Korzystasz z aplikacji, więc wiem, czego potrzebujesz

Niechciane oprogramowanie – spyware, malware – wszystko to wciska się na nasze urządzenia i próbuje podkradać dane. A co, jeśli robi to chciane oprogramowanie?

Z chęcią oddajemy swoje dane prywatne w zamian za darmowe usługi. Dawno temu zrozumiało to Google i w efekcie jest teraz 52. firmą na świecie (wg. Forbes Global 200 list 2014). Nie ma się co dziwić, że właściciele i licencjodawcy usług, z których korzystamy, chętnie wyciągają ręce po kolejne dane, jakie znaleźć można w naszych tabletach, czy smartfonach. W końcu – jak wskazywał na to ostatnio Piotrek Górecki w tekście o uczeniu maszynowym i big data (polecam!) – problem nie leży w ich ilości, a interpretacji. Dlatego też przeróżne usługi i aplikacje zbierają tyle danych o nas, ile wlezie. Przecież i tak najczęściej wcale nie czytamy czego to tałatajstwo chce, tylko klikamy instaluj. Jeśli dana usługa nagle zaczyna wymagać zgód na dostęp do nowych rzeczy w naszym urządzeniu, możemy być raczej pewni, że albo wydawca ma już algorytm na opracowanie tych danych, albo ma jakiś przyszłościowy plan, jak te dane wykorzystać, albo ma na nie kupca.

18447578_3ec6760bdf_o

Piszę konkretnie o aplikacji własnej Twittera, która w nowej, wydanej w środę odsłonie na iOS (na Androida ma to wyjść w pierwszym tygodniu grudnia) uzyskała dostęp do listy zainstalowanych w urządzeniu aplikacji. No dobrze, ale po co? Aplikacja społecznościowa, która dotąd się bez tego obywała – po cholerę? Twitter wskazuje, że dane te będą wykorzystywane do ulepszania m. in. mechanizmu sugestii, czyli promowania kont użytkowników, proponowania lepiej dopasowanych wpisów na timelinie… Oraz oczywiście do zamieszczania lepiej dopasowanych do nas treści promowanych.

I wiecie, jako użytkownik Twittera doskonale rozumiem ten ruch. Twitter – numer dwa na runku graczy społecznościowych (przynajmniej w świadomości ludzi) nadal nie zarobił ani jednego dolara, wciąż przynosi straty a reklamy wyświetlające się na timelinie są często tak dopasowane do mnie, jak pięść do nosa – i to nie mojego nosa. Jest to oczywiście problem samego Twittera, który nie zbiera jeszcze takich danych, jak Facebook – wieku, płci, ukończonej szkoły, miasta rodzinnego, miejsca pracy czy stanu cywilnego oraz aktywności w grach. Oczywiście wpisy publiczne i dane konta są analizowane i przekazywane firmom trzecim (w tym reklamodawcom), ale na ich podstawie można o wiele mniej wywnioskować o użytkowniku, niż na bazie “twardych” danych z Facebooka. A jest się na co połasić – obecnie co miesiąc aktywnych jest prawie 300 milionów użytkowników TT.

Firma zapowiada co jakiś czas rozpoczęcie filtrowania wpisów na timelinach użytkowników wzorem edge ranku Facebooka, jednak odkłada tę decyzję na jak najpóźniej, ponieważ wielu użytkowników jest na TT właśnie dlatego, że Twitter tego nie robi. Ruchy dążące do zbierania dodatkowych danych z urządzeń z zainstalowaną apką Twittera mogą zapewnić sporą ilość użytecznych danych. Być może w końcu uda się zarobić pierwszego dolara na czysto.

Jeśli mam wybrać pomiędzy Twitterem jako Facebookiem 2, a oddaniem kilku kolejnych danych prywatnych, to – o dziwo – zgodzę się na to drugie. Wydaje się, że tu mam mniej do stracenia. Nie planuję zamachów bombowych, nie trzymam w smartfonie niedozwolonych prawem rzeczy – więc nie mam się czym przejmować. Tak przynajmniej myślę. I na tym własnie bazuje strategia Twittera. Firma idzie drogą, którą niegdyś szedł Google a potem Facebook – nie chce mi odgryźć od razu całej ręki, tylko palec po palcu, poczynając od paznokcia małego palca. Twitter robi to dobrze.

Ale można to też zrobić tak źle, jak Uber

O Uber było głośno kilka miesięcy temu, gdy usługa społecznościowych taksówek oficjalnie wystartowała w Polsce. Głośno przede wszystkim dlatego, że Uber niejako włamuje się w dawno ustalone zasady. Pozwala zarobić ludziom bez licencji taksówkarza – i pozwala klientom mniej zapłacić za usługę dowozu w mieście, niż w korporacji taksówkarskiej. Stąd veto pochodziło głównie ze środowiska taksówkarzy, którzy przeczuwając spadek zysków wskazywali na zagrożenie płynące z takiej usługi. Nie wdając się w dłuższy opis – Uber się z dużym hukiem w Polsce pojawił i… Rewolucji nie uczynił. W Stanach Zjednoczonych poszło mu o wiele lepiej.

Ale ostatnio Uber ma bardzo złą prasę. Od dwóch tygodni nagłaśnia się sprawę dostępu aplikacji Uber na Android do zbyt wielkiej ilości danych urządzenia. Trudno tu w sumie powiedzieć do czego Uber dostęp ma, łatwiej byłoby chyba wyliczyć, do czego nie ma dostępu. Aplikacja służąca do zamawiania kursu po mieście zbiera bowiem, poza oczywistymi danymi, jak lokalizacja, numer telefonu, czy email – między innymi:

  • dane o zainstalowanych aplikacjach oraz aktywności użytkownika z nimi związanej (np. wielkości cache);
  • stanie baterii;
  • MMSach (typ, numer nadawcy, numer odbiorcy, sieć);
  • SMSach (sieć, typ, numer nadawcy, numer odbiorcy);
  • statystyce rozmów telefonicznych (w tym numery, kontakty, czas trwania, data);
  • połączeniach internetowych (w tym ilości pobranych na urządzenie danych);
  • informacje o urządzeniu (m. in. typ, ID, numer seryjny, platforma, IMEI);
  • informacje o sieci (oznaczenia wież nadawczych, kraj, nazwa sieci, numer karty SIM);
  • dane o WiFi (informacje o podłączonej sieci oraz o sieciach sąsiadujących);
  • informacja o roocie – (czy urządzenie jest zrootowane, w jaki sposób);
  • dostęp do kamery w urządzeniu;
  • informacje o zagrożeniach (jak status malware urządzenia, itp.).

Informację rozpowszechnił programista GironSec, który zdekompilował kod apki Ubera i na swoim blogu wskazał krok po kroku na to, co czego wymaga dostępu. Komentując to przy okazji dość żywiołowo.

[quote text_size=”medium” author=”GironSec”]

Christ man! Why the hell would it want access to my camera, my phone calls, my wifi neighbors, my accounts, etc? (…) Why the hell is this here? What’s it sending? Why? Where? I don’t remember agreeing to allow uber accedes to my phone calls and sms messages. Bad NSA-Uber.

[/quote]

A burglar opening a safe that is a computer screen

Właściciele Uber oczywiście poszli w zaparte, tłumacząc, że wszystkie te dostępy są konieczne, aby zapewnić jakość usługi, między innymi dobrego lokalizowania użytkownika oraz ewentualnego dochodzenia praw w sytuacji niezadowalającej usługi. Poza tym wskazują oczywiście na to, że Uber jest aplikacją którą instaluje się na żądanie i można ją po prostu odinstalować i z niej nie korzystać. Parafrazując wypowiedź znanego, rosyjskiego polityka o mundurach żołnierzy rosyjskich i ich dostępności w sklepach, można by powiedzieć, że firma sądzi, iż:

[quote text_size=”small”]

Takie zapotrzebowanie na dostępy można znaleźć w pierwszej lepszej aplikacji

[/quote]

To nie koniec. Smaczku sprawie dodaje taka strasznie głupa wtopa szefa Uber z Nowego Jorku – Josha Mohrera. Otóż Josh został poproszony o spotkanie z dziennikarką serwisu internetowego BuzzFeed, Johaną Bhuiyan. Zaprosił ją do swego nowojorskiego biura i zapewnił – oczywiście – przejazd Uber pojazdem. Jak opisuje Johana:

[quote text_size=”medium” author=”Johana Bhuiyan”]

Wysiadłam z Uber auta, a Mohrer czekał już na mnie. Trzymał w dłoni iPhone’a i stwierdził – Jesteś! Śledziłem Cię, jak tu jechałaś. Tylko że Mohrer nigdy nie poprosił mnie o zgodę na śledzenie.

[/quote]

Ups, Uber. Serwisy technologiczne coraz śmielej piszą o aplikacji firmy jako o malware, snują też przypuszczenia, po co firmie takie dane, jak SMSy, dostęp do kamery, czy WiFi? Wskazuje się na organa rządowe, w tym niesławne NSA, które – jak wiemy – szpieguje nie tylko Amerykanów, ale nawet Angelę Merkel podsłuchiwało. No cóż. Uber dało ciała. Zostało schwytane za rękę. nadal się tłumaczy, atakuje serwisy internetowe oskarżając o nagonkę, ale przy okazji stwierdza, że „były nieprawidłowości” i rozpoczyna dochodzenie w firmie.

Ale dane się zebrało.

Można jeszcze gorzej

Uber dał się złapać. Ale dały się też złapać w USA firmy wypożyczające laptopy. Po tym, jak do sieci wyciekł szereg prywatnych, domowych zdjęć ludzi, wykonanych aparatami laptopów, które wypożyczyli, wyszło, że kilka firm wykorzystywało program szpiegujący po to, by móc – oczywiście w razie gdyby klient nie płacił lub uciekł z laptopem – obserwować go i dzięki temu namierzyć miejsce przebywania. Oczywiście całkowicie nielegalnie, nawet w myśl przepisów amerykańskich.

Technicy obsługujący zebrane materiały mieli używanie.

I’m Here, Control!

Dane, które mamy w naszych urządzeniach mobilnych to skarb dla wielu firm. Jeśli nawet nie przydadzą się teraz, to mogą się przydać w przyszłości. Jeśli nie firmie, która zebrała dane, to komuś innemu. Reklamodawcom. Call center, które zadzwonią do nas za dwa lata, by zaoferować jakąś usługę wiedząc, że kończy się nam abonament u konkurencji. Takie dane to bardzo konkretne pieniądze, a my zawsze chcemy zarabiać jeszcze więcej pieniędzy.

Już teraz największą przeszkodą dla wielu dzwoniących do mnie z “niesłychaną” i “dopasowaną do moich oczekiwań” promocją jest to, że zazwyczaj w ogóle nie używam i nie potrzebuję tego, co chce mi się sprzedać. W sytuacji, gdy sprzedawca ma dostęp do mojej listy aplikacji, łatwo stwierdzi, czy np. zużywam dużo internetu, czy mało – i do jakich celów. I dopasuje ofertę idealnie. Pani oferująca pakiety telewizji HD nie będzie mi wciskać telewizora a zaproponuje za to duży tablet z LTE i bezpłatny pakiet na telewizję internetową. Pan dzwoniący zamiast zaproponować umowę na drugi, trzeci, czy czwarty numer telefonu w sieci, „bo na pewno mi się przyda”, skusi mnie jakimś iWatchem z dodatkowym abonamentem. A inni, wciskający ubezpieczenia i konta bankowe, zamiast suchej i drętwej formułki powiedzą:

[quote text_size=”small”]

Dzień dobry. Używa Pan Allegro, a z tą usługą ma pan Allegro bez kosztów wysyłki, zaoszczędzi Pan rocznie 500 złotych. Co Pan na to?

[/quote]

I co z tym zrobimy?

W zasadzie jedyny pewny sposób to…  Jak ochrona przed chorobami wenerycznymi. Tylko wstrzemięźliwość. czyli nie używanie tego typu aplikacji. Ale i tak nie będzie to jednak ochrona 100 procentowa. Zawsze to jakaś Hania czy Władek znaczą nas na zdjęciu na Facebooku – i już jesteśmy w bazie. Można też zadbać o prywatność w taki sposób, jak np. w sposób opisany w artykule 7 ways your apps put put you at risk, and what you can do about it (pierwszy lepszy znaleziony w sieci, sposobów jest legion), choć to w większości raczej homeopatia, aniżeli prawdziwe leczenie.

Ale najważniejsze, że my wcale nie chcemy się przed tym bronić. Chcemy mieć usługi za darmo, za które oddajemy “jedynie” własną prywatność, ponieważ nie widzimy w tym nic złego. 20 lat temu jedyną instytucją, która wiedziała, gdzie jesteśmy, była instytucja małżeństwa. Ewentualnie rodzicielstwa. No i wiedziało coś o nas mniej więcej Państwo, jego służby – wojsko, skarbówka, Policja. W połowie lat 90. przerażającym był (pamiętam) tekst o tym, że nasze maile czytać może około 10 osób, w tym admini serwerów wychodzących i odbiorczych. Masakra! Gdy PRL czytał listy ludzi, wówczas ludzie wychodzili na ulicę i palili komitety partyjne… A dziś?…

Dziś wie o nas cały świat.

Mogę wybrać sobie jakąś dziewczynę z Quebecu i sprawdzić, gdzie ostatnio była (Foursquare), ile schudła i którędy biega (Endomondo), czy ma chłopaka, męża, czy bywają razem na imprezach i gdzie, z kim, co piją, kiedy się kochają, kiedy śpią, jaki mają telewizor, jakie smartfony, czy pies jest spokojny, czy szczeka, i czy są za trójkątami w łóżku, czy raczej nie.

Mogę do niej zadzwonić i namówić ją na kawę w jej ulubionej kawiarni, a potem przekonać, by wzięła na kredyt nowy aparat. Przecież jedzie w lutym na Hawaje. Mogę napisać do niej maila i poprosić o spotkanie w jej domu, gdzie zaprezentuję jej bardzo zmyślną, tanią i kompaktową zmywarkę – pójdzie na to, bo nienawidzi zmywać. Mogę jej zaoferować program opieki zdrowotnej nad jej kotem – ma z jednym ostatnio kłopot, bo zwraca na dywan. I mogę jej sprzedać środki piorące do dywanów. Mogę też przekonać ją na spotkanie lesbijek w klubie, w którym trzy razy się zaczekowała.

Ma w końcu w smartfonie aplikację do poszukiwania kontaktów z osobami homoseksualnymi.

Co prawda ukrytą.

Ale przecież korzysta z taksówek, prawda?

Przed taksówką nic się nie ukryje.

Watch it or lose it. Thieves at work.