В нескольких словах
Новое исследование показывает, как приложения собирают данные о местоположении пользователей через Wi-Fi и Bluetooth, что ставит под угрозу конфиденциальность. Узнайте о рисках и способах защиты.
Ваш смартфон знает о вас больше, чем вы думаете. Новое исследование показывает, как тысячи приложений злоупотребляют данными о вашем местоположении, используя Wi-Fi и Bluetooth для слежки даже внутри помещений. Это открывает широкие возможности для сбора информации о ваших предпочтениях и привычках, а также может привести к нежелательным последствиям.
Многие пользователи Android подозревают, что их устройства «подслушивают» их, но исследование показывает, что личная информация утекает через Bluetooth и Wi-Fi. Эксперты анализируют поведение Bluetooth и Wi-Fi в телефонах, чтобы понять, как приложения собирают данные о местоположении. В 2023 году один инженер посетил парк развлечений с семьей. Приложение парка определяло, что кто-то ждет, и предоставляло доступ без очереди. Это лишь один пример точного использования геолокации с помощью Bluetooth и Wi-Fi.
Но, как и любые технологии, собирающие личные данные, это может быть использовано недобросовестно. Новое исследование показывает, как приложения используют разрешения Bluetooth и Wi-Fi для отслеживания местоположения внутри помещений, даже если GPS отключен. Технически, антенны могут определять, какие телефоны находятся поблизости. Новизна этого исследования заключается в выявлении скрытой экосистемы тех, кто извлекает эту информацию, чтобы профилировать нас или просто знать, где мы находимся.
«Есть множество загадочных применений», - говорит Хуан Тапиадор, соавтор статьи и профессор Университета Карлоса III. «Это можно применить к любой ситуации, например, когда девушка, посетившая клинику абортов, позже обнаружила рекламу, которая ее расстроила, или мужчина, тайно путешествовавший, увидел рекламу, которая его выдала. Самый крайний случай – если вы заходите в супермаркет или магазин спиртных напитков, или берете книгу, а затем получаете соответствующую рекламу», - добавляет он. Часто в таких случаях мы говорим, что телефон нас «слушает». Но это не нужно. С помощью этой информации и того, как она передается, можно делать много выводов о привычках. Для обычного гражданина вполне естественно подозревать получение точной рекламы, касающейся какой-то интимной детали, о которой он не знает, откуда она взялась.
Существуют общедоступные базы данных с GPS-координатами Bluetooth-маяков или антенн Wi-Fi. С этой информацией, если обнаруживается телефон, очевидно, что его владелец прошел через это место. Это не так уж сложно. Но эта информация должна быть доступна только приложениям, получившим разрешение от своих пользователей, а не неизвестным маркетинговым компаниям, которые профилируют миллионы граждан. «86% из 9976 проанализированных приложений, использующих маяки, собирают много личной идентифицирующей информации (например, имя или ID устройства), в дополнение к своим GPS-координатам, ближайшим сетям Wi-Fi и результатам сканирования Bluetooth», - говорится в научной статье.
Местоположение многое говорит о наших вкусах и привычках. Точность этой информации в помещении позволяет узнать, покупаем ли мы овсяное или коровье молоко в супермаркете, любим ли мы останавливаться у витрин дешевых магазинов одежды или больше смотрим тру-крайм или научную фантастику на полках книжного магазина. Если кто-то получил предложение от Burger King при входе в один из его ресторанов, теперь он знает почему. Но коммерческое использование этой информации выходит далеко за рамки. Одно дело – разрешить Burger King сделать нам предложение, когда мы загружаем его приложение, и совсем другое – когда в тысячах приложений есть фрагменты кода, которые собирают эту информацию и отправляют ее неизвестным маркетинговым компаниям, торгующим данными.
В дополнение к неожиданному использованию для непредвиденной рекламы существуют и другие потенциально более деликатные способы использования. «На самом деле самая серьезная проблема заключается в том, что вас могут использовать для определения ваших перемещений и того, с кем вы находитесь», — говорит Нарсео Валлина, соавтор работы, исследователь Института Imdea Networks и соучредитель компании по защите конфиденциальности Appcensus. Местоположение служит не только для того, чтобы знать, куда кто-то идет, но и для того, чтобы узнать, входит ли он в мечети, сауны или даже скорость автомобиля или местонахождение нелегального иммигранта. Эти торговцы данными могут в конечном итоге продавать информацию не только в коммерческих целях, но и, например.
Приложения обычно не программируются с нуля. Используются так называемые SDK («комплекты разработки программного обеспечения»), которые представляют собой своего рода готовые инструменты, которые берутся как есть и экономят много работы по программированию. SDK выполняют функции, необходимые приложению, и другие, которые более скрыты. «Это экосистема SDK, которую никто не изучал», — говорит Валлина. «Многие предыдущие исследования данных о злоупотреблениях Bluetooth и Wi-Fi были на теоретическом уровне. Но не было эмпирического исследования того, какие типы SDK это реализуют, и мы начали искать SDK, которые рекламировались как геолокация и которые также предоставляли услуги Bluetooth и Wi-Fi», - добавляет он.
Если спекулировать вариантами этой системы, гипотезы невообразимы: «Вы устанавливаете приложение для знакомств, которое дает вам доступ к Wi-Fi. Затем вы подключаетесь к точке доступа Wi-Fi в каком-то месте, и в то же время ваше приложение для знакомств сканирует ближайшие Bluetooth. Таким образом, они уже знают, кто ваша дата и где вы находитесь», — объясняет Валлина. Проблема не в том, что ваше приложение для знакомств, которому вы дали разрешение, знает это, а в том, что это знает стороннее приложение, в котором установлен SDK.
«Мы обнаружили 52 комплекта разработки (SDK) с функциями сканирования сетей Wi-Fi и сигналов Bluetooth, которые используются почти в 10 000 приложениях, которые, в свою очередь, в общей сложности, по расчетам, были установлены [исторически] на примерно 55 миллиардах устройств», - говорится в исследовании. Есть также несколько испанских приложений, особенно в категориях образа жизни или спорта, но это очень распространено: есть банки, футбольные клубы, отели, учебные центры или средства массовой информации.
«В метро может быть Bluetooth-маяк, целью которого является подсчет пассажиров. Но ничто не мешает SDK в приложении делать то, что мы говорим, то есть знать точно, что вы находитесь в метро», — говорит Тапиадор. «Это означает, что вы можете повторно идентифицировать этого человека, и вы можете связать, что тот, кто прошел здесь, затем прошел там», - добавляет он. Невыполнимая задача этих исследований и то, как они используются: одно дело — знать, какие данные извлекает SDK, и совсем другое — как они обрабатываются позже. «Они связаны с идентификатором рекламы Android, который является значением, идентифицирующим вас и ваше устройство, что предполагает, что они используют его для отслеживания пользователя, и они могут отправить вам электронное письмо, оповещение или добавить его на сервер для создания вашего профиля с этой информацией», — говорит Валлина.
Этот метод разработан для получения такой ценной вещи, как местоположение пользователя, избегая всего процесса, необходимого для получения его согласия. «Если бы вы спросили компанию, которая зарабатывает на отслеживании, что вас больше всего интересует в человеке, и она могла бы выбрать только одну вещь, она, вероятно, сказала бы местоположение», — объясняет Тапиадор. «Неудивительно, что технологически большая часть усилий по отслеживанию направлена на получение местоположения. Эта форма использования маяков — всего лишь очередное производное от того, как получить местоположение с помощью того, на что никто раньше не смотрел».
