Dane geolokalizacyjne to prawdziwa żyła złota dla firm z różnych branż
Producenci oprogramowania gromadzą dane geolokalizacyjne użytkowników dzięki zainstalowanym na smartfonach aplikacjom, nawet nie pytając ich o zgodę. Te dane to prawdziwa żyła złota, z której korzystają później zarówno reklamodawcy, jak i instytucje finansowe.
Pogodynka w smartfonie zna Twoje tajemnice
„New York Times” twierdzi, że dane o geolokalizacji użytkowników popularnych aplikacji pogodowych i informacyjnych otrzymuje w ten sposób co najmniej 75 przedsiębiorstw z sektora obrotu danymi, analityki i marketingu. Kilka z nich utrzymuje przy tym, że śledzi nawet 200 mln urządzeń mobilnych w całych Stanach Zjednoczonych (to niemal połowa wszystkich urządzeń, które były aktywne w tym kraju w ubiegłym roku).
Dane, które takie aplikacje zbierają o swoich użytkownikach, są bardzo szczegółowe. Dziennikarze wykazali, że popularne aplikacje do sprawdzania wiadomości i pogody niejednokrotnie gromadziły detale dotyczące podróży użytkowników (w tym pokonywanych tras, wizyt w określonych miejscach z dokładnością do kilku metrów, nawet wewnątrz budynków). W niektórych przypadkach baza danych była aktualizowana nawet 14 tys. razy na dobę.
Co na to firmy?
Wielkie korporacje twierdzą jednak, że są zainteresowane przede wszystkim przyzwyczajeniami i wzorcami zachowań, a nie samymi danymi o lokalizacji, które mogą posłużyć do ustalenia prawdziwej tożsamości (potencjalnego) konsumenta. W ich ocenie zbierane przez aplikacje dane nie są powiązane z konkretnym imieniem i nazwiskiem czy numerem telefonu, ale unikalnym identyfikatorem UID.
Wiele z tych firm uważa, że jeśli użytkownik wyraził wcześniej zgodę na gromadzenie danych geolokalizacyjnych, to jest to uczciwy biznes i wszystko jest w porządku. Jednak – jak zauważa „NYT” – prośby o udostępnienie lokalizacji, które użytkownicy otrzymują od swoich aplikacji na swoich smartfonach, często wprowadzają ludzi w błąd. Przykładem tego może być aplikacja informująca o ruchu drogowym, która prosi o dostęp do lokalizacji, jednocześnie nie informując, że dane te będą udostępniane i sprzedawane zewnętrznym podmiotom. Tego typu zapisy znajdują się często w niejasno sformułowanej polityce prywatności firmy, która – nawet gdyby była napisana zrozumiałym językiem – zapewne przez większość osób korzystających z aplikacji zostałaby pominięta.
Rynek danych geolokalizacyjnych jest ogromny
Szacuje się, że wartość rynku reklamy geolokalizacyjnej osiągnie w tym roku około 21 mld dolarów. Nie dziwi więc ogromne zainteresowanie firm, które chcą partycypować w podziale tego atrakcyjnego “tortu”.
Przykładem aplikacji, która przekazywała dane swoich użytkowników, jest Weather Channel będąca spółką zależną firmy IBM. W toku śledztwa dziennikarze „NYT” zauważyli, że aplikacja przekazuje w ramach tzw. programu pilotażowego dane o swoich użytkownikach… funduszom hedgingowym. Nie było to jednak wyraźnie sprecyzowane ani w polityce prywatności, ani w sekcji ustawień prywatności zawartej w aplikacji. Wspomniano o tym jedynie na stronie przedsiębiorstwa.
Po zapytaniu skierowanym w tej sprawie przez dziennikarzy IBM zaktualizował 5 grudnia 2018 r. politykę prywatności, podkreślając w niej, że aplikacja może dzielić się zagregowanymi danymi dotyczącymi lokalizacji w celach komercyjnych, do których można zaliczyć np. analizę ruchu pieszego. Według rzecznika IBM sam program pilotażowy, który wzbudził spore kontrowersje, został już zakończony.
Okazuje się, że problem jest jednak znacznie większy. Według przytoczonych w artykule danych z firmy analitycznej MightySignal ponad 1000 aplikacji zawiera w swoim kodzie funkcję śledzenia użytkowników. Najgorzej w tym zestawieniu wypada system Android, na którym można znaleźć blisko 1200 aplikacji z takim kodem, w porównaniu z około 200 na system iOS.
Z kolei według innego badania, przeprowadzonego przez zespół naukowców z Uniwersytetu Yale i francuskiej organizacji pozarządowej Exodus Privacy, prawie 75% aplikacji dostępnych w sklepie Google Play zawiera skrypty, które śledzą użytkowników.
Nasza błoga nieświadomość
Nawet ci, którzy pracują w biznesie obrotu danymi geolokalizacyjnymi, otwarcie przyznają, że wiele osób nie czyta podpisywanych (a raczej akceptowanych) umów albo nie jest w stanie zrozumieć zawartego w nich skomplikowanego języka prawniczego.
Większość osób nie ma pojęcia, co się dzieje – powiedział cytowany przez nowojorski dziennik szef Eagle Alpha Emmet Kilduff. Jego firma zajmuje się m.in. sprzedażą danych o użytkownikach wielkim firmom finansowym i funduszom hedgingowym. W jego ocenie odpowiedzialność za przestrzeganie przepisów dotyczących gromadzenia danych osobowych spoczywa w całości na firmach, które takie dane zbierają od ludzi.
Wiele z przedsiębiorstw zajmujących się zbieraniem danych geolokalizacyjnych twierdzi, że dobrowolnie podejmuje pewne kroki w celu poprawy ochrony prywatności użytkowników, zaznaczając przy tym, że jest to sprawa bardzo skomplikowana.
Jedną z nich jest działająca w branży restauracyjnej firma Sense360, która – jak twierdzi – gromadzi dane o użytkownikach w obrębie ok. 100 m2 wokół przybliżonej lokalizacji urządzenia. Z kolei inna firma, Factual, utrzymuje, że zbiera dane od konsumentów przebywających w domu, ale ich baza danych nie zawiera żadnych adresów.
Część osób zajmująca się handlem danymi uważa, że stosunkowo łatwo można ustalić tożsamość konkretnej osoby, ale nikt się tym nie zajmuje. Innego zdania jest rzecznik firmy Cuebig Bill Daddi, który stoi na stanowisku, że przypisanie lokalizacji do konkretnej osoby wymagałoby ogromnej ilości zasobów i hakerzy nie będą tym z pewnością zainteresowani. Niemniej jednak jego firma, która dzięki współpracy z takimi korporacjami jak Goldman Sachs czy Nasdaq Ventures uzyskała 27 mln przychodu, szyfruje wszystkie gromadzone dane.
Warto przy tym dodać, że w Stanach Zjednoczonych nie istnieje żadne prawo, które ograniczałoby gromadzenie lub wykorzystywanie danych geolokalizacyjnych. Aplikacje, które proszą o dostęp do lokalizacji użytkowników (…) pomijają ważne szczegóły dotyczące sposobu wykorzystania danych, mogą naruszać federalne przepisy dotyczące nieuczciwych praktyk biznesowych – oceniła w rozmowie z „NYT” Maneesha Mithal, przedstawicielka Federalnej Komisji Handlu (ang. Federal Trade Commission, FTC).
Informacje o lokalizacji mogą ujawnić niektóre z najbardziej intymnych szczegółów z życia danej osoby – czy odwiedzała ostatnio psychiatrę, czy udała się na spotkanie Anonimowych Alkoholików (AA), z kim może wychodzić na randki – zauważa z kolei Ron Wyden, demokratyczny senator ze stanu Oregon, który zaproponował stworzenie ustawy ograniczającej zbieranie i sprzedaż danych geolokalizacyjnych.
To nie jest w porządku, aby konsumenci nie wiedzieli, w jaki sposób ich dane są sprzedawane i udostępniane, a następnie nie mogą nic z tym zrobić – dodał Wyden.
Krytyka branży reklamowej
Artykuł „New York Times” odbił się szerokim echem zarówno w samych Stanach Zjednoczonych, jak i za granicą. Wielu komentatorów zauważa jednak, że problem śledzenia użytkowników jest od dawna znany, ale nie przebijał się z taką siłą do świadomości społeczeństwa, jak ma to miejsce teraz, szczególnie w obliczu licznych oskarżeń o naruszenie prywatności wysuwanych pod adresem Facebooka czy Google.
Do sprawy odniosła się m.in. Amerykańska Unia Wolności Obywatelskich (ACLU – American Civil Liberties Union), stwierdzając, że obywatele USA podlegają obecnie śledzeniu na takim poziomie, jakiego nigdy wcześniej w historii ludzkości nie było.
Jak zauważa ACLU, problem śledzenia przez aplikacje użytkowników wynika z wadliwego systemu ochrony prywatności, który został zbudowany wokół koncepcji “poinformowania i zgody” (ang. notice and consent). Tak długo, jak przedsiębiorstwo dołącza opis dotyczący tego, co robi, gdzieś w tajemniczej, długiej, drobiazgowej i łatwej do przeklikania “umowie”, a konsument “zgadza się” […] wtedy firma może powiedzieć, że wypełniła swoje zobowiązania dotyczące prywatności.
Według ACLU obecny “ekosystem powszechnej inwazji na prywatność” użytkowników opiera się na pewnego rodzaju fikcji prawnej zakładającej, że konsumenci przed zaakceptowaniem umowy przeczytają ją, a co najważniejsze zrozumieją treść całego dokumentu. W rzeczywistości jednak wiele osób nie jest w stanie zrozumieć, w jaki sposób ich dane są wykorzystywane oraz nie ma możliwości wyboru pomiędzy wyrażeniem zgody na przekazywanie swoich danych (lub nie) a możliwością skorzystania z konkretnej usługi. Bardzo często jest tak, że wyrażenie zgody jest uzależnione od faktu działania całej aplikacji.
Obecnie osoby prywatne, które chcą dbać o swoją prywatność, muszą próbować wygrać technologiczny wyścig zbrojeń z wielomiliardową branżą reklamy internetowej – uważa ACLU.
W ocenie tej organizacji w Stanach Zjednoczonych potrzebne jest odpowiednie prawodawstwo dotyczące ochrony prywatności, które będzie zawierać klauzulę “opt-in”, ustanawiającą obowiązek m.in. uprzedniego wyrażenia zgody na otrzymanie niezamówionej informacji handlowej.
Doprowadzić to miałoby również do wyeliminowania obecnego systemu “poinformowania i zgody”, zastępując go przejrzystymi regułami w zakresie zbierania danych osobowych. Branża reklamowa uważa jednak, że tak daleko posunięte zmiany “zrujnują wolny internet”.
Ekosystem usług reklamowych może rozwijać się bez konieczności zbierania ogromnych ilości danych na temat osób bez ich zgody i w tajemnicy. W drugiej połowie XX w. telewizja była niezwykle lukratywnym biznesem, jednak nadawcy nigdy nie byli w pełni świadomi intymnych szczegółów widzów – podkreśla ACLU.
Jak zauważa organizacja, o ile w przypadku reklam telewizyjnych można było w ogóle mówić o ukierunkowaniu reklamy na konkretnego odbiorcę, nie było to z całą pewnością możliwe poprzez targetowanie behawioralne, lecz poprzez dobre, staromodne kontekstowe targetowanie, w którym reklamy są dopasowane do odbiorców.
Co możesz zrobić?
Warto odpowiedzieć sobie na podstawowe pytanie: czy potrzebujemy na swoich telefonach aż tylu aplikacji? Większość z nich to po prostu zawartość strony internetowej w opakowaniu aplikacji, która zbiera masę informacji na nasz temat.
Większą kontrolę nad swoją prywatnością zachowamy, korzystając ze strony internetowej jeśli chcemy sprawdzić np. aktualną prognozę pogody lub znaleźć informacje dotyczące konkretnego wydarzenia na świecie.
Ostrzeżeniem dla każdego powinno być również żądanie przez aplikacje nieproporcjonalnie dużych uprawnień. Bo dlaczego niby kalkulator miałby mieć dostęp do naszej listy kontaktów, lokalizacji czy treści SMS-ów albo mikrofonu?
Jeśli jednak naprawdę musimy skorzystać z jakiejś aplikacji, bo przyzwyczailiśmy się do niej i nie możemy się bez niej obejść, to najlepiej sprawdzić, jakie uprawnienia dotyczące lokalizacji zostały jej przyznane. Często jest bowiem tak, że nasz smartfon wysyła dane dotyczące naszej lokalizacji zawsze, a nie tylko podczas korzystania z programu.
Jako mieszkańcy kraju należącego do Unii Europejskiej mamy także prawo wnieść do każdej z firm dysponującej naszymi danymi o pełen ich wykaz oraz zażądać usunięcia zgromadzonych na nasz temat informacji (korzystając z gwarantowanego przez RODO prawa dostępu do danych).
Podobne wpisy
- Podstawy Bezpieczeństwa: Jak zadbać o bezpieczeństwo i prywatność na Discordzie
- Podstawy Bezpieczeństwa: LinkedIn – jak zadbać o prywatność i bezpieczeństwo
- Podstawy Bezpieczeństwa: Jak zadbać o swoją prywatność, używając Androida
- Podstawy Bezpieczeństwa: WhatsApp – jak zadbać o bezpieczeństwo i prywatność
- Podstawy Bezpieczeństwa: Prywatność i bezpieczeństwo na Instagramie
Pewnie wielu z was ma Yanosika. Ciekawe czy wiecie ile firm już kupowało te dane… :)
Smartfony i inne urządzenia korzystające z GPS/GLONASS i łączności GSM, dokonują geolokalizacji ciągle, nawet wtedy gdy się ją „wyłączy”. Jest tak ponieważ:
a) nawet jeśli wyłączysz w smartfonie odbiornik GPS/GLONASS, nie masz pewności że naprawdę jest wyłączony, a niektóre aplikacje same go sobie uruchomią;
b) zakładając że nawet uda się wyłączyć odbiornik GPS/GLONASS, geolokalizację użytkownika można uzyskać w oparciu o stacje BTS z którymi smartfon się łączy, albo poprzez sieci WiFi z którymi smartfon się łączy;
c) łącząc się z Internetem poprzez GSM, strony WWW i apki potrafią geolokalizować, poprzez adres IP.
Konkluzja: korzystając z GSM, tak naprawdę nie można się uwolnić od geolokalizacji.
.
Ciekawostka: myśląc o geolokalizacji, domyślnie mamy w głowie satelity na ziemskiej orbicie.
Co jest dużym uproszczeniem, bo istnieją naziemne technologie geolokalizacyjne, np. rodzina naziemnych systemów LORAN.
LORAN-C (ciągle używany np. w Rosji) mimo że wiekowy, to będący bardziej odpornym na zakłócenia i spoofing niż sygnał z GPSa/GLONASSa – w razie wojny lub zamachu terrorystycznego, pierwsze co agresor uszkadza to łączność i sygnały z satelity.
Proszę pamiętać że systemy takie jak GPS/GLONASS oprócz geolokalizacji, dostarczają źródła dokładnego czasu.
a) teoretycznie masz rację, w praktyce aplikacje nie potrafią działać/ samodzielnie włączyć dokładnej lokalizacji, przynajmniej na moim przykładzie. Jeśli jest w stanie włączyć GPS/GLONASS żeby śledzić użytkownika a udaje że nie działa z wyłączonym- możliwe, nie wydaje mi się zbyt prawdopodobne.
b) z rożnym skutkiem, ale masz rację.
c) też racja, ale dane niezbyt dokładne.
Co do ciekawostki- fajne, nie wiedziałem. Będzie o czym poczytać w wolnej chwili.
Ad. c) Łącząc się po GSM uzyskujesz adresację, zależnie od operatora, RFC1918, publiczną, albo CGNAT. Dodatkowo zwyczajną praktyką jest kierowanie ruchu pakietowego za pomocą GPT do styku sieci GGSN operatora z siecią Internet. Oznacza to że nawet będąc za granicą, używając roamingu, uzyskujesz dostęp do Internetu za pośrednictwem swojej sieci macierzystej. Chyba że się mylę ;)
Sama prawda. Dzięki temu że baterii w nowoczesnych smartfonach nie da się wyjąć, baseband processor może nadal łączyć się z BTSami i otrzymywać od nich komendy. Kiedy „wyłączacie telefon” tylko ekran się wyłącza, a lokalizacja i mikrofon działa nadal.
Brzmi jak informacja o szczepionkach wywołujących autyzm. Skąd takie rewelacje? Jakieś dowody poprosimy – najlepiej w formie dokumentacji technicznej tych funkcji i/lub wyników badań.
https://www.fsf.org/blogs/community/replicant-developers-find-and-close-samsung-galaxy-backdoor
https://www.devever.net/~hl/nosecuresmartphone
https://www.androidauthority.com/smartphones-have-a-second-os-317800/
https://www.usenix.org/system/files/conference/woot12/woot12-final24.pdf
zobaczysz dokumentację techniczną jak świnia niebo bo każdy baseband ma zamknięte oprogramowanie :)
https://recon.cx/2017/montreal/resources/slides/RECON-MTL-2017-freecalypso.pdf
O tym mowil juz Snowden swoich doniesieniach. Ale Pan i tak nadal bedzie sie objadal czeko-produktami gugla, po czym oblizywal.
A w NSA i 30 innych służbach siedzi po jednym gostku dedykowanym dla każdego obywatela kuli ziemskiej (alternatywnie – superkomputery nie mają nic do roboty tylko śledzić ciebie i mnie).
Zawsze to mikrofon jest włączony w amazon echo, a nie w moim smartfonie ;)
I co ciekawe, ludzie są gotowi za to płacić, i to sporo.
a – bzdury.
„bzdury” to trochę mało.
Uzasadnij proszę, chętnie przeanalizuję swoje „bzdury”
„nie możemy się bez niej obejść, to najlepiej sprawdzić, jakie uprawnienia dotyczące lokalizacji zostały jej przyznane. Często jest bowiem tak, że nasz smartfon wysyła dane dotyczące naszej lokalizacji zawsze, a nie tylko podczas korzystania z programu.”
Czy jest możliwość w smartfonie z Androidem sprawdzenia kiedy te dane są gromadzone? Ciekawi mnie, które aplikacje używają np. GPSa w trakcie działania, a które gromadzą je regularnie czy może nawet non-stop kiedy tylko ten jest włączony.
Niektóre systemy zbierają takie informacje. Można poszukać w ustawieniach uprawnień. Może to być jednak zależne od wersji Androida.
W iOS jest kilka kolorów strzałek o różnym poziomie „wypełnienia” które pokazują w jaki sposób aplikacja używa geolokalizacji.
A i tak ciągle pokutuje opinia „no gromadzą, i co z tego? Ja tam nigdzie nie chodzę.”
Pewnym rodzajem kontroli jest firewall w telefonie. Aplikacja gromadzi sobie dane ale ich nigdzie nie wyśle. Ale nie każdy potrafi ustawić firewalla.
Mozna zyc bez gugla i jego czeko-produktow, zyje juz tak ponad 10 lat.
Chyba kiedys wypi*****e smartfona w smietnik i kupie sobie wakie takie niech rodzina ze mna gada
Czy znacie jakieś rozwiązanie, które pozwoli zweryfikować obecność „niebezpiecznych” klauzuli w pobieżnie czytanym regulaminie?
Nasuwa się pomysł, aby stworzyć ranking/bazę regulaminów, gdzie użytkownicy mogliby: cytować istotne fragmenty, śledzić zmiany i oceniać politykę prywatności przynajmniej od strony formalnej. Oszczędziłoby to czytania kolejnym użytkownikom.
A jak sytuacja handlu danymi wygląda w Polsce ?
Czy znacie firmy sprzedające i analizujące dane na naszym rynku ?
W artykule poruszyliście temat rynku Amerykańskiego, który jest z pewnością olbrzymi, jednak wątpie żeby jakiś Jack Towinson z Alabamy chciał sie dowiedzieć co akurat ja robię w wolnym czasie. Zdecydowanie większe prawdopodobieństwo jest że Anna Kowalska z sąsiedniego miasta (pracownica takiej firmy analizującej dane w Polsce) mnie zlustruje gdy np. polubię zdjęcie jej koleżanki na facebooku, dlatego chętnie przeczytał bym ciąg dalszy tego artykułu odnoszący się do naszych granic :)
Pozdrawiam
Nextira One
Mnie najbardziej zawsze zastanawia fenomen preinstalowanych aplikajcji. na jednym z telefonów widziałem kalkulator który wymagał dostępu do telefonu, kontaktów, historii połączeń, smsów i lokalizacji. Może i miał w ten kalkulator był wbudowany tryb serwisowy, ale dlaczego część z tych uprawnień twórcy dodali w aktualizacji? i jak się na sprawa tego żę preinstaowane aplikacje nie pytają o te uprawnienia tylko mają je od pierwszego włączenia?
Nie rozumiem co ma do tego RODO/SRODO, co że napiszę do firmy z poza UE, która tworzy apkę że muszą udzielic mi informacji? A jak nie to co?