Soukromí

Orgány činné v trestním řízení sledovaly 500 milionů zařízení pomocí reklamních dat

11. dubna 20264 min čtení

Orgány činné v trestním řízení využívaly reklamní sítě ke sledování 500 milionů zařízení

Nová zpráva organizace Citizen Lab odhalila sledovací nástroj zvaný Webloc, který využívají orgány činné v trestním řízení ve Spojených státech, Maďarsku a Salvadoru ke sledování až 500 milionů mobilních zařízení po celém světě. Nástroj nespoléhá na tradiční odposlechy ani soudně nařízené zachycování komunikace. Místo toho využívá stejnou reklamní infrastrukturu, která pohání bezplatné aplikace ve vašem telefonu.

Zjištění vyvolávají závažné otázky o tom, jak vlády získávají a využívají komerčně dostupná data a co to znamená pro soukromí běžných lidí, kteří nikdy nebyli podezřelí z žádného trestného činu.

Co je Webloc a jak funguje?

Webloc sbírá data z mobilních aplikací a sítí digitální reklamy. Když používáte bezplatnou aplikaci, ta obvykle sdílí informace s reklamními sítěmi za účelem zobrazování cílené reklamy. Tato data často zahrnují identifikátor zařízení, přesné souřadnice polohy a profilové atributy, jako je odhadovaný věk, zájmy a chování při prohlížení.

Webloc tyto informace agreguje a zpřístupňuje je orgánům činným v trestním řízení ve vyhledatelné podobě. Úřady jej mohou využít ke sledování historických pohybů zařízení, k identifikaci místa bydliště nebo pracoviště konkrétní osoby a k vytvoření podrobného behaviorálního profilu – to vše bez nutnosti získat tradiční soudní příkaz k přístupu k lokalizačním datům.

Dosah tohoto nástroje je pozoruhodný. Reklamní sítě fungují globálně a pasivně sbírají data, takže majitel zařízení nemusí dělat nic neobvyklého, aby se v datové sadě objevil. Stačí pouze používat aplikace, které zobrazují reklamy.

Sledování bez soudního příkazu prostřednictvím komerčních zadních vrátek

Právní rámec má v tomto případě zásadní význam. Soudy v mnoha jurisdikcích zavedly omezení týkající se toho, jak mohou vlády přímo shromažďovat lokalizační data od mobilních operátorů nebo ze systémů GPS. Nákup či licencování stejných dat prostřednictvím komerčních zprostředkovatelů však existovalo v právně šedé zóně, kterou zákonodárci řeší jen pomalu.

Zpráva Citizen Lab zdůrazňuje, že se nejedná o hypotetickou mezeru v zákoně. Vlády ji aktivně využívají. Zapojení agentur ze tří zemí s velmi odlišnými právními systémy naznačuje, že nástroje podobné Weblocu jsou atraktivní právě proto, že obcházejí požadavky na vydání soudního příkazu, jež by se vztahovaly na přímé metody sledování.

Maďarsko i Salvador mají zdokumentovanou historii využívání sledovacích technologií proti novinářům, aktivistům a politickým oponentům, což odhalení tohoto nástroje činí obzvláště významným pro výzkumníky zabývající se občanskými svobodami.

Co to znamená pro vás

Abyste byli tímto problémem dotčeni, nemusíte být osobou, která je v hledáčku orgánů činných v trestním řízení. Data shromažďovaná reklamními sítěmi jsou nesystematická a jsou přenášena z vašeho zařízení pokaždé, když aplikace kontaktuje reklamní server, bez ohledu na to, co děláte nebo kdo jste.

Několik praktických bodů, které stojí za to pochopit:

Identifikátory zařízení jsou trvalé. Reklamní ID vašeho telefonu je navrženo tak, aby vás sledovalo napříč aplikacemi. Jejich pravidelné resetování snižuje kontinuitu vašeho profilu, i když datový sběr zcela nevylučuje.
Oprávnění k poloze jsou důležitá. Aplikace, které vyžadují přesný přístup k poloze na pozadí, jsou nejpravděpodobnějším zdrojem dat, která Webloc shromažďuje. Přezkoumání a omezení oprávnění k poloze pro aplikace, které ji skutečně nepotřebují, je jednoduchý krok.
Sběr dat prostřednictvím reklam je do značné míry neviditelný. Na rozdíl od sledovacích souborů cookie na webových stránkách, které lze teoreticky smazat, nejsou data přenášená prostřednictvím mobilních reklamních SDK uživatelům žádným smysluplným způsobem zpřístupněna.
Sítě VPN mohou omezit část expozice. Maskování vaší IP adresy omezuje jeden datový bod, který reklamní sítě používají k propojení vaší aktivity a přibližnému určení vaší polohy, avšak samotná VPN nezabrání aplikaci ve čtení souřadnic GPS vašeho zařízení, pokud jste jí toto oprávnění udělili.
Nastavení operačního systému zaměřené na ochranu soukromí pomáhá. Systémy Android i iOS přidaly možnosti omezení sledování reklam na úrovni systému. Povolení těchto možností vás nezneviditelní, ale snižuje bohatost profilu, který lze sestavit.

Zpráva Citizen Lab připomíná, že datová ekonomika vybudovaná k obsluze inzerentů se stala také infrastrukturou pro státní sledování. Obě oblasti nebyly nikdy zcela odděleny, ale rozsah a provozní detaily zde odhalené toto propojení konkretizují.

Nejúčinnější reakcí není panika, ale záměrná změna návyků. Proveďte audit aplikací ve svém zařízení, omezte oprávnění, která neslouží jasnému účelu, a přistupujte k přístupu k poloze jako k citlivému oprávnění, nikoli jako k rutinnímu. Tyto kroky neochrání nikoho před cíleným a dobře vybaveným vyšetřováním, ale výrazně snižují pasivní expozici vůči programům hromadného sběru dat, jako je Webloc.

Dokud vlády a soudy pokračují v debatě o tom, kde by měly být právní hranice, jsou uživatelé, kteří rozumějí fungování tohoto datového řetězce, lépe vybaveni k tomu, aby se v něm chránili.

// FAQ

Co je Webloc a kdo jej používá?

Webloc je sledovací nástroj, který shromažďuje data z mobilních aplikací a sítí digitální reklamy a zpřístupňuje je orgánům činným v trestním řízení ve vyhledatelné podobě. Agentury ve Spojených státech, Maďarsku a Salvadoru jej využívají ke sledování až 500 milionů mobilních zařízení po celém světě.

Jak Webloc shromažďuje lokalizační a profilová data bez soudního příkazu?

Webloc využívá reklamní infrastrukturu bezplatných aplikací, které pasivně sdílejí identifikátory zařízení, přesné souřadnice polohy a behaviorální profily s reklamními sítěmi. Protože vlády tato data nakupují nebo licencují prostřednictvím komerčních zprostředkovatelů, nikoli je sbírají přímo, existovalo to v právní šedé zóně, která obchází tradiční požadavky na vydání soudního příkazu.

Musím být podezřelý, aby se moje zařízení v těchto datech objevilo?

Ne, data shromažďovaná reklamními sítěmi jsou nesystematická a jsou přenášena z vašeho zařízení pokaždé, když aplikace kontaktuje reklamní server, bez ohledu na vaše aktivity. K tomu, aby se zařízení v datové sadě objevilo, stačí pouze používat aplikace zobrazující reklamy.

Která organizace zveřejnila zprávu odhalující Webloc?

Zprávu zveřejnila organizace Citizen Lab, která poukázala na to, že vlády aktivně využívají komerční datové nástroje k provádění sledování.

Proč je zapojení Maďarska a Salvadoru považováno za obzvláště závažné?