znanost (International Computer Science Institute).
Ponekad, podaci se samo prosljeđuju oglašivačima, koji misle da ih mogu koristiti za prodaju proizvoda. Podaci o lokaciji mobitela mogu biti “zlatni rudnik” za oglašivače, kako bi znali gdje se ljudi nalaze u određenim razdobljima. A isto tako, podaci dobiveni preko aplikacija mogu odlaziti i državnim službama koje koriste tehnologiju da istražuju informacije o ljudima. Nedavno, The Wall Street Journal je izvijestio da državne službe koriste takve podatke da bi pratile imigrante.
Ovi istraživači otkrivaju skriveni svijet praćenja podataka, što podiže zabrinutost koliko zapravo ljudi daju informacija o sebi, a da toga nisu ni svjesni.
Praćenje lokacije
Will Strafach se prvi počeo baviti analizom prometa na mreži 2017. godine, dok je radio u kompaniji Guardian, koja se bavi sigurnošću na mobitelima, a čiji je i suosnivač.
Čak i kada je GPS isključen na mobitelu, Strafach je otkrio “rupe” koje omogućavaju praćenje podataka, kao što je prikupljanje informacija o lokaciji kada je mobitel povezan na Wi-Fi mrežu.
Veličina problema je izašla na vidjelo kada je otkriveno da AccuWeather, popularna aplikacija za vremensku prognozu, šalje podatke o lokaciji korisnika, čak i kada je opcija za dijeljenje lokacije isključena.
Prema riječima Strafacha, to je za njega tada prešlo granicu od “ovo je problem” do “ovo mora odmah prestati”.
Strafach je ustanovio da skriveno praćenje lokacije, kao što je kod AccuWeathera, predstavlja jedan od najvećih problema privatnosti kod aplikacija. Ljudi daju dozvolu aplikacijama za svrhu koja im je potrebna, kao što je pronalazak najjeftinije benzinske stanice u okolini, ali ne shvaćaju da se u pozadini informacije dijele s brokerima podataka.
Godinu dana kasnije – ništa se nije promijenilo
Za razliku od malwarea, zlonamjernih softvera, koje Strafach također istražuje, ove aplikacije su dopuštene u Google i Apple trgovinama, a u nekim slučajevima dolaze već instalirane, s mobitelom. Zato je istraživanje ovih aplikacija postao novi fokus za Strafacha.
Često nije riječ samo o jednoj aplikaciji. Riječ je o načinu kako su povezani, o skrivenoj mreži podataka u kodu koja im pomaže izgraditi sveobuhvatnu sliku o nekome i što on radi. Iako kompanije tvrde da su podaci anonimni, potrebno je malo napora kako bi se utvrdilo tko je osoba, a na osnovi lokacije, vremena i aktivnosti koje se mogu prikupiti.
Na Međunarodnom institutu za kompjutersku znanost na Sveučilištu u Berkeleyju, Serge Egelman vodi tim od oko 10 istraživača u laboratoriju, u kojem koristi više prilagođenih Android mobitela programiranih za pretraživanje novih aplikacija u Google Play trgovini i otkrivanje podataka koje svaka aplikacija uzima s uređaja.
Njihov alat traži nove aplikacije i dodaje ih u bazu podataka, a one se u bazi provjeravaju svaka dva tjedna da bi se utvrdilo jesu li im dodani novi softveri za praćenje. Egelman je 2019. objavio istraživanje u kojem je opisano kako oko 17.000 Android aplikacija kreira trajni zapis aktivnosti uređaja. Više od godinu dana kasnije, kako kaže, ništa se nije promijenilo.
Što možemo učiniti kako bismo se zaštitili?
Jedino što se za sada može učiniti, to je ne preuzimati aplikacije koje ovo rade. Egelman je uzeo svoj alat iz istraživanja i pretvorio ga u metodu koju ljudi mogu koristiti kako bi provjerili aplikacije koje imaju na svojim uređajima.
Naravno, on ne očekuje da će svaka osoba odjednom naučiti kako učiniti analizu mrežnog prometa, niti će ljudi to željeti.
“Ako je potreban tim istraživača koji pišu svoje vlastite softvere i istražuju mrežni promet da bi shvatili o čemu se točno radi, svakako nije razumno očekivati da će prosječni potrošač učiniti isto. Umjesto toga, potrebne su nadzorne grupe i regulatorna tijela. Oni bi trebali to činiti, a ne potrošači”, kaže Egelman.
On je ponudio svoj alat preko aplikacije koja se zove AppCensus, a koja omogućava korisniku pretraživanje aplikacija i uvid koji su podaci poslani i koji se šalju. Tim također radi na aplikaciji koja će upozoriti vlasnika mobitela kad god se identifikacijski podaci šalju softverima za praćenje.
Za preuzimanje je dostupan i alat CharlesProxy, koji radi presretanje mrežnog prometa i s kompjutera i s mobitela.
Will Strafach kaže da njegova kompanija radi na ažuriranju sigurnosne aplikacije koja će obavještavati ljude kad god neka aplikacija uzme više podataka s mobitela nego što je trebala.