Aplikacje systemowe — które domyślnie są zainstalowane na smartfonie i przeważnie nie można ich usunąć — często nie podlegają jakimś szczególnym analizom. W przypadku innych aplikacji i usług użytkownicy mają jakiś wybór; tu funkcje śledzenia i nadzoru są zintegrowane z samym urządzeniem.
Jest to część wniosków, jakie płyną z niedawnego badania przeprowadzonego wspólnie przez naukowców z Uniwersytetu w Edynburgu (Wielka Brytania) i Trinity College w Dublinie (Irlandia). Przyjrzeli się oni smartfonom czterech znanych dostawców, aby dowiedzieć się, ile informacji przesyłają te urządzenia. Wyniki porównali z systemami operacyjnymi o otwartym kodzie źródłowym opartymi na systemach Android, LineageOS oraz /e/. Poniżej prezentujemy ich spostrzeżenia.
Metoda przeprowadzenia badania
Aby eksperyment był czytelny, naukowcy ustalili dość ścisły scenariusz działań dla wszystkich czterech smartfonów. Użytkownik prawdopodobnie nigdy nie spotka ich w prawdziwym życiu: założyli oni, że każdy smartfon będzie używany tylko do wykonywania połączeń i wymiany SMS-ów. Nie zainstalowali żadnych aplikacji, a na urządzeniach znajdowały się tylko te, które zostały umieszczone przez producentów.
Co więcej, wyimaginowany użytkownik odpowiedział przecząco na wszystkie pytania typu „Czy chcesz ulepszyć usługę poprzez przekazywanie danych”, na które zazwyczaj musimy odpowiedzieć podczas pierwszego włączenia urządzenia. Nie aktywowali żadnych opcjonalnych usług producenta, takich jak przechowywanie w chmurze czy funkcja „Znajdź moje urządzenie”. Innymi słowy, przez cały czas trwania badania dbali o maksymalny poziom prywatności smartfonów.
Podstawowa technologia służąca do „szpiegowskiego śledzenia” jest taka sama we wszystkich podobnych badaniach. Smartfon łączy się z minikomputerem Raspberry Pi, który działa jako punkt dostępowy sieci Wi-Fi. Zainstalowane na nim oprogramowanie przechwytuje i odszyfrowuje strumień danych z telefonu. Następnie dane te są ponownie szyfrowane i dostarczane do odbiorcy — twórcy telefonu, aplikacji lub systemu operacyjnego. Zasadniczo autorzy artykułu przeprowadzili (nieszkodliwy) atak typu man-in-the-middle.
Dobrą wiadomością jest to, że wszystkie przesyłane dane były szyfrowane. Wygląda na to, że ta branża w końcu porzuciła pomysł komunikowania się urządzeń, programów i serwerów za pomocą czystego tekstu, bez żadnej ochrony. Wspomniani przez nas naukowcy musieli poświęcić sporo czasu i wysiłku, aby rozszyfrować i przeanalizować dane w celu ustalenia, co dokładnie zostało wysłane.
Później poszło im dość gładko. Całkowicie usunęli oni dane z każdego urządzenia i przeprowadzili wstępną konfigurację. Następnie, nie logując się na konto Google, zostawili każdy smartfon włączony na kilka dni i monitorowali wychodzący transfer danych. Następnie zalogowali się za pomocą konta Google, tymczasowo włączyli geolokalizację i przeszli do ustawień telefonu. Na każdym etapie monitorowali, jakie dane były wysyłane i gdzie. Przetestowali w sumie sześć smartfonów: cztery z oprogramowaniem układowym producenta i dwa z wersjami z otwartym kodem źródłowym Androida: LineageOS i system operacyjny /e/.
Kto zbiera dane?
Ku niczyjemu zaskoczeniu naukowcy odkryli, że głównymi kolekcjonerami tych danych byli producenci smartfonów. Wszystkie cztery urządzenia z oryginalnym oprogramowaniem układowym (i zestawem wstępnie zainstalowanych programów) przekazywały do producenta dane telemetryczne wraz z identyfikatorami trwałymi, takimi jak numer seryjny urządzenia. Tutaj autorzy artykułu rozgraniczają standardowe oprogramowanie układowe od kompilacji niestandardowych.
Na przykład system LineageOS ma opcję wysyłania danych do programistów (na przykład w celu monitorowania stabilności działania programów), ale wyłączenie jej zatrzymuje transmisję danych. Na urządzeniach skonfigurowanych fabrycznie zablokowanie wysyłania danych podczas konfiguracji wstępnej może rzeczywiście zmniejszyć ilość wysyłanych danych, ale nie blokuje całkowicie transmisji danych.
Dane odbierają również twórcy wstępnie zainstalowanych aplikacji. Tutaj także pojawia się interesujący niuans: zgodnie z zasadami firmy Google aplikacje zainstalowane ze sklepu Google Play muszą używać określonego identyfikatora do śledzenia aktywności użytkownika — Identyfikator firmy Google wyświetlania reklam. Jeśli chcesz, możesz zmienić ten identyfikator w ustawieniach telefonu; jednak wymóg ten nie ma zastosowania do aplikacji wstępnie zainstalowanych przez producenta — one używają trwałych identyfikatorów i zbierają wiele danych.
Na przykład zainstalowana fabrycznie aplikacja sieci społecznościowej wysyła dane o właścicielu telefonu na własne serwery, nawet jeśli człowiek ten nigdy jej nie otworzył. Ciekawszy przykład: na jednym ze smartfonów klawiatura systemowa wysyłała informacje o tym, które aplikacje są uruchomione. Kilka urządzeń było również wyposażonych w aplikacje operatora komórkowego i one także zbierały informacje związane z użytkownikiem.
Na osobny akapit zasługują też aplikacje systemowe Google. Zdecydowana większość telefonów jest dostarczana z usługami Google Play i sklepem Google Play, a ponadto zwykle zainstalowane są takie aplikacje jak YouTube, Gmail czy Mapy. Badacze zauważają, że aplikacje i usługi Google zbierają znacznie więcej danych niż jakikolwiek inny wstępnie zainstalowany program. Poniższy wykres przedstawia stosunek danych wysyłanych do Google (po lewej) i do wszystkich innych odbiorców telemetrii (po prawej):
Jakie dane są wysyłane?
W tej sekcji naukowcy ponownie koncentrują się na identyfikatorach. Wszystkie dane mają jakiś unikatowy kod służący do identyfikacji nadawcy. Czasami jest to kod jednorazowy, który ze względu na kwestie prywatności jest prawidłowym sposobem zbierania przydatnych dla programistów statystyk (na przykład na temat stabilności działania systemu).
Ale istnieją również długoterminowe, a nawet trwałe identyfikatory, naruszające prywatność użytkowników — i one również są gromadzone. Na przykład właściciele urządzeń mogą ręcznie zmienić wyżej wymieniony Identyfikator wyświetlania reklam firmy Google, ale bardzo niewiele osób to robi, więc można uznać, że ma on charakter prawie trwały (przy czym jest wysyłany zarówno do Google’a, jak i producentów urządzeń).
Identyfikatorami trwałymi są również: numer seryjny urządzenia, kod IMEI modułu radiowego i numer karty SIM. Dzięki numerowi seryjnemu urządzenia i kodowi IMEI możliwa jest identyfikacja użytkownika nawet po zmianie numeru telefonu i całkowitym zresetowaniu urządzenia.
Regularne przekazywanie informacji dotyczących modelu urządzenia, rozmiaru wyświetlacza i wersji oprogramowania układowego modułu radiowego stwarza mniejsze ryzyko pod względem prywatności — dane te są takie same dla dużej liczby właścicieli tego samego modelu telefonu. Ale dane dotyczące aktywności użytkowników w niektórych aplikacjach mogą ujawnić wiele informacji o ich właścicielach. Tutaj naukowcy mówią o cienkiej linii między danymi potrzebnymi do eliminowania błędów z aplikacji a informacjami, które można wykorzystać do utworzenia szczegółowego profilu użytkownika, na przykład do przygotowania dla niego reklam ukierunkowanych.
Na przykład wiedza o tym, że aplikacja zużywa sporą część energii baterii, może mieć istotne znaczenie dla programisty i ostatecznie przyniesie korzyści użytkownikowi. Z kolei dane dotyczące tego, na jakiej wersji systemu jest zainstalowany program, mogą pomóc w określeniu, kiedy należy pobrać aktualizację, co również jest przydatne. Pozostaje pytanie, czy zbieranie informacji na temat dokładnego czasu rozpoczęcia i zakończenia rozmów telefonicznych jest naprawdę istotne, a także etyczne.
Innym typem często przesyłanych danych użytkowników jest lista zainstalowanych aplikacji. Może ona wiele powiedzieć o użytkowniku, na przykład ujawnić jego preferencje polityczne i religijne.
Łączenie danych z różnych źródeł
Pomimo sumiennego podejścia do tematu naukowcy nie byli w stanie uzyskać pełnego obrazu tego, w jaki sposób różni dostawcy telefonów i oprogramowania zbierają i przetwarzają dane użytkowników. Musieli więc przyjąć pewne założenia.
Założenie pierwsze: producenci smartfonów, którzy zbierają identyfikatory trwałe, mogą śledzić aktywność użytkownika, nawet jeśli usunie on wszystkie dane z telefonu i wymieni kartę SIM.
Założenie drugie: wszyscy uczestnicy rynku mają możliwość wymiany danych, a dzięki połączeniu trwałych i tymczasowych identyfikatorów oraz różnych rodzajów telemetrii mogą tworzyć możliwie najpełniejszy obraz nawyków i preferencji użytkowników. Sposób, w jaki to się faktycznie odbywa – oraz czy programiści faktycznie wymieniają dane, czy sprzedają je zewnętrznym firmom, które je gromadzą – wykracza poza zakres badania.
Wnioski
Zwycięzcą pod względem prywatności okazał się telefon z wariantem systemem /e/, który wykorzystuje własny odpowiednik usług Google Play i w ogóle nie przesyła żadnych danych. Drugi telefon z oprogramowaniem układowym o otwartym kodzie źródłowym (LineageOS) wysyłał informacje nie do programistów, ale do firmy Google, ponieważ na tym konkretnie telefonie zainstalowane były jej usługi. Zapewniają one prawidłowe działanie urządzenia (aplikacji i funkcji).
Jeśli chodzi o zastrzeżone oprogramowanie układowe popularnych producentów, sytuacja niewiele się tu różni. Wszystkie zbierają dość duży zestaw danych, powołując się na troskę o użytkownika. Jak zauważają autorzy, zasadniczo ignorują one rezygnację użytkowników z gromadzenia i wysyłania „danych związanych z użytkowaniem”. Sytuację tę może zmienić tylko większa liczba przepisów zapewniających większą prywatność konsumentów, a całkowicie wyeliminować telemetrię mogą jak na razie tylko zaawansowani użytkownicy, którzy potrafią zainstalować niestandardowy system operacyjny (co wiąże się jednak z ograniczeniem w korzystaniu z popularnego oprogramowania).
Jeśli chodzi o bezpieczeństwo, wydaje się, że gromadzenie danych telemetrycznych nie stwarza bezpośredniego ryzyka. Sytuacja radykalnie różni się w przypadku smartfonów trzeciego poziomu, na których szkodliwe oprogramowanie może zostać zainstalowane bezpośrednio w fabryce.
Pozytywną wiadomością płynącą z opisywanego tu badania jest to, że transmisja danych odbywa się w dość bezpieczny sposób, co przynajmniej utrudnia osobom postronnym uzyskanie do nich dostępu. Naukowcy zastrzegli jednak, że przetestowane przez nich modele smartfonów były wersjami na rynek europejski, a ich oprogramowanie było zlokalizowane. W innych częściach świata sytuacja może wyglądać inaczej i zależeć od przepisów prawnych oraz dotyczących prywatności.