Prywatność

Organy ścigania śledziły 500 milionów urządzeń za pomocą danych reklamowych

11 kwietnia 20264 min czytania

Organy ścigania wykorzystały sieci reklamowe do śledzenia 500 milionów urządzeń

Nowy raport Citizen Lab ujawnił narzędzie inwigilacyjne o nazwie Webloc, które organy ścigania w Stanach Zjednoczonych, na Węgrzech i w Salwadorze wykorzystują do monitorowania nawet 500 milionów urządzeń mobilnych na całym świecie. Narzędzie to nie opiera się na tradycyjnym podsłuchu ani przechwytywaniu komunikacji na mocy nakazu sądowego. Zamiast tego korzysta z tej samej infrastruktury reklamowej, która napędza bezpłatne aplikacje na Twoim telefonie.

Ustalenia te rodzą poważne pytania o to, w jaki sposób rządy pozyskują i wykorzystują komercyjnie dostępne dane oraz co oznacza to dla prywatności zwykłych ludzi, którzy nigdy nie byli podejrzani o żadne przestępstwo.

Czym jest Webloc i jak działa?

Webloc gromadzi dane z aplikacji mobilnych i sieci reklamowych. Kiedy korzystasz z bezpłatnej aplikacji, zazwyczaj przesyła ona informacje do sieci reklamowych w celu wyświetlania spersonalizowanych reklam. Dane te często obejmują identyfikator urządzenia, dokładne współrzędne lokalizacji oraz atrybuty profilu, takie jak szacowany wiek, zainteresowania i zachowania podczas przeglądania.

Webloc agreguje te informacje i udostępnia je organom ścigania w formie przeszukiwalnej bazy danych. Władze mogą go używać do śledzenia historycznych ruchów urządzenia, ustalania miejsca zamieszkania lub pracy danej osoby oraz budowania szczegółowego profilu behawioralnego — wszystko to bez uzyskiwania tradycyjnego nakazu sądowego dotyczącego danych lokalizacyjnych.

Zasięg narzędzia jest uderzający. Sieci reklamowe działają globalnie i pasywnie zbierają dane, co oznacza, że właściciel urządzenia nie musi robić nic niezwykłego, aby znaleźć się w zbiorze danych. Wystarczy korzystać z aplikacji wyświetlających reklamy.

Inwigilacja bez nakazu sądowego przez komercyjne tylne drzwi

Kontekst prawny ma tu kluczowe znaczenie. Sądy w wielu jurysdykcjach nałożyły ograniczenia na sposoby bezpośredniego zbierania danych lokalizacyjnych przez rządy od operatorów telefonicznych czy systemów GPS. Jednak zakup lub licencjonowanie tych samych danych za pośrednictwem komercyjnych pośredników istniało dotąd w szarej strefie prawnej, którą ustawodawcy byli powolni w regulowaniu.

Raport Citizen Lab podkreśla, że nie chodzi o hipotetyczną lukę prawną. Rządy aktywnie z niej korzystają. Zaangażowanie agencji z trzech krajów o bardzo różnych systemach prawnych sugeruje, że narzędzia w stylu Webloc są atrakcyjne właśnie dlatego, że omijają wymogi dotyczące nakazów sądowych, które miałyby zastosowanie do bezpośrednich metod inwigilacji.

Węgry i Salwador mają udokumentowane przypadki wykorzystywania technologii inwigilacyjnych przeciwko dziennikarzom, aktywistom i przeciwnikom politycznym, co sprawia, że ujawnienie tego narzędzia jest szczególnie istotne dla badaczy zajmujących się wolnościami obywatelskimi.

Co to oznacza dla Ciebie

Nie musisz być osobą zainteresowaną przez organy ścigania, aby to cię dotyczyło. Dane zbierane przez sieci reklamowe są nieselektywne. Przepływają z Twojego urządzenia za każdym razem, gdy aplikacja łączy się z serwerem reklamowym, niezależnie od tego, co robisz i kim jesteś.

Kilka praktycznych kwestii wartych zrozumienia:

Identyfikatory urządzeń są trwałe. Reklamowy identyfikator Twojego telefonu jest zaprojektowany tak, aby śledzić Cię w różnych aplikacjach. Okresowe resetowanie go zmniejsza ciągłość Twojego profilu, choć nie eliminuje całkowicie zbierania danych.
Uprawnienia lokalizacyjne mają znaczenie. Aplikacje, które żądają dostępu do dokładnej lokalizacji w tle, są najbardziej prawdopodobnymi źródłami danych gromadzonych przez Webloc. Przeglądanie i ograniczanie uprawnień lokalizacyjnych aplikacjom, które naprawdę ich nie potrzebują, to prosty krok do podjęcia.
Zbieranie danych przez reklamy jest w dużej mierze niewidoczne. W przeciwieństwie do pliku cookie śledzącego na stronie internetowej, który teoretycznie można wyczyścić, dane przepływające przez mobilne zestawy SDK reklamowych nie są udostępniane użytkownikom w żaden znaczący sposób.
Sieci VPN mogą ograniczyć część narażenia. Maskowanie adresu IP ogranicza jeden punkt danych, który sieci reklamowe wykorzystują do korelowania Twojej aktywności i przybliżania Twojej lokalizacji, choć sama sieć VPN nie powstrzyma aplikacji od odczytywania współrzędnych GPS Twojego urządzenia, jeśli udzieliłeś jej takiego uprawnienia.
Ustawienia systemu operacyjnego zorientowane na prywatność pomagają. Zarówno Android, jak i iOS dodały opcje ograniczania śledzenia reklamowego na poziomie systemu. Włączenie tych opcji nie czyni Cię niewidocznym, ale zmniejsza bogactwo profilu, który można zbudować.

Raport Citizen Lab przypomina, że gospodarka danych zbudowana z myślą o reklamodawcach stała się również infrastrukturą dla państwowej inwigilacji. Te dwa światy nigdy nie były od siebie całkowicie oddzielone, ale skala i szczegóły operacyjne ujawnione w tym raporcie czynią to powiązanie namacalnym.

Najskuteczniejszą odpowiedzią nie jest panika, lecz świadoma zmiana nawyków. Przeprowadź audyt aplikacji na swoim urządzeniu, ogranicz uprawnienia, które nie służą wyraźnemu celowi, i traktuj dostęp do lokalizacji jako uprawnienie wrażliwe, a nie rutynowe. Kroki te nie ochronią nikogo przed zdeterminowanym, dobrze wyposażonym śledztwem, ale znacząco ograniczają pasywne narażenie na masowe programy zbierania danych, takie jak Webloc.

W miarę jak rządy i sądy nadal debatują nad tym, gdzie powinny przebiegać granice prawne, użytkownicy rozumiejący zasady działania tego rurociągu danych są lepiej przygotowani do ochrony siebie w jego ramach.

// FAQ

Czym jest Webloc i kto go używa?

Webloc to narzędzie inwigilacyjne, które gromadzi dane z aplikacji mobilnych i sieci reklamowych, udostępniając je organom ścigania w formie przeszukiwalnej bazy danych. Agencje w Stanach Zjednoczonych, na Węgrzech i w Salwadorze wykorzystują je do monitorowania nawet 500 milionów urządzeń mobilnych na całym świecie.

W jaki sposób Webloc zbiera dane lokalizacyjne i profilowe bez nakazu sądowego?

Webloc korzysta z infrastruktury reklamowej używanej przez bezpłatne aplikacje, które pasywnie udostępniają sieciom reklamowym identyfikatory urządzeń, dokładne współrzędne lokalizacji oraz profile behawioralne. Ponieważ rządy kupują lub licencjonują te dane za pośrednictwem komercyjnych pośredników, zamiast zbierać je bezpośrednio, proces ten istniał w szarej strefie prawnej omijającej tradycyjne wymogi dotyczące nakazów sądowych.

Czy muszę być podejrzanym, aby moje urządzenie pojawiło się w tych danych?

Nie, dane zbierane przez sieci reklamowe są nieselektywne i przepływają z Twojego urządzenia za każdym razem, gdy aplikacja łączy się z serwerem reklamowym, niezależnie od Twojej aktywności. Wystarczy korzystać z aplikacji wyświetlających reklamy, aby urządzenie pojawiło się w zbiorze danych.

Która organizacja opublikowała raport ujawniający Webloc?

Raport został opublikowany przez Citizen Lab, który podkreślił, że rządy aktywnie wykorzystują komercyjne narzędzia do zbierania danych w celach inwigilacyjnych.

Dlaczego zaangażowanie Węgier i Salwadoru jest uważane za szczególnie istotne?

Zarówno Węgry, jak i Salwador mają udokumentowane przypadki wykorzystywania technologii inwigilacyjnych przeciwko dziennikarzom, aktywistom i przeciwnikom politycznym, co sprawia, że ujawnienie tego narzędzia jest szczególnie istotne dla badaczy zajmujących się wolnościami obywatelskimi.

Organy ścigania wykorzystały sieci reklamowe do śledzenia 500 milionów urządzeń

Czym jest Webloc i jak działa?

Inwigilacja bez nakazu sądowego przez komercyjne tylne drzwi

Co to oznacza dla Ciebie

// FAQ

// Powiązane