Contente

• Configuração
• O que eu vi
• Publicidades
• Amazon AWS
• Ok google
• O que o Google sabe sobre mim?
• E o Facebook, Twitter e outros?
• Potencial vs Real
• Embrulhar

A privacidade digital é um tópico importante. Passamos para uma era em que quase todo mundo carrega um dispositivo conectado. Todo mundo tem uma câmera. Muitas de nossas atividades diárias - desde andar de ônibus até acessar nossas contas bancárias - são realizadas on-line. Surge a pergunta: "quem está acompanhando todos esses dados?"

Algumas das maiores empresas de tecnologia do mundo estão sendo examinadas sobre como eles usam nossos dados. O que o Google sabe sobre você? O Facebook é transparente sobre como ele lida com seus dados? A Huawei está nos espionando?

Para tentar responder a algumas dessas perguntas, criei uma rede Wi-Fi especial que permite capturar todos os pacotes de dados enviados de um smartphone para a Internet. Eu queria ver se algum dos meus dispositivos estava enviando dados secretamente para servidores remotos sem o meu conhecimento. Meu telefone está me espionando?

Configuração

Para capturar todos os dados que circulam do meu smartphone, eu precisava de uma rede privada, onde sou o chefe, onde sou root, onde sou administrador. Depois de ter controle total da rede, posso monitorar tudo o que entra e sai da rede. Para fazer isso, configurei um Raspberry Pi como um ponto de acesso Wi-Fi. Eu o chamei imaginativamente de PiNet. Em seguida, conectei o smartphone em teste ao PiNet e desabilitei os dados móveis (para ter certeza de que estou recebendo todo o tráfego). Nesse ponto, o smartphone estava conectado ao Raspberry Pi, mas nada mais. O próximo passo é configurar o Pi para encaminhar todo o tráfego que sai para a Internet. É por isso que o Pi é um dispositivo tão bom, já que muitos modelos têm Wi-Fi e Ethernet integrados. Conectei a Ethernet ao meu roteador e agora tudo o que o smartphone envia e recebe precisa fluir através do Raspberry Pi.

Existem muitas ferramentas de análise de rede por aí e uma das mais populares é a WireShark. Permite a captura e o processamento em tempo real de todos os pacotes de dados que voam pela rede. Com meu Pi entre meus smartphones e a Internet, usei o WireShark para capturar todos os dados. Uma vez capturado, eu podia analisá-lo quando quisesse. A vantagem do método "capture agora, faça perguntas depois" é que posso deixar a instalação em funcionamento durante a noite e ver quais segredos meu smartphone está revelando no meio da noite!

Eu testei quatro dispositivos:

• Huawei Mate 8
• Pixel 3 XL
• OnePlus 6T
• Galaxy Note 9

O que eu vi

A primeira coisa que notei foi nossos smartphones conversarem com o Google muito. Eu acho que isso não deveria me surpreender - todo o ecossistema Android é construído em torno dos serviços do Google - mas foi interessante ver como, quando acordei um dispositivo, ele desaparece e verifica seu Gmail e o horário atual da rede (via NTP) e um monte de outras coisas. Também fiquei surpreso com quantos nomes de domínio o Google possui. Eu esperava que todos os servidores fossem something.whatever.google.com, mas o Google tem domínios com nomes como 1e100.net (que eu acho que é uma referência a um Googolplex), gstatic.com, crashlytics.com e assim por diante.

Eu verifiquei e verifiquei todos os domínios e endereços IP que os dispositivos de teste contataram para garantir que eu sabia com quem meu smartphone estava falando.

Além de conversar com o Google, nossos smartphones parecem borboletas sociais bastante despreocupadas e têm um amplo círculo de amigos. Obviamente, eles são diretamente proporcionais a quantos aplicativos você instalou. Se você tem o WhatsApp e o Twitter instalados, adivinhe, seu dispositivo entra em contato com os servidores do WhatsApp e do Twitter regularmente!

Eu vi conexões nefastas com servidores na China, Rússia ou Coréia do Norte? Não.

Publicidades

Algo que seu smartphone costuma fazer é conectar-se às Redes de entrega de conteúdo para obter anúncios. Novamente, a quais redes ele se conecta e quantas dependerão dos aplicativos que você instala. A maioria dos aplicativos suportados por publicidade usa bibliotecas fornecidas pela rede de anunciantes, o que significa que o desenvolvedor do aplicativo tem pouco ou nenhum conhecimento de como os anúncios são realmente veiculados ou de quais dados são enviados para a rede de anunciantes. Os fornecedores de anúncios mais comuns que vi foram o Doubleclick e o Akamai.

Em termos de privacidade, essas bibliotecas de anúncios podem ser um tópico polêmico, porque um desenvolvedor de aplicativos basicamente confia na plataforma para fazer a coisa certa com os dados e enviar apenas o estritamente necessário para veicular os anúncios. Todos nós já vimos como as plataformas de anúncios são confiáveis ​​durante o uso diário da web. Pop-ups, pop-unders, vídeos com reprodução automática, anúncios inadequados, anúncios que ocupam a tela inteira - a lista continua. Se os anúncios não fossem tão intrusivos, nunca haveria bloqueadores de anúncios.

Amazon AWS

Eu vi um pouco de atividade de rede relacionada aos Serviços Web da Amazon (AWS). Como um importante provedor de servidores em nuvem, a Amazon é frequentemente a escolha lógica para desenvolvedores de aplicativos que precisam de bancos de dados e outras habilidades de processamento em um servidor, mas não desejam manter seus próprios servidores físicos.

No geral, as conexões com a AWS devem ser consideradas inócuas. Eles estão lá para fornecer os serviços solicitados. No entanto, destaca a natureza aberta dos dispositivos conectados. Depois de instalar um aplicativo, é possível que ele possa enviar todo e qualquer dado coletado para um usuário incorreto, mesmo por meio de um provedor de serviços respeitável como a Amazon. O Android protege contra isso de várias maneiras, inclusive aplicando permissões nos aplicativos e com serviços como o Play Protect. É por isso que aplicativos de carregamento lateral podem ser muito perigosos.

Ok google

Como o PiNet me permitiu capturar todos os pacotes de rede, eu estava ansioso para verificar se o Google estava me espionando secretamente ativando o microfone no meu Pixel 3 XL e enviando os dados para o Google. Quando você ativa o Voice Match no Pixel 3 XL, ele escuta permanentemente as frases-chave “OK Google” ou “Hey Google”. Ouvir permanentemente parece perigoso para mim. Como qualquer político lhe dirá, um microfone aberto é um risco a ser evitado a todo custo!

O dispositivo deve escutar localmente a frase-chave, sem conectar-se à Internet. Se a frase-chave não for ouvida, nada acontece. Depois que a frase-chave for detectada, o dispositivo enviará um snippet aos servidores do Google para verificar se foi um falso positivo. Se tudo der certo, o dispositivo envia áudio para o Google em tempo real até que um comando seja entendido ou o tempo limite do dispositivo.

Foi isso que eu vi.

Não há tráfego de rede, mesmo quando falei diretamente ao telefone. No momento em que disse "Hey Google", um fluxo de tráfego de rede em tempo real foi enviado ao Google, até que a interação foi interrompida. Tentei enganar o Pixel 3 XL com pequenas variações da frase-chave, como "Pray Google" ou "Hey Goggle". Uma vez, consegui enviar um snippet ao Google para validação adicional, mas o dispositivo não recebeu confirmação e, portanto, O assistente não foi ativado.

O que o Google sabe sobre mim?

O Google oferece um serviço chamado Takeout, que permite baixar todos os seus dados do Google, aparentemente para que você possa migrar seus dados para outros serviços. No entanto, também é uma boa maneira de ver quais dados o Google tem sobre você. Se você tentar baixar tudo, o arquivo resultante pode ser enorme (talvez mais de 50 GB), mas isso incluirá todas as suas fotos, todos os seus videoclipes, todos os arquivos que você salvou no Google Drive, tudo o que você enviou para o YouTube, todos os seus e-mails , e assim por diante. Como forma de verificar a privacidade, não preciso ver quais fotos o Google possui, eu já sei disso. Da mesma forma, sei quais e-mails tenho, quais arquivos tenho no Google Drive e assim por diante. No entanto, se eu excluir esses itens de mídia volumosos do download e me concentrar na atividade e nos metadados, o download poderá ser bem pequeno.

Fiz o download do meu Takeout recentemente e dei uma espiada para ver o que o Google sabe sobre mim. Os dados chegam como um ou mais arquivos .zip que contêm pastas para cada uma das diferentes áreas, incluindo Chrome, Google Pay, Google Play Music, Minhas atividades, Compras, Tarefas, etc.

Mergulhar em cada pasta mostra o que o Google sabe sobre você nessa área. Por exemplo, há uma cópia dos meus favoritos do Chrome e uma cópia das listas de reprodução que criei no Google Play Music. No começo, não havia nada de surpreendente. Eu esperava uma lista dos meus lembretes, já que os criei usando o Google Assistant, para que o Google tenha uma cópia deles. Mas houve uma ou duas surpresas, mesmo para alguém tão "experiente em tecnologia" quanto eu.

O primeiro era uma pasta de gravações em MP3 de tudo o que eu já disse ao meu. Havia também um arquivo HTML com uma transcrição de todos esses comandos. Para esclarecer, esses são os comandos que dei ao Assistente do Google depois que ele foi ativado com "Hey Google". Para ser sincero, não esperava que o Google mantivesse um arquivo MP3 de todos os meus comandos.OK, entendi que existe algum valor de engenharia para poder verificar a qualidade do Assistente, mas não acho que o Google precise manter esses arquivos de áudio. É um pouco demais.

Havia também uma lista de todos os artigos que eu já li no Google Notícias, um registro de todas as vezes que joguei Solitaire e todas as pesquisas que fiz no Google Play Music desde quase cinco anos!

Acontece que o Google processa todos os seus emails procurando compras e cria um registro deles.

O que realmente me chocou foi na pasta Compras. Aqui, o Google registrou tudo o que eu já comprei online. O item mais antigo era de 2010, quando comprei alguns bilhetes de avião. O ponto aqui é que eu não comprei esses ingressos ou nenhum dos itens via Google. Tenho registros de compra de itens da Amazon, eBay e iTunes. Existem até registros de cartões de aniversário que comprei.

Indo mais fundo, comecei a encontrar compras que não fiz! Depois de alguns arranhões, verifica-se que esses registros são os resultados do Google processando meus e-mails e adivinhando as compras que fiz. Você provavelmente já viu isso especialmente em relação aos voos. Se você abrir um e-mail de uma companhia aérea, o Gmail colocará algumas informações resumidas sobre o seu voo em uma guia especial na parte superior do.

Acontece que o Google processa todos os seus emails procurando compras e cria um registro deles. Quando alguém lhe envia um e-mail sobre algo que ele comprou, o Google pode, inadvertidamente, analisá-lo como uma compra que você fez!

E o Facebook, Twitter e outros?

Mídia social e privacidade são, de certa forma, contraditórias. Como Harold Finch disse no programa Person of Interest sobre mídias sociais, “o governo tenta descobrir isso há anos. Acontece que a maioria das pessoas ficou feliz em voluntariá-lo. ”Com as mídias sociais, publicamos voluntariamente informações, incluindo aniversários, nomes, amigos, colegas, fotos, interesses, listas de desejos e aspirações. Depois de publicar todas essas informações, ficamos chocados quando elas são usadas de maneiras que não tínhamos a intenção. Como outro personagem famoso disse sobre uma sala de jogos, ele freqüentou: "Estou chocado, chocado ao descobrir que o jogo está acontecendo aqui!"

Todos os grandes sites de mídia social, incluindo o Facebook e o Twitter, têm políticas de privacidade e são bastante amplos no que cobrem. Aqui está um trecho da política do Twitter:

“Além das informações que você compartilha conosco, usamos seus Tweets, conteúdo que você leu, Curtiu ou Retweetou e outras informações para determinar em quais tópicos você está interessado, sua idade, os idiomas que fala e outros sinais. para mostrar um conteúdo mais relevante. "

Então, seu dispositivo está se conectando ao Twitter e permitindo que o Twitter determine coisas como sua idade, o idioma que você fala e o que interessa? Certo.

Ele perfila você - e você deixa fazer isso.

Aqui está a pergunta principal: se eu não tivesse um smartphone, isso impediria as entidades de me espionarem se quisessem?

Potencial vs Real

O maior problema com dispositivos conectados e entidades online não é o que eles estão fazendo, mas o que eles poderiam fazer. Eu usei a frase "entidades" intencionalmente porque os perigos em torno da vigilância em massa, espionagem e criação de perfil não são apenas sobre o Google ou o Facebook. Ignorando erros genuínos de software (bugs) e os modelos comerciais padrão de grandes empresas on-line, é bastante seguro dizer que o Google não está espionando você. Nem o Facebook. Nem o governo. Isso não significa que eles não podem - ou não.

Algum hacker ou espião do governo está ativando o microfone do seu telefone para ouvi-lo? Não, mas eles poderiam. Como vimos recentemente com os eventos em torno do assassinato de Jamal Khashoggi, as entidades podem induzi-lo a instalar um aplicativo que o espie. Empresas como a Zerodium vendem vulnerabilidades de dia zero aos governos, o que pode permitir que aplicativos maliciosos (como o Pegasus) sejam instalados no seu dispositivo sem você saber.

Vi alguma atividade com meus dispositivos? Não, mas não sou um alvo provável para essa vigilância e trapaça. Ainda poderia acontecer com outra pessoa.

Aqui está a pergunta principal: se eu não tivesse um smartphone, isso impediria as entidades de me espionarem, se quisessem?

Antes do lançamento dos smartphones, todos os principais governos do mundo já estavam envolvidos em espionagem e vigilância. A Segunda Guerra Mundial foi provavelmente vencida pela quebra do código Enigma e pelo acesso à inteligência que ele escondia. Os smartphones não são os culpados, mas agora há uma superfície de ataque maior - em outras palavras, há mais maneiras de espionar você.

Embrulhar

Após o teste, estou confiante de que nenhum dos dispositivos que usei está fazendo algo incomum ou malévolo. No entanto, a questão da privacidade é maior do que apenas um dispositivo que não está sendo intencionalmente malicioso. As práticas comerciais de empresas como Google, Facebook e Twitter são altamente discutíveis e muitas vezes parecem ultrapassar os limites da privacidade.

Quanto à espionagem, não há nenhuma van branca estacionada do lado de fora da minha casa assistindo meus movimentos e apontando um microfone direcional para minhas janelas. Eu acabei de verificar. Ninguém está invadindo meu telefone. Isso não significa que eles não podem.