Akıllı telefonlardan gelen fotoğraflar, kullanıcının haberi olmadığında bile coğrafi etiketlenir. Akıllı telefon kullanıcıları, coğrafi etiketli konumlarını kimin görebileceğini sınırlamak için gizlilik ayarlarını değiştirebilir. (Fotoğraf Kredisi: ABD Ordusu Grafiği)

Cep telefonlarımız kendimiz hakkında çok şey açığa vurmak: yaşadığımız ve çalıştığımız yer; ailemiz, arkadaşlarımız ve tanıdıklarımız kimdir; onlarla nasıl (ve hatta ne) iletişim kurduğumuzu; ve kişisel alışkanlıklarımız. Üzerinde depolanan tüm bilgiler sayesinde, mobil cihaz kullanıcılarının gizliliklerini korumak için adımlar atmaları şaşırtıcı değildir. PIN veya şifre kullanarak Telefonlarının kilidini açmak için

Biz ve meslektaşlarımızın yaptığı araştırma, çoğu insanın özlediği önemli bir tehdidi tanımlar ve araştırır: Yüzde 70'ten fazla of akıllı telefon uygulamaları kişisel verileri üçüncü taraf izleme şirketlerine rapor ediyor Google Analytics, Facebook Graph API veya Crashlytics gibi.

İnsanlar yeni bir Android veya iOS uygulaması yüklediklerinde, kişisel bilgilere erişmeden önce kullanıcının iznini ister. Genel olarak konuşursak, bu olumlu. Bu uygulamaların topladığı bilgilerin bir kısmı da düzgün çalışması için gereklidir: Bir harita uygulaması, bir konum bulmak için GPS verilerini kullanamadığı takdirde neredeyse yararlı olmaz.

Ancak bir uygulama bu bilgileri toplama iznine sahip olduğunda, verilerinizi uygulamanın geliştiricisinin istediği kişilerle paylaşabilir - üçüncü taraf şirketlerin nerede olduğunuzu, ne kadar hızlı hareket ettiğinizi ve ne yaptığınızı takip etmesine izin verebilir.

Kod kütüphanelerinin yardımı ve tehlikesi

Bir uygulama sadece telefonun kendisinde kullanmak için veri toplamaz. Örneğin, uygulamaları haritalamak, konumunuzu, istediğiniz bir hedefe bulunduğunuz yerden yol tariflerini hesaplamak için uygulamanın geliştiricisi tarafından çalıştırılan bir sunucuya gönderin.

Bu uygulama aynı zamanda başka bir yere veri gönderebilir. Web sitelerinde olduğu gibi, birçok mobil uygulama, üçüncü taraf kütüphaneleri olarak adlandırılan diğer geliştiriciler ve şirketler tarafından önceden kodlanmış çeşitli işlevleri birleştirerek yazılır. Bu kütüphaneler geliştiricilere yardımcı olur kullanıcı katılımını takip et, sosyal medya ile bağlan ve reklamları göstererek para kazan ve diğer özellikleri, sıfırdan yazmak zorunda kalmadan.

Ancak, değerli yardımlarına ek olarak, çoğu kütüphane de hassas veriler toplar ve bunları çevrimiçi sunucularına veya bir başka şirkete gönderir. Başarılı kütüphane yazarları, kullanıcıların ayrıntılı dijital profillerini geliştirebilir. Örneğin, bir kişi bir uygulamaya konumlarını bilme izni verebilir ve başka bir uygulamaya kendi rehberine erişim izni verebilir. Bunlar başlangıçta her uygulamaya birer ayrı izindir. Ancak her iki uygulama da aynı üçüncü taraf kütüphanesini kullanıyorsa ve farklı bilgileri paylaşıyorsa, kütüphanenin geliştiricisi parçaları birbirine bağlayabilir.

Kullanıcılar hiçbir zaman bilemez, çünkü uygulamaların kullanıcılara hangi yazılım kitaplıklarını kullandıklarını söylemesi gerekmez. Ve yalnızca çok az sayıda uygulama politikalarını kullanıcı gizliliğine açıklar; yaparlarsa, genellikle uzun yasal belgelerde normal bir kişidir. okumaz, çok daha az anlar.

Lümen Geliştirmek

Araştırmamız, kullanıcıların bilgisi olmadan potansiyel olarak ne kadar veri toplandığını ortaya çıkarmak ve kullanıcılara verileri üzerinde daha fazla kontrol sağlamak için çalışmaktadır. Neyin fotoğrafını çekmek için Veriler insanların akıllı telefonlarından toplanıyor ve aktarılıyor, biz denilen kendi ücretsiz bir Android uygulaması geliştirdi Lümen Gizlilik Monitörü. Hangi uygulamaların ve çevrimiçi hizmetlerin aktif olarak kişisel verileri topladığını bildirmek için gönderilen trafik uygulamalarını analiz eder.

Lumen şeffaflıkla ilgili olduğu için, bir telefon kullanıcısı kurulu uygulamaların gerçek zamanlı olarak ve bu verileri kimlerle paylaştığı bilgileri topladığını görebilir. Uygulamaların gizli davranışlarının ayrıntılarını anlaşılması kolay bir şekilde göstermeye çalışıyoruz. Bu aynı zamanda araştırma ile ilgili, bu yüzden kullanıcılara Lumen'ın uygulamalarının neler yaptığını gözlemlediği hakkında bazı veriler toplamamıza izin verip vermeyeceğimizi soruyoruz - ancak bu kişisel veya gizliliğe duyarlı herhangi bir veri içermiyor. Verilere bu benzersiz erişim, mobil uygulamaların kullanıcıların kişisel verilerini nasıl topladıklarını ve benzeri bir veriyi kimlerle paylaştığını incelememizi sağlar.

Özellikle, Lumen kullanıcıların cihazlarında hangi uygulamaların çalıştığını, telefondan gizliliğe duyarlı verileri gönderiyorlarsa, hangi internet sitelerine veri gönderiyorlarsa, kullandıkları ağ protokolünü ve her uygulamada hangi tür kişisel bilgileri izliyor Her siteye gönderir. Lumen, cihazda yerel olarak uygulama trafiğini analiz eder ve bu bilgileri çalışma için bize göndermeden önce bu verileri anonimleştirir: Google Haritalar bir kullanıcının GPS konumunu kaydederse ve bu belirli adresi maps.google.com adresine gönderirse, Lumen bize “Google Maps’in GPS konum ve maps.google.com adresine gönderdi ”- bu kişinin olduğu yerde değil.

İzleyiciler her yerdeler

Ekim ayından bu yana Lumen kullanan 1,600'ten fazla insan 2015, 5,000 uygulamalarından daha fazlasını analiz etmemize izin verdi. Kullanıcıları, Facebook gibi sosyal medya hizmetleri, Google ve Yahoo gibi büyük internet şirketleri ve Verizon Wireless gibi internet servis sağlayıcıları şemsiyesi altındaki çevrimiçi pazarlama şirketleri de dahil olmak üzere reklam amaçlı takip eden muhtemel 598 internet sitelerini keşfettik.

Onu bulduk Çalıştığımız uygulamaların yüzde 70'inden fazlası en az bir izleyiciye bağlı ve bunların yüzde 15'i beş veya daha fazla izleyiciye bağlı. Her dört izleyiciden biri, telefon numarası veya telefon numarası gibi en az bir benzersiz cihaz tanımlayıcısı topladı. aygıta özgü benzersiz 15 basamaklı IMEI numarası. Benzersiz tanımlayıcılar çevrimiçi izleme hizmetleri için çok önemlidir, çünkü farklı uygulamalar tarafından sağlanan farklı kişisel verileri tek bir kişiye veya cihaza bağlayabilirler. Kullanıcıların çoğu, gizlilik konusunda bilgi sahibi olanlar bile, bu gizli uygulamaların farkında değillerdir.

Mobil bir problemden daha fazlası

Kullanıcıları mobil cihazlarında izlemek, daha büyük bir sorunun sadece bir parçasıdır. Tanımladığımız uygulama izleyicilerin yarısından fazlası kullanıcıları web siteleri üzerinden de izler. “Cihazlar arası” izleme adı verilen bu teknik sayesinde, bu hizmetler çevrimiçi kimliğinizin daha eksiksiz bir profilini oluşturabilir.

Ve bireysel izleme siteleri mutlaka diğerlerinden bağımsız değildir. Bazıları aynı tüzel kişiliğe sahipti - bazıları gelecekteki birleşmelerde yutulabilir. Örneğin, Google’ın ana şirketi olan Alphabet, üzerinde çalıştığımız izleme alanlarından bazılarını, Google Analytics’in dahil DoubleClick veya AdMob’da ve bunlar aracılığıyla üzerinde çalıştığımız uygulamaların yüzde 48’inden daha fazla veri toplar.

Kullanıcıların çevrimiçi kimlikleri, kendi ülke yasaları tarafından korunmaz. Verilerin ulusal sınırlar boyunca gönderildiğini ve sıklıkla şüpheli gizlilik yasalarına sahip ülkelerde sonuçlandığını tespit ettik. İzleme sitelerine bağlantıların yüzde 60’inden fazlası ABD, İngiltere, Fransa, Singapur, Çin ve Güney Kore’deki sunuculara yapıldı - altı ülke konuşlandırdı kitle gözetim teknolojileri. Bu yerlerdeki devlet kurumları, kullanıcılar içeride olsalar bile bu verilere erişebilirler. daha güçlü gizlilik yasalarına sahip ülkeler Almanya, İsviçre veya İspanya gibi.

Wigle kullanarak bir cihazın MAC adresini fiziksel bir adrese (ICSI'ye ait) bağlamak. ICSI, CC BY-ND

Daha da rahatsız edici bir şekilde, çocukları hedef alan uygulamalarda izci gördük. 111 çocuk uygulamalarını laboratuarımızda test ederek, 11'in benzersiz bir tanımlayıcıyı sızdırdığını gördük. Mac adresi, bağlı olduğu Wi-Fi yönlendiricisinin Bu bir problem, çünkü kolay çevrimiçi arama belirli MAC adresleriyle ilişkili fiziksel konumlar için. Konumları, hesapları ve diğer benzersiz tanımlayıcıları da içeren çocuklar hakkında özel bilgi toplamak Federal Ticaret Komisyonunun çocuk mahremiyetini koruma kuralları.

Sadece küçük bir bakış

Verilerimiz en popüler Android uygulamalarının çoğunu içermesine rağmen, küçük bir kullanıcı ve uygulama örneğidir ve bu nedenle de olası tüm izleyicilerin küçük bir kümesidir. Bulgularımız, yalnızca düzenleyici yargı bölgeleri, cihazları ve platformları kapsayan daha büyük bir sorun olma ihtimalinin yüzeyini çiziyor olabilir.

Kullanıcıların bu konuda ne yapabileceğini bilmek zor. Hassas bilgilerin telefondan çıkmasını engellemek, uygulama performansını veya kullanıcı deneyimini olumsuz etkileyebilir: Bir uygulama, reklam yükleyemezse çalışmayı reddedebilir. Aslında, reklamları engelleme, uygulama geliştiricilere, genellikle kullanıcılar için ücretsiz olan uygulamalar üzerindeki çalışmalarını desteklemek için bir gelir kaynağı olduğunu inkar ederek incitir.

İnsanlar uygulamalar için geliştiricilere ödeme yapmaya daha istekliyse, bu tam bir çözüm olmasa da yardımcı olabilir. Ücretli uygulamaların daha az sayıda izleme sitesiyle iletişim kurma eğilimindeyken, kullanıcıları hala takip ettiklerini ve üçüncü taraf izleme hizmetleriyle bağlantı kurduğunu gördük.

Şeffaflık, eğitim ve güçlü düzenleyici çerçeveler anahtardır. Kullanıcılar, onlar hakkında hangi bilgilerin toplandığını, kimin tarafından ve ne için kullanıldığını bilmeleri gerekir. Ancak o zaman bir toplum olarak hangi gizlilik korumalarının uygun olduğuna karar verebilir ve bunları yerine koyabiliriz. Bulgularımız ve diğer birçok araştırmacının bulguları, tabloları açmaya ve izleyicileri kendileri izlemeye yardımcı olabilir.

Yazarlar Hakkında

Narseo Vallina-Rodriguez, Yardımcı Doçent, IMDEA Networks Institute, Madrid, İspanya; Araştırma Bilimcisi, Ağ ve Güvenlik, Uluslararası Bilgisayar Bilimleri Enstitüsü, University of California, Berkeley ve Srikanth Sundaresan, Bilgisayar Bilimleri Araştırma Görevlisi, Princeton Üniversitesi

Bu yazı orijinalinde Konuşma. Okumak Orijinal makale.

İlgili Kitaplar:

at InnerSelf Pazarı ve Amazon