A bűnüldöző szervek 500 millió eszközt követtek nyomon hirdetési adatok segítségével

A bűnüldöző szervek hirdetési hálózatok segítségével követtek nyomon 500 millió eszközt

A Citizen Lab új jelentése leleplezett egy Webloc nevű megfigyelési eszközt, amelyet az Egyesült Államok, Magyarország és El Salvador bűnüldöző szervei világszerte akár 500 millió mobileszköz megfigyelésére használtak. Az eszköz nem hagyományos lehallgatásra vagy bírói engedéllyel elrendelt megfigyelésre támaszkodik. Ehelyett ugyanazt a hirdetési infrastruktúrát használja ki, amely a telefonján lévő ingyenes alkalmazásokat működteti.

A megállapítások komoly kérdéseket vetnek fel azzal kapcsolatban, hogy a kormányok hogyan szerzik meg és használják fel a kereskedelmi forgalomban elérhető adatokat, és ez mit jelent a soha semmilyen bűncselekménnyel nem gyanúsított átlagemberek magánéletére nézve.

Mi a Webloc és hogyan működik?

A Webloc mobilalkalmazásokból és digitális hirdetési hálózatokból gyűjt adatokat. Amikor ingyenes alkalmazást használ, az általában információkat oszt meg a hirdetési hálózatokkal, hogy célzott hirdetéseket jelenítsen meg Önnek. Ezek az adatok gyakran tartalmaznak egy eszközazonosítót, pontos helyadatokat, valamint profiljellemzőket, mint például a becsült életkor, érdeklődési körök és böngészési szokások.

A Webloc összegyűjti ezeket az információkat, és kereshetővé teszi azokat a bűnüldöző szervek számára. A hatóságok segítségével nyomon követhetik egy eszköz korábbi mozgásait, azonosíthatják, hogy valaki hol él vagy dolgozik, és részletes viselkedési profilt állíthatnak össze – mindezt hagyományos helyadatokra vonatkozó bírói végzés nélkül.

Az eszköz hatóköre megdöbbentő. A hirdetési hálózatok globálisan működnek és passzívan gyűjtenek adatokat, ami azt jelenti, hogy az eszköz tulajdonosának nem kell semmi szokatlant tennie ahhoz, hogy szerepeljen az adatkészletben. Pusztán a hirdetéseket megjelenítő alkalmazások használata elegendő lehet.

Bírói végzés nélküli megfigyelés egy kereskedelmi hátsó ajtón keresztül

A jogi keret itt lényeges. Sok jogrendszerben a bíróságok korlátozásokat vezettek be arra vonatkozóan, hogy a kormányok hogyan gyűjthetnek helyadatokat közvetlenül a mobilszolgáltatóktól vagy GPS-rendszerektől. Ugyanakkor ugyanezen adatok kereskedelmi közvetítőkön keresztül történő megvásárlása vagy licencelése egy olyan szürke területen létezett, amellyel a jogalkotók lassan foglalkoztak.

A Citizen Lab jelentése rávilágít arra, hogy ez nem csupán elméleti kiskapu. A kormányok aktívan élnek vele. A három, egymástól nagyon eltérő jogrendszerű ország ügynökségeinek részvétele azt sugallja, hogy a Webloc-szerű eszközök pontosan azért vonzók, mert megkerülik a közvetlen megfigyelési módszerekre alkalmazandó bírói végzés követelményeit.

Magyarország és El Salvador egyaránt dokumentált múlttal rendelkezik a megfigyelési technológia újságírókkal, aktivistákkal és politikai ellenfelekkel szemben történő alkalmazása terén, ami különösen jelentőssé teszi ennek az eszköznek a leleplezését a polgári szabadságjogok kutatói számára.

Mit jelent ez az Ön számára?

Nem kell a bűnüldözés érdeklődési körébe tartoznia ahhoz, hogy ez Önt is érintse. A hirdetési hálózatok által gyűjtött adatok válogatás nélküliek. Minden alkalommal áramlanak az eszközéről, amikor egy alkalmazás megkeresi a hirdetési szervert, függetlenül attól, hogy mit csinál vagy ki Ön.

Néhány gyakorlati szempont, amelyet érdemes megérteni:

• Az eszközazonosítók tartósak. Telefonjának hirdetési azonosítója úgy van kialakítva, hogy kövesse Önt az alkalmazások között. Rendszeres visszaállítása csökkenti a profiljának folytonosságát, bár nem szünteti meg teljesen az adatgyűjtést.
• A helyadat-engedélyek fontosak. A háttérben pontos helyadathoz hozzáférést kérő alkalmazások a legvalószínűbb forrásai a Webloc által gyűjtött adatoknak. A nem valóban szükséges alkalmazások helyadat-engedélyeinek áttekintése és korlátozása egyszerű lépés.
• A hirdetésalapú adatgyűjtés nagyrészt láthatatlan. Ellentétben egy webhelyes nyomkövetési sütivel, amelyet elméletileg törölhet, a mobilos hirdetési SDK-kon átáramló adatok semmilyen értelmes módon nem kerülnek a felhasználók elé.
• A VPN-ek korlátozhatják a kitettséget. Az IP-cím elrejtése csökkenti azt az adatpontot, amelyet a hirdetési hálózatok a tevékenységek összefüggésbe hozásához és a hozzávetőleges tartózkodási hely meghatározásához használnak, bár a VPN önmagában nem akadályozza meg, hogy egy alkalmazás leolvassa az eszköz GPS-koordinátáit, ha Ön megadta az ehhez szükséges engedélyt.
• Az adatvédelemre összpontosító operációs rendszer-beállítások segítenek. Mind az Android, mind az iOS rendszerszintű lehetőségeket adott a hirdetéskövetés korlátozásához. Ezen lehetőségek engedélyezése nem teszi Önt láthatatlanná, de csökkenti a felépíthető profil részletességét.

A Citizen Lab jelentése emlékeztetőül szolgál arra, hogy a hirdetők kiszolgálására felépített adatgazdaság egyúttal az állami megfigyelés infrastruktúrájává is vált. A kettő sohasem volt teljesen különálló, de az itt feltárt méret és működési részletek kézzelfoghatóvá teszik ezt az összefüggést.

A leghatékonyabb válasz nem a pánik, hanem a tudatos szokásváltoztatás. Ellenőrizze az eszközén lévő alkalmazásokat, korlátozza azokat az engedélyeket, amelyek nem szolgálnak egyértelmű célt, és kezelje a helyadathoz való hozzáférést érzékeny engedélyként, nem pedig rutinszerű dologként. Ezek a lépések nem védenek meg senkit egy eltökélt, jól finanszírozott nyomozással szemben, de jelentősen csökkentik a Weblochöz hasonló tömeges adatgyűjtési programoknak való passzív kitettséget.

Miközben a kormányok és a bíróságok továbbra is vitatkoznak arról, hogy hol húzódjanak a jogi határok, az adatcsatorna működését értő felhasználók jobb helyzetben vannak ahhoz, hogy megvédjék magukat azon belül.