Wojna nawigacji

Nawet ci, którzy unikają korzystania z usług internetowych, mają z nimi w jakiś sposób do czynienia. Możesz się na przykład kiedyś obudzić i stwierdzić, że Twoja zazwyczaj spokojna ulica zmieniła się w całkiem ruchliwą autostradę. A winne temu będą usługi nawigacji satelitarnej.

Usługi nawigacji satelitarnej optymalizują dla użytkowników trasy przejazdu, uwzględniając korki, wypadki i inne okoliczności drogowe. Aplikacje takie pobierają dane z usług miejskich oraz wykorzystują zgłoszenia samych użytkowników.

Najbardziej popularnym przykładem może tu być aplikacja Waze. Przejęta przez firmę Google w 2013 roku, Waze idealnie pokazuje, jak usługi internetowe mogą wpływają na prawdziwe życie: z jednej strony ułatwiają one życie użytkownikom, ale z drugiej mogą stwarzać problemy związane z bezpieczeństwem i prywatnością.
Na przykład przyspieszając trasę od punktu A do B, aplikacja wzmogła intensywność ruchu na ulicach, które wcześniej uchodziły za dosyć spokojne. Wyznacza ona drogę autom, ciężarówkom, a nawet busom turystycznym, kierując je na mało uczęszczane ulice i uliczki, aby zminimalizować opóźnienia.

Bunt mieszkańców

Jedna z dzielnic Maryland próbuje walczyć z Waze na swój sposób: jej mieszkańcy chcą, aby ich ciche alejki i uliczki były mniej atrakcyjne dla Waze, dlatego zgłaszają usłudze fałszywe wypadki i utrudnienia. Ponieważ jednak Waze odrzuca pojedyncze zgłoszenia o wypadku, gdy rzeczywista prędkość w danym miejscu nie uległa zmniejszeniu, grupa aktywistów łączy swoje wysiłki i wysyła identyczne fałszywe powiadomienia, oszukując w ten sposób aplikację.

Czy taka taktyka działa? Nie istnieją liczby, które by to potwierdziły lub obaliły. Magazyn Wired sugeruje zastosowanie nieco innych środków usprawniających ruch, np. zainstalowanie progów zwalniających, zastąpienie prostych skrzyżowań rondami, zwężenie pasów itp. Takie metody działają, ale nie można ich zastosować tylko na podstawie dobrych chęci mieszkańców.

Odmowa urzędników

Sytuacja denerwuje nie tylko lokalnych mieszkańców, ale także policję, bo aplikacja informuje kierowców o policyjnych zasadzkach. W 2014 roku Charlie Beck, szef policji w Los Angeles, napisał nawet list do dyrektora generalnego firmy Google, Larry’ego Page’a, po tym jak dwóch oficerów policji zostało postrzelonych w Nowym Jorku przez osobę, która wyszukała ich przy użyciu aplikacji Waze.

Kolejny list z wyrażeniem swojego oburzenia wysłał do Page’a szef nowojorskiego oddziału policji, Edward Mullins, który zażądał od Google’a usunięcia z aplikacji funkcji śledzenia policji, grożąc podjęciem kroków prawnych w tej sprawie. Google nie poddał się presji i funkcja wciąż jest dostępna.

Konfrontacja pomiędzy policją a właścicielami aplikacji Waze przyciągnęła uwagę szerszego środowiska. Organizacje broniące praw obywatelskich, np. Electronic Frontier Foundation, stanęły po stronie usługi, powołując się na szerokie wykorzystywanie przez policję technologii rozpoznawania twarzy i tablic rejestracyjnych oraz innych narzędzi, które naruszają prawo obywateli do prywatności.

Innym przykładem użycia aplikacji Waze jest omijanie punktów kontrolnych policji. Dlatego policja w Miami podobno zgłasza w aplikacji fałszywe lokalizacje policji, aby ukryć swoje prawdziwe miejsce pobytu. Jednak rzecznik oddziału nie potwierdził tych informacji, więc podejście to nie jest praktykowane (przynajmniej oficjalnie).

Zarządzanie odpowiedzialnością za błędy

Natura Waze doprowadziła także do tego, że według opinii publicznej usługa ta może być odpowiedzialna za część wypadków. Na przykład w 2015 roku usługa skierowała starszą parę do niebezpiecznej okolicy w Brazylii. Szukali oni alei Quintino Bocaiúva w São Francisco, a aplikacja Waze zaprowadziła ich do ulicy Quintino Bocaiúva w Caramujo. Zostali tam ostrzelani, niestety w jednym przypadku śmiertelnie.

Aby pomóc użytkownikom w zachowaniu bezpieczeństwa podczas Olimpiady w Rio w 2016 roku, Waze wyświetlał powiadomienia, czy wkracza się w dzielnicę o podwyższonym statusie przestępczości (dane pochodziły od anonimowych zgłoszeń na temat aktywności przestępczej od lokalnych obywateli).

Falę krytyki może zebrać także pierwotna funkcja udostępniania tras w aplikacji Waze. Weźmy na przykład jej największego rywala, Ubera: informacje w mediach o wszystkich incydentach z jego udziałem (od zwykłych kolizji ulicznych po porwania dzieci) pokazują, że gdy czasami coś idzie nie tak, winą obarczany jest kierowca.

Na stronie WhoIsDrivingYou.org znajdują się wszystkie incydenty z udziałem Ubera i jego rywala, firmą Lyft. Jest ona własnością Taxicab, Limousine & Paratransit Association, organizacji reprezentującej tradycyjne usługi transportowe w Stanach Zjednoczonych.

Odmiennie niż w przypadku Ubera, administratorzy aplikacji Waze nie planują sprawdzać swoich kierowców pod kątem solidności. Wybór będzie się opierał wyłącznie na ocenach użytkowników.

Auta-duchy

Teraz przejdziemy do naszego ulubionego tematu: wycieków, zagrożeń i luk. Czym charakteryzuje się Waze i w jaki sposób mogą z niej skorzystać cyberprzestępcy? Nie mówię tu o ryzyku zhakowania serwera — jest ono takie samo dla wszystkich, lecz mam na myśli auta-duchy w narzędziu do nawigacji, które wykorzystuje wielu ludzi. Badacze z Technion – Izraelskim Instytucie Technologii — przeprowadzili w 2014 roku eksperyment.

Naukowcy najpierw utworzyli boty, które zyskały zaufanie użytkowników aplikacji Waze. Ich zadaniem było poruszanie się po okolicy i symulowanie korków drogowych, które system oznaczył jako rzeczywiste. Uwzględnianie fałszywych korków spowodowało planowanie objazdów.

A teraz wyobraźmy sobie potencjalną ewolucję tej sytuacji: hakerzy informują o nieistniejących korkach, aby auta omijały dane trasy, co może wywołać olbrzymi korek.

Minionej wiosny badacze z Uniwersytetu Kalifornijskiego, Santa Barbara oraz Uniwersytetu Tsinghua w Pekinie zaprezentowali inny sposób zhakowania aplikacji Waze. Usługa ta wiązała awatary z nazwami i atrybutami profilu innego użytkownika z mapą. Po zautomatyzowaniu wysyłanych do serwera Waze żądań wyświetlenia pobliskich użytkowników, badacze mogli śledzić ich poruszanie się.

Kierownictwo Waze szybko zaprzeczyło istnieniu takich zagrożeń prywatności i dodało, że użytkownicy mogą włączyć tryb niewidoczności i ukryć swoje miejsce pobytu przed innymi kierowcami. Niemniej jednak twórcy przyłożyli się bardziej do kwestii ochrony prywatności, usuwając nazwy użytkowników z darmowego zbioru danych (jednak nazwy ich znajomych pozostają widoczne na mapie).

Po wspomnianej aktualizacji badacze wciąż mogli powtórzyć eksperyment — używając do śledzenia daty utworzenia profilu zamiast nazwiska. Data jest podana z dokładnością do sekundy i sprawia, że można zidentyfikować danego użytkownika. Później autorzy aplikacji naprawili ten błąd.

Niedawno pojawiły się kolejne doniesienia o tym, że Google potajemnie tworzy w pełni zautomatyzowaną usługę taksówkarską, która wykorzysta dane aplikacji Waze do wskazywania optymalnej drogi. Na chwilę obecną można zmienić sugestie dotyczące trasy proponowane przez kierowcę lub aplikację, lecz w przypadku taksówek bez kierowców może to okazać się niemożliwe. Mamy nadzieję, że przed pojawieniem się pojazdów bez kierowców (jest faktycznie taki jest plan), Google będzie mógł naprawić luki w aplikacji Waze.