Stwierdzenie “wiedza to potęga”, które przypisuje się Francisowi Baconowi, filozofowi żyjącemu na przełomie XVI i XVII wieku, sprawdza się od wieków, zmieniają się tylko metody. Obecnie każdy z nas ma w kieszeni urządzenie które potrafi odczytać lokalizację, ma mikrofon, aparat, większość naszej komunikacji oraz sporo plików – ale przecież tylko my mamy dostęp do tych rzeczy – prawda?
W tytule pojawia się słowo klucz: inwigilacja.
Inwigilacją nazywa się zbiór działań, często niejawnych, stosowanych w celu zdobycia informacji na temat innych podmiotów, zazwyczaj ludzi.
Jest to bardzo szeroka definicja, możemy być inwigilowani przez sąsiadkę, naszego szefa, hakera który obrał nas za cel, giganta technologicznego czy służby wywiadowcze. Dwie rzeczy które możemy powiedzieć na pewno to fakt, że obecnie inwigilacja jest obecna bardziej niż kiedykolwiek wcześniej, oraz ilość elektroniki która nas otacza daje spore pole manewru w tym zakresie. Przyjrzyjmy się więc kilku ciekawszym zagadnieniom z obszaru technologii mobilnych.
Pegasus
Wydaje się, że uskrzydlonego konika, który może wiedzieć o nas więcej niż własna rodzina nie trzeba obecnie nikomu przedstawiać, jednak ostatnio jak się słyszy inwigilacja i smartfony to jest to pierwsza z rzeczy które przychodzą na myśl, więc warto go tutaj zahaczyć.
Dla formalności, jest to oprogramowanie szpiegujące, wykorzystujące podatności – luki, wynikające z niedopatrzeń w procesie produkcji oprogramowania (w końcu to ludzie piszą kod), dzięki którym haker może dobrać się do informacji, do których nie powinien mieć dostępu. O zainstalowaniu go możemy często nie być nawet świadomi, a dzięki niemu osoby trzecie mają dostęp do wielu funkcji telefonu, przez co niejako telefon staje się szpiegiem którego nosimy w kieszeni. Ofiarami Pegasusa padły oficjalnie takie osoby jak Emmanuel Macron – prezydent Francji, Barham Salih – prezydent Iraku, Krzysztof Brejza – polski polityk opozycji i wielu więcej.
Na początku na takie metody mogli pozwolić sobie wielcy gracze typu Chiny czy USA, obecnie Pegasus jest tylko jednym z systemów sprzedawanych komercyjnie (znanych szerszej opinii). Według opłata za dostanie licencji na używanie Pegasusa w 2016 wynosiła $500 000, do tego dochodzi ponad drugie tyle za samo szpiegowanie, w zależności od ilości urządzeń, a rynek jest w sumie wart miliardy.
Po tym wstępie można się zastanowić – może systemy tego typu to lek który doprowadzi nas do świata bliskiego temu z Raportu mniejszości w reżyserii Stevena Spielberga? Świata w którym duża część zabójstw czy też próby terrorystyczne są udaremniane na etapie planowania. Taka przynajmniej była idea samego Pegasusa, silnie związanego z Izraelskim wywiadem, tylko to nie działa …
Sam Edward Snowden człowiek, dzięki któremu w ogóle wiemy o skali inwigilacji określa ten projekt jako branżę, która nie powinna istnieć.
Branżę, która nie sprzedaje produktu, ani idei, branżę, która sprzedaje wirusa, który różni się od innych wirusów tylko tym, że może być przydatny dla rządu albo służb specjalnych, dlatego jest tolerowany. Sprawy nie poprawiają listy szpiegowanych osób, na których zamiast terrorystów i przestępców są prezydenci, politycy, wpływowi biznesmeni, działacze organizacji pozarządowych… a mówimy tutaj o produkcie oficjalnie dostępnym i wymagającym licencji. Dochodzimy więc do sytuacji, w której człowiek który ma pieniądze (co prawda bardzo dużo pieniędzy, ale wciąż) może kupić naszą prywatność, a przeciwdziałanie temu jest szalenie trudne.
Firmy technologiczne, z NSO odpowiedzialną za Pegasusa bronią się jednak tym, że one tylko sprzedają oprogramowanie a nie używają go. Dodatkowo sprawdzają raporty o naruszeniach i zabierają licencję podmiotom nie wywiązującym się z umów (ekhm… polski rząd), więc nie są winne – dochodzimy tutaj do znanego stwierdzenia, że to przecież człowiek zabija a nie broń.
Na szczęście my zwykli szarzy obywatele się raczej bać nie musimy (na razie) bo zabawki takie są po prostu za drogie, żeby używać je na masową skalę. Wspomniane na początku podatności są cenne bo nie ma ich dużo i są szybko łatane, stąd kosmiczne ceny tego typu rozwiązań. Oczywiście nie należy lekceważyć zagrożenia, ale aktualizowanie systemu i aplikacji jak tylko aktualizacje wyjdą powinno wystarczyć.
Gdzie jest granica między prywatnością a bezpieczeństwem
Sprawa z Pegazusem była tak burzliwa, ponieważ dotyczyła ważnych osób które z pewnością nie miały zamiaru uczestniczyć w strzelaninie ulicznej. Załóżmy jednak że do takiej strzelaniny doszło, policja przechwyciła telefon jednego z głównych podejrzanych, lecz jest on zablokowany. Skoro można się tyle dowiedzieć zdalnie, to mając fizycznie urządzenie chyba nie powinno być problemu, prawda …
No właśnie sprawa jest bardziej skomplikowana i dotyczyła firmy Apple, która odmówiła odblokowania telefonu przechwyconego przez FBI osobie prawdopodobnie uczestniczącej w strzelaninie w San Bernardino (USA, stan Kalifornia), w której zginęło 14 osób a 21 zostało rannych. Problem polega na tym, że Apple ma zaawansowane systemy bezpieczeństwa, a ich zablokowany telefon jest praktycznie bezużyteczny i nadaje się co najwyżej do sprzedania na części (i dodatkowo nie wszystkie części zadziałają po przełożeniu). W zablokowanym telefonie dodatkowo cała przestrzeń dyskowa jest zaszyfrowana, a do odszyfrowania jej potrzebujemy klucza składającego się z unikalnego identyfikatora urządzenia (nadawanego przy wypuszczeniu go z fabryki) oraz naszego hasła, które sobie wymyślimy. Same klucze trzymane są w osobnym module (fizycznie osobnym kawałku krzemu) zwanym secure enclave. Dodatkowym zabezpieczeniem jest to, że jak ktoś spróbuje zgadywać hasło, to po 10 próbie zawartość modułu secure enclave jest kasowana, więc teoretycznie uda mu się odblokować telefon, ale do danych na nim zawartych nigdy się już nie dostanie.
Firma Apple stawia mocno na privacy by design co oznacza, że niektóre systemy są tak tworzone, aby sami nie mogli się do nich dostać. Po całej aferze nie zmieniło się znacznie jej podejście, jednak zwiększyła się transparentność – na stronie można wyszukać jakie dane mogą zostać uzyskane przez służby (np. kopie zapasowe bez hasła trzymane w chmurze) a jakie nie (np. dane bezpośrednio z zablokowanego telefonu).
Tutaj nie jako problem odwrócony jest w drugą stronę, względem poprzedniego rozdziału. W przypadku otrzymania odpowiedniego dokumentu wydanego przez sąd służby mogą przeszukać mieszkanie, komputer, samochód, przesłuchiwać świadków pod groźbą kary składania nieprawdziwych zeznań, nie dadzą rady jednak dobrać się do urządzenia na którym mogą być pomocne informacje na temat osób współuczestniczących czy chociażby dowody popełnienia zbrodni.
Niestety zawsze gdzieś pojawi się linia między ingerencją w naszą prywatność a naszym bezpieczeństwem i dochodzeniem sprawiedliwości w przypadku spraw sądowych. W tym przypadku wydawać się może że została ona postawiona zbyt mocno w stronę ochrony praw konsumenta.
Nie tylko aplikacje zbierają dane, producenci również…
Wszyscy wiemy, że aplikacje bądź wirusy mogą zbierać dane, których nie chcielibyśmy udostępniać, jednak sami producenci urządzeń też mają swoje za uszami. Jakie informację zbiera od nas “czysty” (bez zainstalowanych dodatkowych aplikacji, tylko te preinstalowane) smartfon sprawdzili w przeprowadzonym wspólnie badaniu naukowcy z Uniwersytetu w Edynburgu (Wielka Brytania) i Trinity College w Dublinie (Irlandia).
Badaniu zostało poddanych łącznie 6 różnych smartfonów – cztery z systemem producenta oraz 2 z otwartym kodem źródłowym Androida: LineageOS i system operacyjny /e/. Na każdym urządzeniu na pytania typu “Czy chcesz ulepszyć usługę poprzez pobieranie danych” udzielono przeczącej odpowiedzi. Dodatkowo wyłączyli opcję przechowywania danych w chmurze oraz “Znajdź moje urządzenie”.
Aby zbadać jakie dane wysyła telefon, w badaniu wykorzystano dość powszechne podejście w tego typu badaniach. Stworzyli prosty (nieszkodliwy) atak typu man-in-the-middle, przy pomocy Raspberry Pi, który działał jako punkt dostępowy do sieci WiFi dla smartfonów. Zainstalowane na nim oprogramowanie przechwytywało i odszyfrowywało strumień danych z telefonu, następnie ponownie je szyfrowano i były przekazywane dalej w sieć – do producentów telefonów.
Następnie smartfony zostały wstępnie skonfigurowane, na początku nie były połączone z kontem Google oraz zostawili je na kilka dni, ciągle monitorująć ruch sieciowy z telefonu. Następnie zostały połączone z kontem Google, tymczasowo włączono geolokalizację oraz dokończono konfigurację.
Kto zbiera dane?
Nie jest zaskoczeniem, że głównymi kolekcjonerami przesyłanych danych są producenci. Wszystkie cztery urządzenia z oryginalnym oprogramowaniem układowym (i zestawem wstępnie zainstalowanych programów) przekazywały do producenta dane telemetryczne wraz z identyfikatorami trwałymi, takimi jak numer seryjny urządzenia.
System LineageOS ma możliwość wyłączenia przesyłania danych do programistów i jej wyłączenie rzeczywiście blokuje transmisję danych. Natomiast na urządzeniach skonfigurowanych fabrycznie, zablokowanie wysyłania danych podczas konfiguracji wstępnej może rzeczywiście zmniejszyć ilość wysyłanych danych, ale nie blokuje całkowicie transmisji danych.
Ale nie tylko producenci zbierają dane, odbiorcami są również producenci preinstalowanych aplikacji. Tutaj pojawia się interesujący niuans: zgodnie z zasadami firmy Google aplikacje zainstalowane ze sklepu Google Play muszą używać określonego identyfikatora do śledzenia aktywności użytkownika. Jeśli chcemy, można zmienić ten identyfikator w ustawieniach telefonu, jednak wymóg ten nie ma zastosowania do aplikacji wstępnie zainstalowanych przez producenta – one używają trwałych identyfikatorów i zbierają wiele danych.
Przykładowo Facebook wysyła dane o właścicielu na swoje serwery, nawet w przypadku gdy ten użytkownik nigdy nie otworzył tej aplikacji. Kolejnym ciekawym przykładem jest Huawei w którym klawiatura wysyła informację o otwartej aplikacji, ilość znaków oraz timestamp.
Zdecydowana większość telefonów jest dostarczana z usługami Google Play i sklepem Google Play, a ponadto zwykle zainstalowane są takie aplikacje jak YouTube, Gmail czy Mapy. Badacze zauważają, że aplikacje i usługi Google zbierają znacznie więcej danych niż jakikolwiek inny wstępnie zainstalowany program.
Jakie dane są zbierane?
Każde dane mają swój unikatowy identyfikator nadawcy, czasem jest on jednorazowy a czasem trwały. Na przykład wspomniany wcześniej identyfikator wyświetlania reklam firmy Google, który teoretycznie można zmienić ale niewiele osób to robi, więc można go uznać za trwały. Innymi identyfikatorami są numer seryjny urządzenia, kod IMEI karty sieciowej czy numer karty SIM. Dzięki nim możliwa jest identyfikacja użytkownika.
Przekazywanie danych o modelu urządzenia, wielkości wyświetlacza czy wersji oprogramowania nie stwarza większego ryzyka pod względem prywatności. Natomiast dane dotyczące aktywności użytkowników w niektórych aplikacjach mogą ujawnić wiele informacji o ich właścicielach. Tutaj jest cienka granica między danymi potrzebnymi do eliminowania błędów z aplikacji a informacjami, które można wykorzystać do utworzenia szczegółowego profilu użytkownika, na przykład do przygotowania dla niego reklam ukierunkowanych.
Czy zbieranie informacji na temat dokładnego czasu rozpoczęcia i zakończenia rozmów telefonicznych jest naprawdę istotne, a także etyczne?
Innym typem często przesyłanych danych użytkowników jest lista zainstalowanych aplikacji. Może ona wiele powiedzieć o użytkowniku, na przykład ujawnić jego preferencje polityczne i religijne.
Zwycięzcą pod względem prywatności okazał się telefon z wariantem systemem /e/, który wykorzystuje własny odpowiednik usług Google Play i w ogóle nie przesyła żadnych danych. Drugi telefon z oprogramowaniem układowym o otwartym kodzie źródłowym (LineageOS) wysyłał informacje nie do programistów, ale do firmy Google, ponieważ na tym konkretnie telefonie zainstalowane były jej usługi. Zapewniają one prawidłowe działanie urządzenia (aplikacji i funkcji).
Huawei vs Google – o co chodzi
W 2019 roku Huawei został pozbawiony dostępu do usług Google poprzez wpisanie marki Huawei przez ówczesnego prezydenta Stanów Zjednoczonych Donalda Trump na tzw. Entity List, czyli listę firm, które nie mogą prowadzić interesów z żadną organizacją działającą w USA.
Koncern został oskarżony m. in. o tworzenie backdoorów, czyli celowo stworzonych luk w zabezpieczeniach systemu, dzięki którym chiński wywiad mógł zbierać informacje o użytkownikach smartfonów Huawei.
Podobny los mógł spotkać inną chińską markę – Xiaomi. W listopadzie 2020 roku departament obrony USA nałożył na nich sankcje. Jednak chiński gigant złożył pozew do sądu, przekonując, że jest prywatną spółką, a nie podmiotem zarządzanym przez chińską armię. Marka wygrała sprawę w sądzie, dzięki czemu sankcje wobec niej zostały zablokowane.
Cicha woda czyli smartwatch
Czy smartwatch może również zbierać o nas dane? Oczywiście! Przede wszystkim smartwatch zbiera dane o ruchu, dzięki wbudowanym sensorom ruchu. Zegarek mamy na ręku, którą dość intensywnie ruszamy w ciągu dnia. Łatwo na tej podstawie określić co w danym momencie robimy, czy spacerujemy, biegamy, siedzimy przy komputerze czy prowadzimy auto oraz inne.
Natomiast smartwatche nie mają wystarczającej mocy obliczeniowej aby to sprawdzać, więc te dane muszą być przesyłane do zewnętrznego serwera, który będzie mógł je analizować. Jednak to wymaga częstej transmisji danych, co znacznie wpływa na czas działania zegarka.
Jednak poza określeniem co w danym momencie robimy, z tych danych można wyciągnąć znacznie bardziej prywatne informacje. W przypadku pisania na klawiaturze jest możliwość odczytania co w danym momencie piszemy. Jest to skomplikowane, gdyż każdy pisze w innym stylu, wykorzystuje inną ilość palcy czy ułożenie rąk na klawiaturze. Dodatkowo wymaga to bardzo dużej ilości danych aby wyuczyć model. Jednak zamiast zbierania wszystkich danych z pisania można wybrać tylko szczególne momenty, na przykład gdy przychodzimy do pracy to jest bardzo duża szansa, że jedną z pierwszych rzeczy jaką będziemy wpisywać to login oraz hasło. Inną sytuacją są zakupy, gdzie wpisujemy kod PIN do karty.
W eksperymencie Securelist, przeprowadzono taki eksperyment. Niestety wyniki są przerażające. W badaniu udało się odczytać hasło z dokładnością wynoszącą 96% a kod PIN z dokładnością 87%!
Odgadnięcie hasła ma większą dokładność ze względu na łatwiejsze określenie momentu w którym je wpisujemy. Zazwyczaj najpierw idziemy po czym siadamy i wpisujemy tą samą sekwencję znaków, która często również w późniejszym czasie się pojawia. Więc dzięki temu mamy krótki okres danych do zbadania, w którym mamy wysokie prawdopodobieństwo, że znajduje się moment wpisywania hasła. W przypadku kodu PIN sytuacja jest podobna zazwyczaj zaraz po wpisaniu kodu od razu odchodzimy.
Literatura
- Czym jest oprogramowanie szpiegowskie Pegasus? Analiza zagrożenia oraz metody jego wykrywania (sekurak.pl)
- Pegasus snooping: How costly is the Israeli spyware? – Times of India (indiatimes.com)
- Australian firm Azimuth unlocked the San Bernardino shooter’s iPhone for the FBI – The Washington Post
- Secure Enclave – Apple Support (UK)
- Apple Platform Security
- Jak producenci smartfonów śledzą użytkowników | Oficjalny blog Kaspersky
- Android Mobile OS Snooping By Samsung, Xiaomi, Huawei and Realme Handsets
- Experiment: How easy is it to spy on a smartwatch wearer? | Kaspersky official blog
- Trojan watch | Securelist
- Huawei vs. Google – o co chodzi? / Poradnik – Sklep Max Elektro
> Niestety zawsze gdzieś pojawi się linia między ingerencją w naszą prywatność a naszym bezpieczeństwem i dochodzeniem sprawiedliwości w przypadku spraw sądowych. W tym przypadku wydawać się może że została ona postawiona zbyt mocno w stronę ochrony praw konsumenta.
Osobiście nie jestem przekonany, że taka linia na rzecz sprawiedliwości istnieje. Prywatne dane powinny takimi zostać i jeśli użytkownik ich nie udostępnił, to nie powinno być ŻADNEJ innej możliwości ich uzyskania. W przeciwnym przypadku prowadzi to do nadużyć i do nieupoważnionego systemu. Przykładem tego jest taka patologia jak ograniczenie długości klucza używanego do szyfrowania w wielu państwach na świecie:
https://security.stackexchange.com/questions/149467/is-encryption-key-length-limitations-by-governments-norm