Skip to main content

Po Incydencie Google gromadzenie danych Wi-Fi w grze

Cztery miesiące temu, pośród ostrych reakcji ze strony rządowych organów nadzoru i obrońców prywatności, Google przestało zbierać dane Wi-Fi za pomocą samochodów Street View. Ale to nie znaczy, że Google przestał zbierać dane bezprzewodowe w ogóle, a nie ma innych firm, takich jak Apple.

Zamiast wysyłać samochody, aby wykrywać sieci bezprzewodowe, Google prowadzi teraz akcję crowdsourcingową, a użytkownicy telefonów z systemem Android i aplikacje mobilne obsługujące lokalizację praca zwiadowcza dla niego. W ciągu ostatnich kilku miesięcy Apple po cichu zaczęło budować podobną bazę danych, wykorzystując dużą bazę użytkowników do rejestrowania podstawowych danych Wi-Fi. Są jeszcze inni: firma Boston, Skyhook Wireless, od lat rejestruje punkty dostępu bezprzewodowego, podobnie jak jej konkurent, Navizon z Miami Beach na Florydzie.

To trend, który został zainspirowany intensywnym zainteresowaniem aplikacjami takimi jak FourSquare i miejsca na Facebooku. Ponieważ staje się coraz ważniejsze dla programów uruchamianych w telefonie, aby dokładnie wiedzieć, gdzie jesteś - aby być zorientowanym na lokalizację w języku branżowym - znalezienie sposobu, w jaki dokładnie się znajdziesz, staje się krytyczne. Jednak firmy zbierające te dane nie są poddawane szczegółowej analizie, wielu użytkowników nie rozumie, w jaki sposób gromadzone są dane lub dlaczego, a eksperci ds. Bezpieczeństwa dopiero zaczynają odkrywać niektóre sposoby wykorzystania tych informacji.

[Więcej informacji: Najlepsze zabezpieczenia przeciwprzepięciowe dla kosztownej elektroniki]

Potrzeba łączności bezprzewodowej

Istnieją trzy sposoby, dzięki którym programy zorientowane na lokalizację mogą to zrobić: Mogą przyjmować odczyty GPS (Global Positioning System), uzyskać zgadnij, gdzie się znajdujesz, sprawdzając, z jakiej wieży komórki korzystasz, lub zobacz sieci Wi-Fi w twoim bezpośrednim sąsiedztwie. Dane z wieży komórkowej są dość niejasne - na obszarach wiejskich może być wiele kilometrów między wieżami telefonicznymi. GPS jest bardzo dokładny, ale urządzenia GPS potrzebują wyraźnej linii widzenia do satelity, aby mógł pracować, więc nie działa dobrze w pomieszczeniach zamkniętych lub w gęstym środowisku miejskim. W mieście trudno przebić geolokalizację przez Wi-Fi.

Problem polega na tym, że wielu konsumentów pławi się z powodu powszechnego gromadzenia danych bezprzewodowych. Firma Google wyjęła wtyczkę z kolekcji danych Wi-Fi Street View po tym, jak zmuszono ją do przyznania, że ​​jej samochody rejestrują dużo więcej danych niż większość osób - w tym Google - zrealizowała. Teraz firma ma kłopoty z europejskimi regulatorami, ogólnymi rzecznikami państwowymi i licznymi prawnikami zajmującymi się procesem, którzy wnieśli pozwy zbiorowe przeciwko Google za rejestrację szeroko otwartych danych "ładunku", które można zobaczyć w niezabezpieczonych sieciach bezprzewodowych. Informacje te mogą obejmować wiadomości e-mail, hasła lub wszystko, co zostało wysłane bez szyfrowania w sieci bezprzewodowej.

Czułość utrudniła dokładne ustalenie, kto zbiera dane bezprzewodowe i co rejestruje. Microsoft, na przykład, odmówił komentarza do tej historii. Wcześniej w tym roku Microsoft ogłosił umowę z Navizon, który prowadzi bazę danych sieci Wi-Fi oraz wież komórkowych i danych GPS opracowanych przez użytkowników oprogramowania Navizon. Apple nie dostarczył żadnych informacji na temat swoich planów, pomimo wielokrotnych próśb, a Research in Motion dostarczył tylko krótką wiadomość e-mail, mówiąc: "RIM wykorzystuje swoją własną technologię pozycjonowania lokalizacji, która wykorzystuje pozycjonowanie wieży komórkowej w celu uzupełnienia GPS."

Trzy firmy, które chciały odpowiedzieć na pytania dotyczące bezprzewodowego gromadzenia danych - Google, Skyhook i Navizon - oświadczyły, że nie gromadzą żadnych danych użytkowych, które wpędziły Google w kłopoty na początku tego roku. Eksperci w dziedzinie bezprzewodowego gromadzenia danych twierdzą, że niezwykle trudno byłoby zbudować urządzenie mobilne, które tego typu wykrywało. Wystarczyłoby zbyt dużo energii, aby telefon komórkowy stale wyczuwał cały otwarty ruch Wi-Fi, a następnie wysyłał go do Google.

Oczywiste jest jednak, że Apple, Google, Navizon i Skyhook zbierają adresy MAC (Media Access Control), które można wykorzystać do identyfikacji routerów bezprzewodowych. Gromadzą także dane o sile sygnału sieci, a następnie łączą dane Wi-Fi z innymi informacjami, takimi jak wieże komórek i odczyty GPS, aby dokładnie określić, gdzie znajdują się ich użytkownicy.

Firmy, które gromadzą zasoby ich gromadzenie danych Wi-Fi jest ostrożne, aby uzyskać zgodę użytkowników, ale krytycy mówią, że użytkownicy mogą nie rozumieć, że pomagają mapować routery bezprzewodowe używane przez ich sąsiadów, kiedy wyrażają zgodę na uruchomienie aplikacji obsługującej lokalizację. Adwokaci i prawnicy zajmujący się ochroną prywatności zwracają uwagę na sposób, w jaki dane dotyczące lokalizacji mogą zostać wykorzystane w celu niszczenia użytkowników urządzeń mobilnych. Jednak nie zwrócono na to uwagi, ponieważ takie gromadzenie danych może mieć wpływ na właścicieli routerów bezprzewodowych - którzy ich podstawowe bezprzewodowe dane były rejestrowane bez zgody.

Grafika: Chip Taylor A Worrisome Hack

Ponieważ ich bazy danych usuwają dane osobowe, kolektory danych mówią, że są bezpieczne. Ale jak odkrył haker Samy Kamkar na początku tego roku, te bazy danych mogą zostać wykorzystane niewłaściwie. Kamkar, znany z pisania robaka, który krótko zamknął MySpace w 2005 roku, znalazł sposób na wykorzystanie bazy danych Google z informacjami o lokalizacji, aby potajemnie dowiedzieć się adresów ludzi .

Kamkar nie mógł znaleźć adresu każdej osoby, ale w rozmowę, którą wygłosił na konferencji bezpieczeństwa w zeszłym miesiącu, pokazał, jak mógł wykorzystać podstawowy błąd programowania w niektórych typach domowych routerów Wi-Fi, aby umożliwić im ujawnienie adresów MAC. Uzbrojony w te informacje, pokazał, w jaki sposób mógł wykorzystać ogólnodostępną bazę danych geolokalizacyjnych Google, aby dowiedzieć się, gdzie mieszkali ludzie. Jeśli ktoś odwiedza swoją stronę z routera z błędem po lewej z domyślnymi ustawieniami kontroli dostępu, może dowiedzieć się, gdzie się znajdują.

Google pozornie udostępnił swoją bazę danych, aby przeglądarki takie jak Chrome i Firefox mogły wysyłać informacje o lokalizacji do stron internetowych, ale demo Kamkara pokazuje, jak te dane mogą zostać wykorzystane, przynajmniej w niektórych przypadkach.

"Nikt nie myśli, że ten adres Maca jest prywatną informacją" - powiedział. "To, że możesz przesyłać zapytania do Google w dowolnym momencie i dowiedzieć się, gdzie jest ktoś ... Myślę, że to problem dotyczący prywatności."

Google dba o to, aby użytkownicy telefonów z Androidem wiedzieli, kiedy aplikacje próbują z niego korzystać. rodzaj danych o lokalizacji, ale osoby, których adresy MAC są rejestrowane, nie mają tyle szczęścia. Użytkownicy Wi-Fi nie wiedzą, kiedy ich adres MAC został dodany do bazy danych Google, i nie jest jasne, w jaki sposób mogą zrezygnować.

W e-mailowym oświadczeniu Google powiedział: "Ważne jest, aby pamiętać, że adresy MAC to prosty identyfikator sprzętu przypisany przez producenta, nie gromadzimy żadnych informacji na temat właścicieli gospodarstw domowych, ani nie możemy zidentyfikować osoby z danych adresowych MAC.Te dane są publicznie rozpowszechniane i są identyczne z tym, co każda osoba może się nauczyć idąc w pobliżu W żadnym miejscu Google publicznie nie ujawnia adresów MAC z bazy danych. "

Ale wydaje się, że istnieją inne sposoby na dręczenie adresów MAC użytkowników, a następnie niewłaściwe wykorzystanie tych informacji. powód do niepokoju.

"Jestem pewien, że większość ludzi nie zdaje sobie sprawy z tego, że jeśli przeprowadzą się, aby uniknąć prześladowcy i zabiorą ze sobą swój punkt dostępowy, mogą udostępniać swoją nową lokalizację za pośrednictwem Google", powiedział Nate Lawson, założyciel firmy konsultingowej ds. bezpieczeństwa Root Labs w e-mailowy wywiad.

Istnieją również inne potencjalnie kłopotliwe scenariusze, według Lawsona. Na przykład, jeśli laptop był przywiązany do telefonu komórkowego, działającego jako sieć bezprzewodowa, adres MAC telefonu komórkowego i jego lokalizacja mogły zostać dodane do bazy danych, a następnie wykorzystane do śledzenia ludzi bez zgody, powiedział.

"Robimy zbieranie fal, które są otwarte"

Skyhook Wireless obsługuje ponad 400 pojazdów, które jeżdżą po Stanach Zjednoczonych rejestrując dane bezprzewodowe, podobnie jak używane przez Google samochody Street View. W przeciwieństwie do Street View, Skyhook nigdy nie zarejestrował niczego więcej niż adresy MAC, siłę lokalizacji oraz dane GPS i wieże komórek, według założyciela Skyhook i starszego wiceprezydenta Mike'a Sheana. Skyhook nadal używa samochodów, oprócz rejestrowania danych z urządzeń, ponieważ firma uważa, że ​​uzyskuje dane o wyższej jakości za pomocą tej techniki.

Shean zwraca uwagę, że aby sieci bezprzewodowe działały, muszą nadawać typ danych zbieranych przez jego firmę. "Nie robimy nic, aby naruszyć twoją prywatność" - powiedział. "Wszystko, co robimy, to zbieranie fal, które są w otwartym spektrum."

Skyhook dostaje pięć żądań rocznie od ludzi, którzy chcą, aby ich router bezprzewodowy został usunięty z bazy danych, powiedział Shean. Honorują te prośby.

Ponieważ coraz ważniejsze stają się programy lokalizacyjne, rodzaj danych bezprzewodowych gromadzonych przez Apple, Skyhook i Google stanie się jeszcze bardziej wartościowy. W rzeczywistości, do niedawna Apple korzystał z danych Skyhook, ale od kwietnia 2010 r. Firma zaczęła budować własną bazę danych, prawdopodobnie dlatego, że uważa to za strategiczną konieczność.

Apple nie odpowiedział na prośby o komentarz na temat swojej bezprzewodowej kolekcji polityki, ale w dniu 12 lipca 2010 r. podano informacje na temat jej bazy punktów dostępu do sieci komórkowych i Wi-Fi, list do przedstawicieli Edwarda Markeya, Demokraty z Massachusetts i Joe Bartona z Teksańskiego Republikańskiego. W liście Apple twierdzi, że przechowuje adresy MAC i informacje o sile sygnału i łączy je ze współrzędnymi GPS i wieżą komórki. "Apple nie zbiera przypisanej przez użytkownika nazwy punktu dostępu Wi-Fi (znanego jako" SSID "lub identyfikator zestawu usług) ani danych przesyłanych przez sieć Wi-Fi (tzw." Dane ładunku ")."

Baza danych jest "dostępna tylko dla Apple", stwierdza stan.

Podejrzany obawą ze strony skandalu Google Wi-Fi, obrońcy prywatności są zaniepokojeni. Część problemu jest taka, że ​​jest tak mało publicznej świadomości tego, co się dzieje , powiedział John Simpson, adwokat z Consumer Watchdog, grupy, która w przeszłości była bardzo krytyczna wobec Google. "Jeśli kupię telefon komórkowy, czy spodziewam się mapowania lokalizacji Wi-Fi dla firmy, która sprzedała mi telefon? - zapytał. "Moja odpowiedź brzmi, jakbym była zaskoczona."

"Część problemu z tą technologią polega na tym, że ludzie po prostu nie wiedzą, co się dzieje", dodał.

Z pewnością większość użytkowników bezprzewodowych nie zdaje sobie sprawy, że lokalizacja ich ruterów jest logowana do baz danych i że co najmniej jedna z tych baz danych - Google - może być dostępne dla każdego przez Internet. To, czy stanie się większym problemem dla kolektorów danych, zależy od tego, czy więcej osób, takich jak Kamkar, może wymyślić nieoczekiwane sposoby wykorzystania lub niewłaściwego wykorzystania tych danych.

Ale czy to naprawdę wielka sprawa? Nikt nie zmusza ludzi do korzystania z danych bezprzewodowych, ale może problem polega na tym, że ludzie konfigurują sieci bezprzewodowe bez pełnego zrozumienia, w co się pakują.

Brad Haines, niezależny konsultant, który spędził dużo czasu na studiowaniu bezpieczeństwa sieci bezprzewodowej , mówi, że to niesamowite, że mimo że technologia bezprzewodowa jest głównym nurtem od prawie dekady, wielu użytkowników wciąż nie wie, jak to działa. "Szczerze mówiąc, jeśli boisz się tego, to dlaczego korzystasz z sieci bezprzewodowej?" On pyta. "To jest informacja publiczna, ponieważ transmitujesz ją na otwartej częstotliwości."

CEO SimpleGeo Matt Galligan zgadza się, że wiele bezprzewodowych obaw jest przekręconych. Ale Galligan, którego firma sprzedaje narzędzia programistyczne dla aplikacji zorientowanych na lokalizację, mówi, że ludzie budujący te technologie muszą edukować użytkowników. "Jeśli ktoś naprawdę chce dowiedzieć się czegoś o Tobie, może pójść do marketingu masowego i dowiedzieć się o twoich zainteresowaniach" - powiedział. "Osobiście uważam, że nie powinno to stanowić wielkiego problemu."

Robert McMillan omawia bezpieczeństwo komputerów i ogólne wiadomości dotyczące najnowszych technologii dla IDG News Service. Obserwuj Roberta na Twitterze na @bobmcmillan. Adres e-mail Roberta to [email protected]