İçerik

• Kurmak
• Ne gördüm
• Reklamlar
• Amazon AWS
• Tamam Google
• Google benim hakkımda ne biliyor?
• Peki ya Facebook, Twitter ve diğerleri?
• Potansiyel vs Gerçek
• Sarmak

Dijital gizlilik sıcak bir konudur. Hemen hemen herkesin bağlı bir aygıtı taşıdığı bir döneme girdik. Herkesin bir kamerası var. Günlük faaliyetlerimizin çoğu - otobüse binmekten banka hesaplarımıza erişmeye kadar - çevrimiçi olarak yapılmaktadır. “Tüm bu verileri kim takip ediyor?” Sorusu ortaya çıkıyor.

Dünyanın en büyük teknoloji şirketlerinden bazıları verilerimizi nasıl kullandıkları konusunda inceleme altında. Google sizinle ilgili ne biliyor? Facebook verilerinizi nasıl kullandığı konusunda şeffaf mı? Huawei bizi gözetliyor mu?

Bu soruların bazılarını cevaplamaya çalışmak için, bir akıllı telefondan Internet’e gönderilen her veri paketini yakalamama izin veren özel bir Wi-Fi ağı oluşturdum. Cihazlarımdan birinin gizlice veriyi uzak sunuculara bilgim olmadan veri gönderip göndermediğini görmek istedim. Telefonum beni gözetliyor mu?

Kurmak

Akıllı telefonumdan ileri geri akan tüm verileri yakalamak için, biri patron olduğum, kök olduğum, yönetici olduğum özel bir ağa ihtiyacım vardı. Ağı tam olarak kontrol ettiğimde, ağa giren ve çıkan her şeyi izleyebiliyorum. Bunu yapmak için bir Ahududu Pi'yi Wi-Fi erişim noktası olarak kurdum. Yaratıcı olarak PiNet'i çağırdım. Sonra, test edilen akıllı telefonu PiNet'e bağladım ve mobil verileri devre dışı bıraktım (tüm trafiği elde ettiğimden iki kat emin olmak için). Bu noktada, akıllı telefon Ahududu Pi'ye bağlandı, başka bir şey yoktu. Bir sonraki adım Pi'nin internete gelen tüm trafiği yönlendirecek şekilde yapılandırılmasıdır. Pi'nin bu kadar harika bir cihaz olmasının nedeni, çoğu modelin hem Wi-Fi hem de Ethernet'te bulunması. Ethernet'i yönlendiricime bağladım ve şimdi akıllı telefonun gönderdiği ve aldığı her şey Raspberry Pi'den geçiyor.

Çok sayıda ağ analizi aracı var ve en popülerlerinden biri WireShark. Bir ağ üzerinde uçan her veri paketinin gerçek zamanlı yakalanmasını ve işlenmesini sağlar. Akıllı telefonlarım ve İnternet arasındaki Pi'm sayesinde, tüm verileri yakalamak için WireShark'ı kullandım. Yakalandıktan sonra, boş zamanlarımda analiz edebilirim. “Şimdi yakala, sonra soru sor” yönteminin avantajı, kurulumun bir gecede çalışmasına izin verebilir ve akıllı telefonumun gecenin ortasında ortaya çıkardığı sırları görebiliyorum!

Dört cihazı test ettim:

• Huawei Mate 8
• Piksel 3 XL
• OnePlus 6T
• Galaxy Not 9

Ne gördüm

İlk fark ettiğim şey akıllı telefonlarımızın Google ile konuşmasıydı çok. Sanırım bu beni şaşırtmamalı - tüm Android ekosistemi Google’ın hizmetlerine dayanıyor - bir cihazı ne zaman uykudan uyandırdığımda, Gmail’i ve şu anki ağ saatini (NTP yoluyla) nasıl temizlediğini ve kontrol ettiğini görmek ilginçti. ve bir sürü başka şey. Google’ın sahip olduğu alan adlarının sayısı beni de şaşırttı. Tüm sunucuları bekliyordum something.whatever.google.com, ancak Google, 1e100.net (sanırım bir Googolplex’e referanstır), gstatic.com, crashlytics.com ve benzeri adlara sahip etki alanlarına sahiptir.

Akıllı telefonumun kiminle konuştuğunu bildiğimden emin olmak için test cihazlarının her etki alanını ve her IP adresini kontrol edip doğruladım.

Google ile konuşmanın yanı sıra, akıllı telefonlarımız oldukça kaygısız sosyal kelebekler gibi görünmekte ve geniş bir arkadaş çevresi sağlamaktadır. Elbette bunlar, kaç tane uygulama yüklediğinizle doğru orantılıdır. WhatsApp ve Twitter kuruluysa, cihazınızın düzenli olarak WhatsApp’ın ve Twitter’ın sunucularıyla bağlantı kurmasını sağlayın!

Çin, Rusya veya Kuzey Kore'deki sunucularla herhangi bir aşina bağlantı gördüm mi? Yok hayır.

Reklamlar

Akıllı telefonunuzun sıklıkla yaptığı bir şey, reklamları almak için İçerik Teslim Ağlarına bağlanmaktır. Yine, hangi ağlara bağlandığını ve bunların kaç tanesini kurduğunuz uygulamalara bağlı olacaktır. Reklam destekli uygulamaların çoğu, reklam ağı tarafından sağlanan kitaplıkları kullanır; bu, uygulama geliştiricinin, reklamların gerçekte nasıl sunulduğu veya reklam ağına hangi verilerin gönderildiği hakkında çok az bilgisi olduğu veya hiçbir bilgisi olmadığı anlamına gelir. Gördüğüm en yaygın reklam sağlayıcılar Doubleclick ve Akamai idi.

Gizlilik açısından, bu reklam kütüphaneleri tartışmalı bir konu olabilir, çünkü bir uygulama geliştiricisi platforma verilerle doğru şeyi yapmak için temel olarak güveniyor ve sadece reklamlara sunmak için kesinlikle gerekli olanı gönderiyor. Günlük web kullanımımız sırasında reklam platformlarının ne kadar güvenilir olduğunu hepimiz gördük. Pop-up'lar, pop-under'ler, otomatik oynatılan videolar, uygunsuz reklamlar, tüm ekranı kaplayan reklamlar - liste devam eder. Reklamlar bu kadar müdahaleci olmasaydı, hiçbir zaman reklam engelleyici olmazdı.

Amazon AWS

Amazon’un Web Servisleri (AWS) ile ilgili oldukça fazla miktarda ağ etkinliği gördüm. Büyük bir bulut sunucusu sağlayıcısı olarak Amazon, sunucuda veritabanlarına ve diğer işlem yeteneklerine ihtiyaç duyan ancak kendi fiziksel sunucularını korumak istemeyen uygulama geliştiriciler için genellikle mantıklı bir seçimdir.

Genel olarak, AWS ile olan bağlantıların zararsız olduğu düşünülmelidir. İstediğiniz hizmetleri sağlamak için oradalar. Ancak, bağlı cihazların açık doğasını vurgulamaktadır. Bir uygulamayı yükledikten sonra, Amazon gibi saygın bir servis sağlayıcısı aracılığıyla bile topladığı verilerin tümünü yanlış kullanımlıya gönderebilir. Android, uygulamalar üzerindeki izinleri zorlamak ve Play Protect gibi hizmetler de dahil olmak üzere çeşitli yollarla buna karşı koruma sağlar. Bu nedenle yandan yükleme yapan uygulamalar çok tehlikeli olabilir.

Tamam Google

PiNet her ağ paketini yakalamama izin verdiğinden, Pixel 3 XL'deki mikrofonu etkinleştirip verileri Google'a göndererek Google’ın gizlice casusluk yapıp yapmadığını kontrol etmeye istekliydim. Pixel 3 XL'de Voice Match özelliğini etkinleştirdiğinizde, “Tamam Google” veya “Hey Google” anahtar sözcüklerini kalıcı olarak dinleyecektir. Dinlemek kalıcı olarak bana tehlikeli geliyor. Herhangi bir politikacının size söyleyeceği gibi, açık bir mikrofon ne pahasına olursa olsun kaçınılması gereken bir tehlikedir!

Cihaz, internete bağlanmadan anahtar sözcükleri yerel olarak dinlemek içindir. Anahtar kelime duyulmazsa, hiçbir şey olmaz. Anahtar kelime algılandıktan sonra, cihaz yanlış bir pozitif olup olmadığını iki kez kontrol etmek için Google’ın sunucularına bir snippet gönderir. Her şey kontrol edilirse, bir komut anlaşılana veya cihaz zaman aşımına uğrayana kadar cihaz Google’a gerçek zamanlı olarak ses gönderir.

Ben de öyle gördüm.

Doğrudan telefondan konuştuğumda bile, hiçbir ağ trafiği yok. “Hey Google” dediğim an, etkileşim durdurulana kadar gerçek zamanlı bir ağ trafiği akışı Google’a gönderildi. Pixel 3 XL’i “Pray Google” veya “Hey Goggle” gibi bazı anahtar kelimelerle kandırmaya çalıştım. Bir keresinde, daha fazla doğrulama için Google’a bir snippet göndermeyi başardım, ancak cihaz onaylamadı. Asistan aktive etmedi.

Google benim hakkımda ne biliyor?

Google, tüm verilerinizi Google’dan indirmenize olanak tanıyan, açık bir şekilde verilerinizi diğer hizmetlere taşıyabilmenizi sağlayan bir paket servisi sunar. Ancak, Google’ın size hangi verilere sahip olduğunu görmenin de iyi bir yoludur. Her şeyi indirmeyi denerseniz, ortaya çıkan arşiv çok büyük olabilir (belki 50GB'tan fazla olabilir), ancak tüm fotoğraflarınızı, tüm video kliplerinizi, Google Drive'a kaydettiğiniz her dosyayı, YouTube'a yüklediğiniz her şeyi, tüm e-postalarınızı içerecektir , ve bunun gibi. Gizliliği kontrol etmenin bir yolu olarak, Google’ın hangi fotoğraflara sahip olduğunu görmeme gerek yok, zaten biliyorum. Aynı şekilde, hangi e-postalarıma sahip olduğumu, Google Drive'da hangi dosyalara sahip olduğumu biliyorum. Ancak, bu hacimli medya öğelerini indirme işleminin dışında bırakırsam ve etkinlik ve meta verilere odaklanırsam indirme işlemi oldukça küçük olabilir.

Paket Servisi kısa süre önce indirdim ve Google’ın hakkımda ne bildiğini görmek için etrafımda bir kargaşa yaşadım. Veriler, Chrome, Google Pay, Google Play Müzik, Etkinlik, Satın Alma İşlemler, Görev vb. Gibi farklı alanların her biri için klasör içeren bir veya daha fazla .zip dosyası olarak gelir.

Her klasöre dalmak, Google’ın o alanda sizin hakkınızda ne bildiğini gösterir. Örneğin, Chrome yer imlerimin bir kopyası ve Google Play Müzik'te oluşturduğum Çalma Listelerinin bir kopyası var. İlk başta, şaşırtıcı bir şey yoktu. Hatırlatıcılarımın bir listesini bekliyordum, çünkü onları Google Asistan'ı kullanarak oluşturdum, bu yüzden Google’ın bir kopyası olmalı. Fakat bir ya da iki sürpriz vardı, benim kadar “teknoloji meraklısı” olan biri için bile.

Bunlardan ilki, söylediklerimin MP3 kayıtlarının bir klasörü idi. Tüm bu komutların bir kopyasını içeren bir HTML dosyası da vardı. Açıklığa kavuşturmak için, bunlar Google Yardımcısını “Hey Google” ile etkinleştirildikten sonra verdiğim komutlardır. Dürüst olmak gerekirse, Google’ın tüm komutlarımın bir MP3 dosyasını tutmasını beklemiyordum.Tamam, Asistan'ın kalitesini kontrol etmede bazı mühendislik değerleri olduğunu biliyorum, ancak Google’ın bu ses dosyalarını saklaması gerektiğini düşünmüyorum. Bu biraz fazla.

Ayrıca Google Haberler’de okuduğum tüm makalelerin bir listesi, Solitaire’i her oynadığımda ve Google Play Müzik’te yaptığım tüm aramaların neredeyse beş yıl öncesine ait bir listesi de vardı!

Anlaşılan Google, e-postanızın satın aldığı tüm işlemleri işler ve kayıtlarını oluşturur.

Beni gerçekten şok eden kişi Satınalma klasöründeydi. Burada Google, çevrimiçi olarak satın aldığım her şeyin kaydını aldı. En eski eşya 2010'dan, uçak biletlerini aldığımda oldu. Buradaki nokta, bu biletleri veya herhangi bir öğeyi Google aracılığıyla satın almadığım. Amazon, eBay ve iTunes'dan öğeler için kayıtlar satın aldım. Satın aldığım doğum günü kartlarının bile kayıtları var.

Daha derine inerek yapmadığım alımları bulmaya başladım! Bazı kafa çizilmesinden sonra, bu kayıtların Google’ın e-postalarımı işleme koyduğunu ve yaptığım alımları tahmin ettiğini gösteriyor. Muhtemelen bunu özellikle uçuşlarla ilgili olarak gördünüz. Bir havayolundan bir e-posta açarsanız, Gmail uçuşunuzla ilgili bazı özet bilgileri, üstündeki özel bir sekmeye koyar.

Anlaşılan Google, e-postanızın satın aldığı tüm işlemleri işler ve kayıtlarını oluşturur. Birisi size satın aldıkları bir şey hakkında bir e-posta gönderdiğinde, Google istemeden yanlışlıkla yaptığınız bir satın alma işlemi olarak ayrıştırır!

Peki ya Facebook, Twitter ve diğerleri?

Sosyal medya ve gizlilik bir şekilde çelişkilidir. Harold Finch'in TV şovunda sosyal medya hakkında İlgi Alan Kişi'ye söylediği gibi, “Hükümet yıllardır bunu çözmeye çalışıyordu. Çoğu insanın gönüllü olmaktan mutlu olduğu ortaya çıktı. ”Sosyal medya ile, doğum günleri, isimler, arkadaşlar, meslektaşlar, fotoğraflar, ilgi alanları, dilek listeleri ve özlemleri içeren bilgileri isteyerek gönderiyoruz. Sonra, tüm bu bilgileri yayınladıktan sonra, niyet etmediğimiz şekillerde kullanıldığında şok oluruz. Ünlü bir karakterin kumar salonundan bahsettiği gibi, sık sık, “Kumarın burada devam ettiğini bulmak için şok oldum!”

Facebook ve Twitter da dahil olmak üzere tüm büyük sosyal medya sitelerinin gizlilik politikaları var ve kapsadıkları alanda oldukça genişler. İşte Twitter’ın politikasından bir pasaj:

“Bizimle paylaştığınız bilgilere ek olarak, ilgilendiğiniz konuları, yaşınızı, konuştuğunuz dilleri ve diğer sinyalleri belirlemek için Tweet'lerinizi, okuduğunuz, Beğendiğiniz veya Retweetlediğiniz içeriği ve diğer bilgileri kullanırız. Size daha alakalı içerik göstermek için. ”

Peki, cihazınız Twitter'a bağlanıyor ve Twitter'ın yaşınız, konuştuğunuz dil ve ilginizi çeken şeyler gibi şeyleri belirlemesine izin veriyor mu? Emin.

Seni profiller - ve bunu yapmasına izin verdin.

Anahtar soru şu: eğer bir akıllı telefonum olmasaydı, isterlerse varlıkların üzerime casusluk yapmasını engeller miydi?

Potansiyel vs Gerçek

Bağlı cihazlar ve çevrimiçi varlıklar ile ilgili en büyük sorun ne yaptıklarını değil, neler yapabildiklerini. “Varlıklar” ifadesini kasıtlı olarak kullandım, çünkü kitlesel gözetim, casusluk ve profil oluşturma tehlikeleri sadece Google veya Facebook ile ilgili değil. Orijinal çevrimiçi yazılım hatalarını (hataları) ve büyük çevrimiçi şirketlerin standart iş modellerini göz ardı ederek, Google'ın sizi gözetmediğini söylemek oldukça güvenlidir. Facebook da değil. Hükümet de değil. Bu onların yapamayacağı ya da olmayacağı anlamına gelmez.

Bir hacker veya hükümet casus mu sizi dinlemek için telefonunuzdaki mikrofonu etkinleştiriyor mu? Hayır, ama yapabilirlerdi. Son zamanlarda Jamal Khashoggi cinayetini çevreleyen olaylarda gördüğümüz gibi, varlıklar sizi casusluk eden bir uygulamanın kurulumuna sokabilirler. Zerodium gibi şirketler, hükümetlere, farkında olmadan cihazınıza kötü amaçlı uygulamaların (Pegasus gibi) yüklenmesine izin verebilecek sıfır güvenlik açığı satmaktadır.

Cihazlarımda böyle bir etkinlik gördünüz mü? Hayır, ama böyle bir gözetleme ve dolandırıcılık için muhtemel bir hedef değilim. Hala başkasına da olabilirdi.

Temel soru şudur: eğer bir akıllı telefonum olmasaydı, varlıkların isterlerse beni gözetlemelerini engeller miydi?

Akıllı telefonların piyasaya sürülmesinden önce, dünyadaki her büyük hükümet casusluk ve gözetim konusunda çoktan karıştı. II. Dünya Savaşı muhtemelen Enigma kodunu kırarak ve sakladığı zekaya erişerek kazandı. Akıllı telefonlar suçlu değil, ancak şimdi daha büyük bir saldırı yüzeyi var - başka bir deyişle, sizi gözetlemenin daha fazla yolu var.

Sarmak

Testimin ardından, kullandığım cihazların hiçbirinin alışılmadık ya da kötü niyetli bir şey yapmadığından eminim. Bununla birlikte, gizlilik konusu, kasıtlı olarak kötü niyetli olmayan bir cihazdan daha büyüktür. Google, Facebook ve Twitter gibi şirketlerin ticari uygulamaları oldukça tartışmalıdır ve çoğu zaman gizliliğin sınırlarını zorluyor gibi görünmektedir.

Casusluk konusunda evimin dışına park etmiş beyaz bir minibüs yok, hareketlerimi izliyor ve pencerelerime yönelimli bir mikrofon gösteriyor. Az önce kontrol ettim. Kimse telefonumu kırmıyor. Bu yapamayacakları anlamına gelmez.