Лента
Мобильные телефоны шпионят за своими хозяевами и передают данные США. Колонка Владимира Тулина
twitter.com  /  @martingund

Крупнейшая в Норвегии национальная общественная телерадиовещательная организация NRK (Norsk Rikskringkasting) провела журналистское расследование, которое доказало, что любой желающий может приобрести информацию о личной жизни десятков тысяч своих соотечественников. Одновременно американский журнал Vice сообщил, что существует множество бесплатных приложений для мобильных телефонов, которые постоянно передают информацию о местонахождении владельцев устройств фирмам, разработавшим их. Эту информацию затем приобретают правительственные организации США.

NRK за 35 тысяч норвежских крон (около 3300 евро) приобрела у британской компании Tamaco базу данных, содержащую данные транзакций с 140 000 норвежских мобильных телефонов и планшетов. Формально вмешательства в личную жизнь норвежцев не было, так как в базе данных не было их имен и фамилий, а только номера телефонов. Однако норвежские журналисты убедились, что через социальные сети в интернете всего за несколько минут можно легко установить личность практически любого владельца телефона. Самым скандальным стало то, что было выявлено 8300 человек, часть которых — посетители психиатрических лечебниц, еще часть — женщины, скрывающиеся в специальных центрах защиты от домашнего насилия.

Сбор такой информации возможен благодаря тому, что во всех смартфонах есть Advertiser ID. Этот идентификатор — ключ к отслеживанию пользователей телефонов. Владельцы смартфонов теоретически могут блокировать доступ к нему, но это мало кто делает.

Журналисты NRK решили проверить информацию, опубликованную 7 февраля 2020 года в одной из крупнейших американских газет Wall Street Journal «Federal Agencies Use Cellphone Location Data for Immigration Enforcement» («Федеральные агентства используют данные о местоположении мобильных телефонов для иммиграционного контроля»). Подробно механизм массового слежения за владельцами смартфонов изложен в видео, приложенном к этой статье.

WSJ сообщило, что погранично-таможенная служба, налоговое управление, миграционная служба и другие американские государственные органы приобрели доступ к геолокационным данным у компании Venntel. При этом они обошли законодательство США, которое гласит, что для получения от технологических компаний данных о местоположении устройств правоохранительным органам требуется соответствующий судебный ордер, а вот про покупку у этих компаний массива данных на миллионы устройств в законе формально ничего не сказано.

Компания Venntel находится в штате Вирджиния рядом со штаб-квартирой огромной авиационной корпорации Lockheed Martin, разработавшей и производящей истребители F-35 и другие самолеты этой серии. По соседству — фирма Booz Allen Hamilton, где работал Эдвард Сноуден до получения им политического убежища в России, а в 20 минутах езды на восток располагается Лэнгли — штаб-квартира ЦРУ.

Журналист NRK Мартин Гундерсен решил проверить, есть ли у Venntel данные на европейцев, и отправил в фирму запрос на получение данных о себе. Он сослался на постановление ЕС General Data Protection Regulation (GDPR) — «Общий регламент защиты персональных данных», вступившее в силу 25 мая 2018 года, который обязывает предоставлять такую информацию любым фирмам, оперирующим персональными данными граждан ЕС. За его нарушение накладывается штраф до 20 000 000 евро или до 4% от годового мирового оборота компании за предыдущий финансовый год, в зависимости от того, что больше.

В ответ юридический отдел фирмы Venntel попросил указать несколько адресов, которые он недавно посетил, чтобы проверить, есть ли его Advertiser ID в их базе данных. После того как Гундерсен сообщил адреса, через месяц он получил на электронную почту информацию о своих 75 406 визитах в различные объекты: домой, на работу, в бары и даже в гости к бабушке. Также фирма Venntel ответила на его запрос и сообщила, что передавала информацию о нем своим клиентам, которые «используют эту информацию для таких целей, как контроль за соблюдением федерального законодательства и национальная безопасность». Однако сообщить имена этих клиентов отказалась.

Мартин Гундерсен был чрезвычайно удивлен, что данные о его перемещениях оказались у американской фирмы Venntel, так как перечитал условия политики конфиденциальности ко всем приложениям, установленным на его смартфоне, и нигде не нашел даже упоминания о ней. После его запроса Venntel сообщила, что получила данные о нем от своей родительской компании Gravy Analytics. Она в свою очередь сослалась на получение данных о норвежском журналисте от французской компании Predicio и американской Complementics, а они — от словацкой компании Sygic. На ее сайте можно прочитать, что она разработала 70 приложений для мобильных телефонов, самое популярное из которых используют 200 миллионов человек.

Мартин Гундерсен вспомнил, что он установил на свой телефон два приложения Sygic и при этом согласился с пользовательским соглашением, по которому его личные данные могут использоваться только для персонализации рекламы. Из этого вытекает, что, когда Sygic передала информацию о нем через посредников американской компании Gravy Analytics, она нарушила пользовательское соглашение, так как в нем написано, что персональные данные могут быть использованы для обнаружения мошенничества, обеспечения правопорядка и национальной безопасности. К такому выводу пришли три юриста, с которыми проконсультировался Мартин Гундерсен. Они все сошлись во мнении, что это явное нарушение GDPR.

Одним из приложений, шпионивших за Мартином Гундерсеном, было Funny Weather, которое, по его словам, сообщает прогноз погоды в саркастической, язвительной манере. В его пользовательском соглашении было написано, что персональные данные пользователя могут использоваться для аналитики и монетизации. При этом многие даже не знают, что согласие на монетизацию фактически означает согласие на продажу их личных данных кому угодно. Нельзя забывать и то, что подавляющее большинство владельцев смартфонов вообще не читают пользовательские соглашения при установке приложений, автоматически нажимая кнопку «I agree».

После того как все вышеназванные компании отказались отвечать на вопросы о законности своих действий, Мартин Гундерсен обсудил с юристами возможность привлечения фирмы Venntel к ответственности за нарушение GDPR. Дэвид Мартин, руководитель отдела прав в цифровой сфере в BEUC (организации по защите прав потребителей ЕС), заявил:

«Компании пытаются придерживаться старых практик и маскируют их под что-то иное, но по сути своей они остались теми же. Части системы цифровой рекламы основаны на почти систематическом нарушении GDPR. В теории GDPR превосходен, но на практике имеет серьезные недочеты».

Такое же мнение высказал и партнер юридической фирмы Føyen Torkildsen Арве Фёйен:

«Сложно наказывать компании наподобие Venntel, поскольку у них нет офисов в Европе. Боюсь, это создает иллюзорное впечатление о применении правил, но на практике просто невозможно предпринять какие-либо юридические действия».

Дэвид Мартин
iicom.org  / IIC

Силовые структуры США контролируют передвижения не только европейцев, но и своих собственных граждан. Подробно об этом рассказал американский молодежный журнал Vice в статье How the U.S. Military Buys Location Data from Ordinary Apps («Как военные США покупают данные о местоположении из обычных приложений»).

В ней сообщаются такие факты:

«Американские военные покупают подробные данные о передвижениях людей по всему миру, полученные из безобидных приложений. Самым популярным приложением среди проанализированных группой Motherboard, связанной с такого рода продажей данных, является приложение Muslim prayer and Quran, которое было скачано более 98 миллионов раз по всему миру. Другие включают приложение для мусульманских знакомств Craigslist, приложение для отслеживания штормов и приложение Level, которое можно использовать, например, для установки полок в спальне.

Благодаря общедоступным записям, интервью с разработчиками и техническому анализу Motherboard обнаружила два отдельных параллельных потока данных, которые военные США используют или использовали для получения данных о местоположении. Один — компании Babel Street, которая создает продукт под названием Locate X. US Special Operations Command (USSOCOM), подразделение вооруженных сил, которому поручено бороться с терроризмом, заниматься противоповстанческой деятельностью и специальной разведкой, купило доступ к Locate X для помощи в операциях спецназа за рубежом. Другой поток проходит через компанию X-Mode, которая получает данные о местоположении непосредственно из приложений, а затем продает их подрядчикам и, соответственно, военным.

Военные США, которые с печальным исходом использовали другие данные о местоположении для нацеливания ударов дронов, сейчас покупают доступ к конфиденциальным данным. Многие пользователи приложений, участвующих в цепочке поставок данных, являются мусульманами, что примечательно, учитывая, что Соединенные Штаты в течение десятилетий вели войну с преимущественно мусульманскими террористическими группировками на Ближнем Востоке и сотни тысяч мирных жителей погибли во время военных действий и интервенций в Пакистан, Афганистан и Ирак.

Приложения, отправляющие данные в X-Mode, включают Muslim Pro — приложение, которое напоминает пользователям, когда молиться и в каком направлении находится Мекка по отношению к текущему местоположению пользователя. По данным Google Play Store, приложение было загружено на Android более 50 миллионов раз, а на других платформах, включая iOS, — более 98 миллионов раз по данным сайта Muslim Pro. Еще одно приложение, отправляющее данные в X-Mode, — это Muslim Mingle, приложение для знакомств, которое было загружено более 100 000 раз».

На условиях анонимности бывший сотрудник Babel Street рассказал Motherboard, как пользователи продукта могут указать точку на карте и увидеть все устройства, на которых есть данные Babel Street в этом месте, а затем проследить за конкретным устройством, чтобы увидеть, где еще оно было. Выяснить, кому принадлежит это устройство, дело нескольких минут. 

В марте 2020 года журналисты американского технического издания Protocol опубликовали контракт о приобретении Секретной службой США у компании Babel Street программы Locate X за 1 999 394 доллара.

При этом Секретная служба США занимается охраной президента США и других высших должностных лиц и членов их семей, а также предотвращением подделки долларов и ценных бумаг и, что совсем забавно, предотвращением краж личных данных. Также Locate X, которая отслеживает местоположение мобильного телефона анонимно, используя данные с установленных на нем приложений, приобрели погранично-таможенная и миграционная службы.

Рассказывает журнал Vice и о компании X-Mode:

«Компания данных о местоположении X-Mode, которая отличается от Babel Street, поощряет разработчиков приложений включать ее разработки программного обеспечения (SDK), по сути пакет кода, в свои собственные приложения. Затем SDK собирает данные о местоположении пользователей приложения и отправляет их в X-Mode. Взамен X-Mode платит разработчикам приложений вознаграждение в зависимости от количества пользователей. Например, согласно веб-сайту X-Mode, приложение с 50 000 активных пользователей в день в США будет приносить разработчику 1500 долларов в месяц.

В недавнем интервью CNN генеральный директор X-Mode Джошуа Антон сказал, что компания ежемесячно отслеживает 25 миллионов устройств в Соединенных Штатах и 40 миллионов в других местах, в том числе в Европейском союзе, Латинской Америке и Азиатско-Тихоокеанском регионе. X-Mode ранее сообщал Motherboard, что его SDK встроен примерно в 400 приложений.

Передача данных также включала название сети Wi-Fi, в которой телефон находился в данный момент, временную метку и информацию о телефоне, например о его модели. Приложения, отправляющие данные в X-Mode, включали приложение счетчика шагов Accupedo, которое было загружено более пяти миллионов раз, согласно странице приложения в Google Play Store; приложение CPlus for Craigslist, которое упрощает поиск пользователей в Craigslist и имеет более миллиона загрузок, и Global Storms — приложение для отслеживания ураганов, тайфунов и тропических штормов. Приложение скачали более миллиона раз».

Эту информацию подтвердил и сенатор Рон Виден в официальном заявлении:

«Во время сентябрьского звонка в мой офис юристы X-Mode подтвердили, что компания продает данные, собранные с телефонов в Соединенных Штатах, американским военным заказчикам через оборонных подрядчиков. Ссылаясь на соглашения о неразглашении, компания отказалась сообщить конкретных оборонных подрядчиков или конкретных правительственных агентств, покупающих данные».

На веб-сайте X-Mode описывает свои «лучшие практики» в том, как получить согласие пользователей приложения на сбор данных об их местоположении. Всплывающее окно условий обслуживания, которое появляется, когда пользователь впервые открывает приложение, сообщает, что программное обеспечение может собирать анонимные данные о местоположении «для поддержки адаптированной рекламы, анализа местоположения и других гражданских, рыночных и научных исследований». В других пользовательских соглашениях говорится, что «компания может использовать данные о местоположении для предотвращения и исследования заболеваний, безопасности, борьбы с преступностью и помощью правоохранительным органам». 

Разумеется, ни в одном из приложений не говорится, что в случае его установки вы можете превратиться в мишень для американского оружия. А власти США продолжают провозглашать свою страну самой свободной в мире, хотя каждый шаг ее жителей находится под контролем. Теперь уже в буквальном смысле слова.

Вернуться назад

6 комментариев
Рейтинг@Mail.ru