Слежка за каждым человеком. Есть ли причины доверять Google или Apple?

Привет.

Меня не перестает поражать тот факт, что люди безотчетно доверяют большим компаниям, искренне считают, что последние защищают их личные данные и ничего с ними не делают. К сожалению, в большинстве случаев это исключительно вопрос веры, а не чего-то иного. Нравится мне компания и ее продукты — значит, я буду считать, что она хорошая и защищает мои данные. Не нравится компания – возможно, она сливает мои данные и поступает плохо. Руководствоваться вопросами веры в отношении данных крайне сложно, так как из области фактов мы переходим в пространство личных убеждений. В этом пространстве факты обесцениваются и не играют никакой роли, более того, любое железобетонное доказательство неожиданно превращается в ничто. Действительно, попробуйте переубедить человека, который не понимает устройства смартфона, как работают Интернет и системы хранения данных где-либо. Вы можете сыпать доказательствами без конца, но в итоге все сводится к банальному выбору — верю или не верю. Хочется верить большим компаниям, например, сложно предположить, что Apple, которая публично печется о безопасности данных своих клиентов, на деле мало о них заботится и допускает их утечку.

Думаю, что поклонники Apple в этот момент должны взвиться и начать утверждать, что такого никогда не было. Жизнь на территории веры — надежное лекарство, которое стирает из памяти все плохое и оставляет только хорошее. Но придется напомнить, что в 2014 году случился массовый взлом iCloud, в сети появились интимные фотографии звезд, политиков и простых людей. Тогда же утекла копия данных с iPhone Дмитрия Медведева, что показало размах проблемы.

Пока публика рассматривала личные фотографии Дженнифер Лоуренс, Apple обратилась в ФБР. После чего прошли обыски у десятков людей, были арестованы те, кто распространял чужую информацию. Для iCloud ввели двухфакторную авторизацию, компания заявила, что сам iCloud взломан не был! Можно снять шляпу перед искусством обмана, которое практикуется внутри Apple. Заявление было правдивым, так как ломали копии файлов iCloud для каждого пользователя, размещенных в облаке Apple. То есть как бы и не весь сервис взломан, а просто отдельные файлы.

В Apple практикуют закрытие дыр в безопасности только после того, как они становятся общеизвестными, после того, как ими воспользуются злоумышленники. У меня есть простое предположение, что системный характер таких проблем можно объяснить либо нерадивостью программистов, либо осознанным оставлением черных ходов, которыми могут пользоваться заинтересованные лица. Предположить, что качество кода от Apple сильно ниже такового в Google, Microsoft и других компаниях, невозможно. Пользуясь бритвой Оккама, приходим к выводу, что вероятнее второе и самое очевидное объяснение — это сделано осознанно. Таких историй воз и маленькая тележка, повторять каждую нет сил и времени. Из последнего — в середине февраля 2023 года в Apple признали, что в iOS, iPadOS, MacOS есть уязвимости нулевого дня, вышли заплатки, которые рекомендовали срочно установить. Уязвимости активно использовались в реальной жизни, проблема стала заметной, отсюда «срочное» исправление. До этого уязвимости использовались долгие годы, мало кого это волновало. Вот вам несколько статей, где хорошо живописуют проблемы Apple с безопасностью данных.

Чужая информация — это ценный товар, который можно продавать за серьезные деньги. Разработчики больших систем не просто так обещают денежные призы за уязвимости в своих продуктах — для них это попытка конкурировать с черным рынком, где такие дыры продаются всем желающим. И обычно путь уязвимости выглядит очень просто: ее продают за большие деньги паре-тройке желающих. Дальше ее перепродают, и в какой-то момент она превращается в массовый инструмент. Путь до массового рынка занимает от нескольких месяцев до нескольких лет, вопрос в том, насколько важна уязвимость и что она позволяет добывать из системы. Компании однозначно проигрывают битву с теми, кто охотится за данными пользователей.

Не навязываю свой взгляд на этот вопрос, но считаю, что здоровая толика паранойи тут не повредит. За вами точно следят, ваши данные собирают и обрабатывают. Вопрос тут в том, насколько вы представляете интерес в реальной жизни, кто вы. Если вы обычный человек, то ваши данные используются исключительно в общей статистике для определения разных параметров в исследуемой стране — социальных эффектов, демографии и многого другого. Вы не являетесь отдельно выбранной целью для слежки.

Но если вы политик федерального масштаба, то за вами следят, и в этом не может быть сомнений, причем слежка идет вне зависимости от того, каким телефоном вы пользуетесь. Возможно, что за вами следят сразу несколько стран, обладающих разными программными инструментами для этого. Уже забылась история о том, что рассказал Эдвард Сноуден: как США руками АНБ прослушивала миллионы разговоров людей по всему миру, в том числе телефоны лидеров Германии и Франции. «Защищенная» связь Ангелы Меркель оказалась мифом, ее разговоры слушали около десяти лет, еще до того, как она стала канцлером, и, конечно же, после того, как это случилось. Администрация Белого дома пообещала союзникам так больше не делать, но не думаю, что тут что-то изменилось. Когда вы можете безболезненно получить доступ к информации и об этом никто не узнает, вы будете это делать.

У нас нет защиты от слежки со стороны создателей таких систем, как iOS и Android. Как первая, так и вторая созданы для сбора максимального числа данных о своих пользователях. Нас на словах убеждают в том, что пекутся о защите данных и пользоваться такими продуктами безопасно. И эти мантры ничем не отличаются от заявлений, которые делались в прошлые годы, но оказались ложью — данные собираются и используются. Вопрос тут только в том, что мы об этом не знаем и публично становится доступной только отрывочная информация.

Люди делятся на тех, кто вовсе не задумывается о безопасности своих данных, и тех, кто принимает точку зрения, что все следят за всеми и нужно расслабиться, так как ничего сделать нельзя. Как по мне, второй подход выглядит неправильным, расслабляться и пускать все на самотек точно нельзя. Нужно зафиксировать простую мысль: слежка — неотъемлемая часть современного цифрового мира. И кто-то собирает ваши данные, использует их. Все, что хранится в вашем телефоне, можно считать достоянием третьих лиц, мы не защищены от государств, только от других людей и компаний.

Изображение бурной деятельности по защите информации

Информация — это товар, и стоимость определяется тем, насколько сведения, которые есть у вас, уникальны. Общедоступная информация стоит недорого, а значит, нужно сделать так, чтобы информации в общем доступе было как можно меньше. И компании, создающие различные системы, пытаются всеми силами ограничить сбор информации, что преподносится пользователям как забота о них. В большинстве ситуаций это защита своей доли рынка, попытка ограничить конкурентов в сборе тех или иных данных. Например, в Apple приняли правила конфиденциальности, которые ограничивают внешние компании в сборе информации, позиционировании рекламы на пользователя. Это частный случай работы с информацией, привязанной к рекламе. Таким образом, в Apple перетянули одеяло на себя, подняли свои продажи рекламы на миллиарды долларов. Нелишним будет сказать, что в Apple не отказались от возможности позиционировать рекламу на правильную аудиторию, то есть де-факто оставили себе все инструменты для изучения своей аудитории.

Вне зависимости от ваших настроек конфиденциальности в Apple продолжают собирать чувствительные данные о вас, о том, что вы делаете на устройстве и так далее. Почитайте об этом, например, вот здесь.

Сразу несколько исследовательских компаний обнаружили такое поведение iOS, появились иски против Apple. Например, вот тут вы можете найти данные об одном из исков.

«Ошибки» в iOS позволяют отслеживать перемещения пользователей в стороннем софте, несмотря на запрет этого со стороны пользователя. Вот вам пример такой истории.

Компании изображают бурную деятельность, но на деле не несут ответственности за защиту ваших данных, не стремятся вкладывать много денег в это направление, так как это дорого. Стало модным ограничивать приложения в сборе данных, указывать, что именно они собирают на устройстве. Например, исследователи из Mozilla решили проверить политику конфиденциальности для приложений в Play Store и что на самом деле собирают приложения. Выбрали двадцать самых популярных приложений в разделе платных и бесплатных. Оценка приводилась по трем параметрам – «плохо», «хорошо», «требуется улучшение». Из сорока приложений шестнадцать оказались в категории плохих. Причина в том, что описания того, что они собирают на устройстве, оказались неверными! Среди таких приложений — Twitter и Minecraft. Соответствовали описанию только шесть приложений!

В Google отрицают полезность исследования Mozilla, но думаю, что это просто хорошая мина при плохой игре. Перед нами классическое смещение фокуса проблемы, нам подсовывают инструмент, который описывает безопасность конкретных приложений, где, к слову, все тоже не очень хорошо, но ничего не говорят о безопасности в целом. Это примерно как утверждение, что вашу дверь нельзя открыть чужим ключом (что правда), но умолчание о том, что есть мастер-ключ, который откроет ее безо всяких проблем.

Люди хотят чувствовать, что их данные защищены на личном устройстве. К сожалению, вам никто этого гарантировать не может. И учитывая вышеизложенную информацию, надо считать, что все данные на устройстве могут быть скомпрометированы тем или иным способом.

Исследования «плохих» китайских компаний

Тема безопасности смартфонов привлекает многих людей, например, в Корнеллском университете выпустили большое исследование, посвященное этому. Не буду описывать его целиком, скажу только, что было обнаружено, что китайские смартфоны передают данные в Китай, собирают те или иные сведения на трубке как таковой. Само исследование вы можете загрузить вот тут.

Давайте посмотрим на табличку, она многое может сказать о том, что обнаружили исследователи.

Честное слово, я понимаю, что в нынешние времена мало кто читает лицензионные соглашения и придает значение тому, что в них написано. Но та же realme честно предупреждает в соглашениях, какие данные собирает и куда передает. Написаны эти соглашения на понятном английском языке, никаких тайн и секретов нет.

То ли исследователи увлеклись своими изысканиями, то ли у них есть клише, что передавать данные можно только в США, а другие страны не могут собирать такие данные. Не знаю. Но получилось забавно, большая работа разбивается о лицензионное соглашение, где перечислены сервисы, куда уходят данные. Сам подход любопытен тем, что в американском обществе пытаются выпестовать нарратив, что китайские компании следят и воруют данные (привет, нападки на TikTok). При этом о поведении американских компаний почти никто не говорит — оно воспринимается как норма, так как дает США неоспоримые преимущества.

Можно ли что-то сделать со слежкой?

Выбор у нас не очень велик, мы не можем в одночасье изменить системы, которые имеют уязвимости и позволяют за нами следить. Но на рынке всегда есть выбор, например, можно отказаться от американских систем, выбрать смартфоны от Huawei с Huawei Mobile Services вместо Google Mobile Services. Надо только понимать, что в этом случае за вами потенциально будут следить в Китае, а не в США. Но, возможно, вам это и нужно.

Любая информация, что попадает в ваш телефон, рано или поздно может быть использована против вас. Даже когда вы уже об этом позабыли и считаете себя в безопасности. Об этом необходимо помнить всегда. Глобально вы не можете изменить правила игры, пока на рынке еще доминируют американские технологии и используются для слежки (пример прослушки разговоров европейских лидеров доказывает, что никаких тормозов у Америки просто нет, ваши данные защищены в еще меньшей степени). Когда появятся массовые смартфоны на «Авроре», они дадут возможность уйти из-под колпака, их стоит использовать в корпоративных коммуникациях.

Но приятный момент заключается в том, что осознанная слежка за конкретными людьми упирается в отсутствие достаточного числа кадров. Ни в Америке, ни где-то еще нет армии тех, кто готов следить за конкретным человеком. Компьютеры пока еще не способны это делать эффективно, но многие компании пытаются создать соответствующие инструменты. И это частичная защита от прицельной слежки, скорее всего, вы не являетесь ее объектом. Что не снижает накала борьбы за пользовательские данные. Пусть вас не вводят в заблуждение обманчивые заявления о том, что ваши данные кто-то защищает, это точно не так. Ваши данные — это современное золото, которым распоряжаются большие компании, и они их продают, как оптом, так и в розницу.

[email protected]
наверх