Ваша анонимность уже давно потеряна — как Google следит за вами

Google следит за cвоими пользователями. Это происходит явно, иногда нет. Ваша анонимность давно потеряна.

Слежка — одна из самых главных проблем хакеров. Популярные операционные системы, такие как Android и iOS, собирают тонны информации на протяжении всего дня. Более того, крупные производители смартфонов создают модифицированные версии Android, что позволяет им заполучить полный доступ над данными владельца. Например, многие китайские корпорации используют встроенную клавиатуру с кейлоггером, что позволяет им идентифицировать владельца и знать о нем практически всё. Кроме того, closed-source приложения также представляют серьезную опасность. Отедльно стоит упомянуть банковские приложения, которые читают переписку и все хранимые файлы пользователя для продажи данных и составления уникального профиля, привязанного к имени, телефону и банковской карте. Полученные данные используются во всех возможных целях (например, изменению ставки кредита в зависимости от профиля человека). Например, программисту-ценителю японской мультипикации могут повысить ставку кредита на несколько процентов, а женщине в декрете ставку оставить прежней. Важно понимать угрозу и уметь её избегать.

1. Google

Операционная система Android с установленными сервисами Google использует методы индентификации владельца и сбора его данных, которые представляют серьезную угрозу кондентифициальности пользователя:
WiFi триангуляция
Bluetooth mac-адреса

WiFi триангуляция

При помощи вычисления силы сигнала от ближайшего WiFi роутера Google вычисляет ваше местоположение наподобие gsm-триангуляции. Благодаря сопоставлению сгнерированной высокоточной карты всех роутеров с дальностью девайса от роутеров, Google вычисляет ваше местоположение с крайне высокой точностью без использования GPS. При составлении карты учитывается mac-адрес, серийный номер и цифровой отпечаток каждого роутера, что делает невозможным компрометацию роутера. Ваше местоположение также привязывается к домашнему роутеру и сохраняется в вашем цифровом профиле.

Bluetooth

Недавние события показали, что компания Google обладает возможностью идентифицировать владельца смартфона при помощи mac-адреса BT под предлогом безопасности окружающих. Было аносировано приложение, при помощи которого смартфон пользователя оповещает по Bluetooth окружающие девайсы о состоянии здоровья владельца. Как оказалось, Google использовала эту технологию уже давно для составления кругов общения людей. При контакте двух человек в течение некоторого времени смартфоны обмениваются уникальными mac-адресами, привязанными к каждому из аккаунтов, чтобы впоследствии зафиксировать факт встречи в базе данных. Google выпустила отдельное приложение для выявления носителей заболевания для того, чтобы дать согласие пользователя на сопоставление баз данных Google и истории заболеваний пользователя. Возможно, компания сумела договориться с правительствами и базы данных уже сопоставлены, а приложение выпущено для создания иллюзии выбора, но у нас нет данных для подтверждения или опровержения данной информации.

Таким образом, корпорация Google располагает, как минимум, вашим домашним адресом и местоположением вашего устройства в течение дня, даже если вы вообще не используете GPS (Я много раз замечал, как у меня приходило уведомление с информацией о текущем заведении (аэропорт, кафе) даже без включенного GPS) и о вашем кругу общения. Имейте ввиду, что данная корпорация тесто сотрудничает с правительствами стран, это означает, что власти знают о том, с кем вы общаетесь (а также чем вы интересуетесь и какие у вас взгляды) и вашу историю местоположений (например, если вы послещали CTF, то вы будете считаться потенциально опасным). Необходимо отдавать себе отчет в том, что Google также учитывает привязанные к телефону аккаунты и знает о ваших посещенных страницах (в частности Chrome хранит историю посещений на удаленном сервере). Android отсылает сотни http-запросов в минуту, поэтому невозможно определить, к каким данным на смартфоне Google сервисы имеют доступ и какие из них утекают. На данном этапе ваш цифровой профиль — кладезь ценной информации, доступ к которой имеет правительство. Если вы занимаетесь деятельностью, близкой к хакерству (включая белому), то информацию о вас и вашем круге лиц, возможно, уже изучает власть.

Кастомные прошивки вендоров (MIUI, Oxygen) также собирают данные пользователей в довесок к Google. В случае с MIUI, сбор данных происходит крайне агрессивно (кейлоггер, доступ к хранилищу, чаты). Невозможно достоверно определить методы слежки каждого производителя.

2. Closed-source

Магазин Google Play (aka Play Market) предоставляет миллионы приложений на любой выбор для каждого пользователя Android. PM устанавливается вместе с набором Google-сервисов (~150–200 мб), которые постоянно находятся в фоне и обращаются к серверам. Проблема в том, что получить исходный код данных сервисов либо провести реверс-инжениринг почти невозможно. Данные сервисы, скорее всего, в ОС Android отвечают за слежку за пользователями. В то же время, приложения без открытого исходного кода могут также незаметно собирать данные пользователей. Существует множество примеров: Tiktok, Facebook (лидер среди нежелательного ПО) и др. В качестве примера рассмотрим приложение популярного мессенджера VK и банковское приложение главного российского банка. VK был приобретен компанией MailRu Group, которая активно сотрудничает с правительством. VK собирает историю сообщений, информацию о странице и посещенные пользователем ссылки, данной информацией о каждом пользователе владеет правительство. В своем личном опыте я столкнулся с необычным явлением: в личной беседе было упоминание продукта N, я ни разу до этого не упоминал его где-либо и не отправлял поисковые запросы, содержащие название данного продукта. Вскоре после этого в ленте VK стала появляться реклама данного продукта, что не является чем-то сверхъестественным. Еще через некоторое время в рекламных баннерах Яндекса и Google стала появляться реклама продукта N, что сильно меня напугало. Это является доказательством того, что данные переписки VK оказываются проданы не анонимно, таким образом проданные компанией MailRu данные дополняют ваш виртуальный профиль Google и других корпораций. Также, компания MailRu тесно сотрудничает с известной банковской команией, которая владеет одноименным мобильным приложением. Само приложение является закрытым и требует множество разрешений, без которых приложение не запускается. Под предлогом защиты пользователя от вирусов данное приложение получает доступ к храницищу, что позволяет ему получить все скачанные файлы. Также, в результате сотрудничества мессенджер и банковское приложение обмениваются данными (в частности, перепиской), в зависимости от составленного цифрового профиля могут варьироваться процентные ставки кредитов. Таким образом, ваша личная жизнь напрямую влияет на банковскую историю, это является ярким примером, каким будет наше будущее, и что ваша анонимность — плод вашей фантазии.

Для того, чтобы уметь скрыться от невидимого глаза Большого брата, необходимо четко понимать, как корпорации собирают ваши данные. В следующей статье я раскажу вам об инструментах, с помощью которых можно сохранить анонимность в сегоднящнем мире.

Источник информации о слежке Google — канал Rob Braxman Tech

Хочешь научиться большему? Записывайся на индивидуальное обучение.

Не забудь подписаться на наш канал!