Isi

• Mempersiapkan
• Apa yang saya lihat
• Iklan
• Amazon AWS
• Oke, Google
• Apa yang Google ketahui tentang saya?
• Bagaimana dengan Facebook, Twitter, dan lainnya?
• Potensi vs Aktual
• Bungkus

Privasi digital adalah topik hangat. Kami telah pindah ke era di mana hampir semua orang membawa perangkat yang terhubung. Setiap orang memiliki kamera. Banyak kegiatan harian kami - mulai dari menaiki bus hingga mengakses rekening bank kami - dilakukan secara online. Muncul pertanyaan, "siapa yang melacak semua data itu?"

Beberapa perusahaan teknologi terbesar di dunia berada di bawah pengawasan tentang bagaimana mereka menggunakan data kami. Apa yang Google ketahui tentang Anda? Apakah Facebook transparan tentang cara menangani data Anda? Apakah Huawei memata-matai kita?

Untuk mencoba menjawab beberapa pertanyaan ini, saya membuat jaringan Wi-Fi khusus yang memungkinkan saya menangkap setiap paket data yang dikirim dari telepon pintar ke Internet. Saya ingin melihat apakah ada perangkat saya yang diam-diam mengirim data ke server jauh tanpa sepengetahuan saya. Apakah ponsel saya memata-matai saya?

Mempersiapkan

Untuk menangkap semua data yang mengalir bolak-balik dari smartphone saya, saya membutuhkan jaringan pribadi, di mana saya bos, di mana saya root, di mana saya admin. Setelah saya memiliki kontrol penuh atas jaringan, saya dapat memonitor semua yang masuk dan keluar dari jaringan. Untuk melakukan ini, saya mengatur Raspberry Pi sebagai titik akses Wi-Fi. Saya secara imajinatif menyebutnya PiNet. Selanjutnya, saya menghubungkan ponsel cerdas yang sedang diuji ke PiNet dan menonaktifkan data seluler (untuk memastikan bahwa saya mendapatkan semua lalu lintas). Pada titik ini, smartphone terhubung ke Raspberry Pi tetapi tidak ada yang lain. Langkah selanjutnya adalah mengkonfigurasi Pi untuk meneruskan semua lalu lintas yang keluar ke Internet. Inilah sebabnya mengapa Pi adalah perangkat yang hebat, karena banyak model memiliki Wi-Fi dan Ethernet. Saya menghubungkan Ethernet ke router saya dan sekarang semua yang dikirim dan diterima oleh smartphone harus mengalir melalui Raspberry Pi.

Ada banyak alat analisis jaringan di luar sana dan salah satu yang paling populer adalah WireShark. Ini memungkinkan penangkapan dan pemrosesan real-time dari setiap paket data yang terbang melintasi jaringan. Dengan Pi saya antara ponsel cerdas saya dan Internet, saya menggunakan WireShark untuk menangkap semua data. Setelah ditangkap, saya bisa menganalisisnya di waktu luang saya. Keuntungan dari metode "tangkap sekarang, ajukan pertanyaan nanti" adalah saya dapat membiarkan pengaturan berjalan semalaman dan melihat rahasia apa yang diungkapkan oleh ponsel cerdas saya di tengah malam!

Saya menguji empat perangkat:

• Huawei Mate 8
• Pixel 3 XL
• OnePlus 6T
• Galaxy Note 9

Apa yang saya lihat

Hal pertama yang saya perhatikan adalah telepon pintar kami berbicara ke Google banyak. Saya kira itu seharusnya tidak mengejutkan saya - seluruh ekosistem Android dibangun di sekitar layanan Google - tetapi menarik untuk melihat bagaimana ketika saya membangunkan perangkat dari tidur, ia bergegas dan memeriksa Gmail Anda dan waktu jaringan saat ini (via NTP) dan banyak hal lainnya. Saya juga terkejut dengan berapa banyak nama domain yang dimiliki Google. Saya mengharapkan semua server menjadi something.wh whatever.google.com, tetapi Google memiliki domain dengan nama seperti 1e100.net (yang saya kira merupakan referensi ke Googolplex), gstatic.com, crashlytics.com, dan sebagainya.

Saya memeriksa dan memverifikasi setiap domain dan setiap alamat IP yang dihubungi perangkat uji untuk memastikan saya tahu dengan siapa ponsel cerdas saya berbicara.

Selain berbicara dengan Google, smartphone kami nampak seperti kupu-kupu sosial yang riang dan memiliki banyak teman. Ini, tentu saja, berbanding lurus dengan berapa banyak aplikasi yang telah Anda instal. Jika Anda menginstal WhatsApp dan Twitter, coba tebak, perangkat Anda menghubungi server WhatsApp dan Twitter secara teratur!

Apakah saya melihat koneksi jahat ke server di Cina, Rusia, atau Korea Utara? Tidak.

Iklan

Sesuatu yang sering dilakukan ponsel cerdas Anda adalah terhubung ke Jaringan Pengiriman Konten untuk mendapatkan iklan. Sekali lagi, jaringan mana yang terhubung, dan berapa banyak, akan tergantung pada aplikasi yang Anda instal. Sebagian besar aplikasi yang didukung periklanan akan menggunakan perpustakaan yang disediakan oleh jaringan iklan, yang berarti pengembang aplikasi memiliki sedikit atau tidak sama sekali pengetahuan tentang bagaimana sebenarnya iklan ditayangkan atau data apa yang dikirim ke jaringan iklan. Penyedia iklan paling umum yang saya lihat adalah Doubleclick dan Akamai.

Dalam hal privasi, pustaka iklan ini dapat menjadi topik yang kontroversial, karena pengembang aplikasi pada dasarnya mempercayai platform untuk melakukan hal yang benar dengan data dan hanya mengirim apa yang benar-benar diperlukan untuk menayangkan iklan. Kita semua telah melihat bagaimana platform iklan yang dapat dipercaya selama penggunaan web kita sehari-hari. Munculan, munculan, video yang diputar otomatis, iklan yang tidak pantas, iklan yang mengambil alih seluruh layar - daftarnya terus berlanjut. Jika iklan tidak mengganggu, tidak akan pernah ada pemblokir iklan.

Amazon AWS

Saya melihat sedikit aktivitas jaringan terkait dengan Layanan Web Amazon (AWS). Sebagai penyedia cloud server utama, Amazon seringkali merupakan pilihan logis untuk pengembang aplikasi yang membutuhkan database dan kemampuan pemrosesan lainnya di server, tetapi tidak ingin mempertahankan server fisik mereka sendiri.

Secara keseluruhan, koneksi ke AWS harus dianggap tidak berbahaya. Mereka ada di sana untuk menyediakan layanan yang Anda minta. Namun, ini menyoroti sifat terbuka dari perangkat yang terhubung. Setelah Anda menginstal aplikasi, ada potensi untuk mengirim dan semua data yang dikumpulkannya ke penjahat, bahkan melalui penyedia layanan terkemuka seperti Amazon. Android menjaga hal ini dengan beberapa cara, termasuk dengan memberlakukan izin pada aplikasi, dan dengan layanan seperti Play Protect. Inilah mengapa aplikasi pemuatan samping bisa sangat berbahaya.

Oke, Google

Karena PiNet mengizinkan saya untuk menangkap setiap paket jaringan, saya ingin sekali memeriksa apakah Google diam-diam memata-matai saya dengan mengaktifkan mikrofon pada Pixel 3 XL saya dan mengirimkan data ke Google. Ketika Anda mengaktifkan Voice Match pada Pixel 3 XL, itu akan mendengarkan secara permanen frasa-frasa “OK Google” atau “Hai Google.” Mendengarkan secara permanen terdengar berbahaya bagi saya. Seperti yang akan dikatakan oleh politisi mana pun, mikrofon terbuka adalah bahaya yang harus dihindari dengan cara apa pun!

Perangkat ini dimaksudkan untuk mendengarkan secara lokal untuk frasa sandi, tanpa terhubung ke internet. Jika frasa sandi tidak didengar, tidak ada yang terjadi. Setelah frasa kunci terdeteksi, perangkat akan mengirim cuplikan ke server Google untuk memeriksa ulang apakah itu positif palsu. Jika semuanya memeriksa, perangkat mengirim audio ke Google secara real-time hingga perintah dipahami, atau perangkat mati.

Itulah yang saya lihat.

Tidak ada lalu lintas jaringan sama sekali, bahkan ketika saya berbicara langsung di telepon. Saat saya mengatakan "Hai Google" arus lalu lintas jaringan real-time dikirim ke Google, hingga interaksi berhenti. Saya mencoba menipu Pixel 3 XL dengan sedikit variasi keyphrase seperti "Pray Google" atau "Hey Goggle." Suatu kali saya berhasil mengirimnya ke cuplikan untuk Google untuk validasi lebih lanjut, tetapi perangkat tidak mendapatkan konfirmasi dan sebagainya Asisten tidak aktif.

Apa yang Google ketahui tentang saya?

Google menawarkan layanan yang disebut Bawa Pulang yang memungkinkan Anda mengunduh semua data Anda dari Google, seolah-olah Anda dapat memigrasikan data Anda ke layanan lain. Namun, ini juga cara yang baik untuk melihat data apa yang Google miliki pada Anda. Jika Anda mencoba mengunduh semua, arsip yang dihasilkan bisa sangat besar (mungkin lebih dari 50GB), tetapi itu akan mencakup semua foto Anda, semua klip video Anda, setiap file yang Anda simpan di Google Drive, semua yang Anda unggah ke YouTube, semua email Anda , dan seterusnya. Sebagai cara untuk memeriksa privasi, saya tidak perlu melihat foto yang dimiliki Google, saya sudah tahu itu. Demikian juga, saya tahu email apa yang saya miliki, file apa yang saya miliki di Google Drive, dan sebagainya. Namun, jika saya mengecualikan item media yang besar itu dari unduhan dan berkonsentrasi pada aktivitas dan metadata, unduhannya bisa sangat kecil.

Saya mengunduh Takeout saya baru-baru ini dan melihat-lihat apa yang Google ketahui tentang saya. Data muncul sebagai satu atau lebih file .zip yang berisi folder untuk masing-masing area yang berbeda termasuk Chrome, Google Pay, Google Play Music, Aktivitas Saya, Pembelian, Tugas, dan sebagainya.

Menyelam ke dalam setiap folder menunjukkan apa yang Google ketahui tentang Anda di area itu. Misalnya, ada salinan bookmark Chrome saya dan salinan Daftar Putar yang saya buat di Google Play Music. Pada awalnya, tidak ada yang mengejutkan. Saya mengharapkan daftar Pengingat saya, karena saya membuatnya menggunakan Google Assistant, jadi Google harus memiliki salinannya. Tetapi ada satu atau dua kejutan, bahkan bagi seseorang yang "mengerti teknologi" seperti saya.

Yang pertama adalah folder rekaman MP3 dari semua yang pernah saya katakan kepada saya. Ada juga file HTML dengan transkrip dari semua perintah itu. Untuk memperjelas, ini adalah perintah yang saya berikan kepada Asisten Google setelah diaktifkan dengan "Hai Google." Sejujurnya saya tidak berharap Google menyimpan file MP3 dari semua perintah saya.OK, saya mendapatkan bahwa ada beberapa nilai rekayasa untuk dapat memeriksa kualitas Asisten, tetapi saya tidak berpikir Google perlu menyimpan file audio ini. Agak banyak.

Ada juga daftar semua artikel yang pernah saya baca di Google News, catatan setiap kali saya bermain Solitaire, dan semua pencarian yang saya lakukan di Google Play Music akan kembali hampir lima tahun!

Ternyata Google memproses semua email Anda mencari pembelian dan membuat catatan mereka.

Salah satu yang sangat mengejutkan saya ada di folder Purchases. Di sini Google memiliki catatan semua yang pernah saya beli online. Barang tertua berasal dari 2010, ketika saya membeli beberapa tiket pesawat. Intinya di sini adalah bahwa saya tidak membeli tiket ini, atau barang apa pun, melalui Google. Saya memiliki catatan pembelian untuk barang-barang dari Amazon, eBay, dan iTunes. Bahkan ada catatan kartu ulang tahun yang saya beli.

Menggali lebih dalam saya mulai menemukan pembelian yang tidak saya lakukan! Setelah beberapa goresan kepala ternyata catatan-catatan ini adalah hasil dari Google memproses email saya dan menebak pembelian yang telah saya buat. Anda mungkin telah melihat ini terutama berkaitan dengan penerbangan. Jika Anda membuka email dari sebuah maskapai penerbangan, Gmail membantu menempatkan beberapa informasi ringkasan tentang penerbangan Anda di tab khusus di bagian atas.

Ternyata Google memproses semua email Anda mencari pembelian dan membuat catatan mereka. Ketika seseorang mengirimi Anda email tentang sesuatu yang telah mereka beli, Google bahkan dapat secara tidak sengaja mem-parsingnya sebagai pembelian yang telah Anda lakukan!

Bagaimana dengan Facebook, Twitter, dan lainnya?

Media sosial dan privasi dalam beberapa hal saling bertentangan. Seperti yang dikatakan Harold Finch dalam acara TV Person of Interest tentang media sosial, “Pemerintah telah berusaha mencari tahu selama bertahun-tahun. Ternyata sebagian besar orang senang melakukannya secara sukarela. ”Dengan media sosial, kami dengan senang hati memposting informasi termasuk ulang tahun, nama, teman, kolega, foto, minat, daftar keinginan, dan aspirasi. Kemudian, setelah menerbitkan semua informasi itu, kami terkejut ketika digunakan dengan cara yang tidak kami inginkan. Seperti kata karakter terkenal lainnya tentang aula perjudian yang sering dia kunjungi, "Aku kaget, kaget mendapati bahwa judi sedang terjadi di sini!"

Semua situs media sosial besar, termasuk Facebook dan Twitter, memiliki kebijakan privasi dan mereka cukup luas dalam apa yang mereka liput. Berikut ini cuplikan dari kebijakan Twitter:

“Selain informasi yang Anda bagikan kepada kami, kami menggunakan Tweet Anda, konten yang telah Anda baca, Suka, atau Retweet, dan informasi lainnya untuk menentukan topik apa yang Anda minati, usia Anda, bahasa yang Anda gunakan, dan sinyal lainnya untuk menunjukkan konten yang lebih relevan kepada Anda. "

Jadi, apakah perangkat Anda terhubung ke Twitter dan memungkinkan Twitter untuk menentukan hal-hal seperti usia Anda, bahasa yang Anda gunakan, dan hal-hal apa yang menarik bagi Anda? Yakin.

Itu profil Anda - dan Anda membiarkannya melakukannya.

Inilah pertanyaan kuncinya: jika saya tidak memiliki ponsel cerdas, apakah itu akan menghentikan entitas untuk memata-matai saya jika mereka mau?

Potensi vs Aktual

Masalah terbesar dengan perangkat yang terhubung dan entitas online bukanlah apa yang mereka lakukan, tetapi apa yang bisa mereka lakukan. Saya menggunakan frase "entitas" secara sengaja karena bahaya di sekitar pengawasan massal, mata-mata, dan pembuatan profil tidak hanya tentang Google atau Facebook. Mengabaikan kesalahan perangkat lunak asli (bug) serta model bisnis standar perusahaan online besar, cukup aman untuk mengatakan Google tidak memata-matai Anda. Facebook juga tidak. Pemerintah juga tidak. Itu tidak berarti mereka tidak bisa - atau tidak akan.

Apakah beberapa peretas atau pemerintah memata-matai tempat yang mengaktifkan mic di ponsel Anda untuk mendengarkan Anda? Tidak, tetapi mereka bisa. Seperti yang kita lihat baru-baru ini dengan peristiwa seputar pembunuhan Jamal Khashoggi, entitas dapat menipu Anda untuk memasang aplikasi yang memata-matai Anda. Perusahaan seperti Zerodium menjual kerentanan nol hari kepada pemerintah, yang dapat memungkinkan aplikasi jahat (seperti Pegasus) diinstal pada perangkat Anda tanpa Anda ketahui.

Apakah saya melihat aktivitas seperti itu dengan perangkat saya? Tidak, tapi saya bukan target yang mungkin untuk pengawasan dan penyelewengan tersebut. Itu masih bisa terjadi pada orang lain.

Inilah pertanyaan kuncinya: jika saya tidak memiliki ponsel cerdas, apakah hal itu akan menghentikan entitas untuk memata-matai saya jika mereka mau?

Sebelum peluncuran smartphone, setiap pemerintah besar di dunia sudah terlibat dalam kegiatan mata-mata dan pengawasan. Perang Dunia II mungkin dimenangkan dengan melanggar kode Enigma dan mendapatkan akses ke intelijen yang disembunyikannya. Smartphone tidak bisa disalahkan, tetapi sekarang ada permukaan serangan yang lebih besar - dengan kata lain, ada lebih banyak cara untuk memata-matai Anda.

Bungkus

Setelah pengujian, saya yakin tidak ada perangkat yang saya gunakan melakukan sesuatu yang tidak biasa atau jahat. Namun, masalah privasi lebih besar dari sekadar perangkat yang tidak sengaja jahat. Praktik bisnis perusahaan seperti Google, Facebook, dan Twitter sangat bisa diperdebatkan dan mereka sering kali mendorong batasan privasi.

Mengenai mata-mata, tidak ada van putih yang diparkir di luar rumah saya mengawasi gerakan saya dan mengarahkan mikrofon arah ke jendela saya. Aku baru saja memeriksa. Tidak ada yang meretas ponsel saya. Itu tidak berarti mereka tidak bisa.