Retshåndhævelse sporede 500 millioner enheder ved hjælp af reklamedata

Retshåndhævelse brugte reklamenetværk til at spore 500 millioner enheder

En ny rapport fra Citizen Lab har afsløret et overvågningsværktøj kaldet Webloc, som retshåndhævende myndigheder i USA, Ungarn og El Salvador har brugt til at overvåge op til 500 millioner mobile enheder verden over. Værktøjet er ikke afhængigt af traditionelle aflytninger eller retskendelsesbaserede overvågningsmetoder. I stedet trækker det på den samme reklameinfrastruktur, der driver de gratis apps på din telefon.

Resultaterne rejser alvorlige spørgsmål om, hvordan regeringer erhverver og anvender kommercielt tilgængelige data, og hvad det betyder for privatlivets fred hos almindelige mennesker, der aldrig har været mistænkt for noget kriminelt.

Hvad er Webloc, og hvordan fungerer det?

Webloc indsamler data fra mobilapps og digitale reklamenetværk. Når du bruger en gratis app, deler den typisk oplysninger med reklamenetværk for at vise dig målrettede annoncer. Disse data inkluderer ofte en enhedsidentifikator, præcise positionskoordinater samt profilattributter som estimeret alder, interesser og adfærd ved internetbrug.

Webloc sammenlægger disse oplysninger og gør dem søgbare for retshåndhævende myndigheder. Myndighederne kan bruge det til at spore en enheds historiske bevægelser, identificere hvor en person bor eller arbejder, og opbygge en detaljeret adfærdsprofil – alt sammen uden at indhente en traditionel kendelse for positionsdata.

Værktøjets rækkevidde er bemærkelsesværdig. Reklamenetværk opererer globalt og indsamler data passivt, hvilket betyder, at en enhedsejer ikke behøver at gøre noget usædvanligt for at optræde i datasættet. Blot det at bruge apps, der viser reklamer, kan være tilstrækkeligt.

Overvågning uden kendelse gennem en kommerciel bagdør

Den juridiske ramme er her afgørende. Domstole i mange jurisdiktioner har indført begrænsninger for, hvordan regeringer direkte kan indsamle positionsdata fra telefonudbydere eller GPS-systemer. Men at købe eller licensere de samme data via kommercielle mellemmænd har eksisteret i et juridisk gråzone, som lovgiverne har været langsomme til at adressere.

Citizen Labs rapport understreger, at dette ikke er et hypotetisk smuthul. Regeringer bruger det aktivt. Involveringen af myndigheder på tværs af tre lande med meget forskellige retssystemer antyder, at Webloc-lignende værktøjer er attraktive netop fordi de omgår de kendelseskrav, der ville gælde for direkte overvågningsmetoder.

Ungarn og El Salvador har begge en dokumenteret historie med at bruge overvågningsteknologi mod journalister, aktivister og politiske modstandere, hvilket gør afsløringen af dette værktøj særligt betydningsfuld for forskere inden for borgerrettigheder.

Hvad betyder dette for dig?

Du behøver ikke at være en person af interesse for retshåndhævelse, for at dette kan påvirke dig. De data, der indsamles af reklamenetværk, er ikke-diskriminerende. De strømmer fra din enhed, hver gang en app kontakter en annonceserver, uanset hvad du foretager dig, eller hvem du er.

Et par praktiske punkter, det er værd at forstå:

• Enhedsidentifikatorer er vedvarende. Din telefons reklame-ID er designet til at følge dig på tværs af apps. Periodisk nulstilling af det reducerer kontinuiteten i din profil, men eliminerer ikke dataindsamling fuldstændigt.
• Lokationstilladelser er vigtige. Apps, der anmoder om præcis lokationsadgang i baggrunden, er de mest sandsynlige bidragsydere til den type data, Webloc indsamler. At gennemgå og begrænse lokationstilladelser for apps, der ikke reelt har brug for dem, er et ligetil skridt.
• Annoncebaseret dataindsamling er stort set usynlig. I modsætning til en webside-sporingscookie, som du teoretisk kan slette, præsenteres de data, der strømmer gennem mobile reklame-SDK'er, ikke for brugerne på nogen meningsfuld måde.
• VPN'er kan begrænse en vis eksponering. At maskere din IP-adresse reducerer ét datapunkt, som reklamenetværk bruger til at korrelere din aktivitet og tilnærme din placering, men en VPN alene forhindrer ikke en app i at aflæse din enheds GPS-koordinater, hvis du har givet den tilladelse.
• Privatlivsfokuserede operativsystemindstillinger hjælper. Både Android og iOS har tilføjet muligheder for at begrænse annoncesporing på systemniveau. Aktivering af disse indstillinger gør dig ikke usynlig, men reducerer omfanget af den profil, der kan opbygges.

Citizen Labs rapport er en påmindelse om, at den dataøkonomi, der er bygget til at betjene annoncører, også er blevet infrastruktur for statslig overvågning. De to var aldrig helt adskilte, men den skala og det operationelle detaljeringsniveau, der afsløres her, gør forbindelsen konkret.

Den mest effektive reaktion er ikke panik, men bevidst ændring af vaner. Gennemgå apps på din enhed, begræns tilladelser, der ikke tjener et klart formål, og behandl lokationsadgang som en følsom tilladelse snarere end en rutinemæssig en. Disse skridt vil ikke beskytte nogen mod en målrettet, ressourcestærk efterforskning, men de reducerer betydeligt den passive eksponering over for masseindsamlingsprogrammer som Webloc.

Efterhånden som regeringer og domstole fortsætter med at debattere, hvor de juridiske grænser bør ligge, er brugere, der forstår, hvordan denne datapipeline fungerer, bedre rustet til at beskytte sig selv inden for den.