Ostatnie tygodnie przyniosły wiele rewelacji w zakresie śledzenia urządzeń mobilnych przez gigantów branży IT. Aplikacja stworzona przez firmę Carrier IQ i wykryta przez Trevora Eckharta okazała się prawdziwym dynamitem, który może doprowadzić do poważnych zmian w sektorze mobilnym. Masowy charakter tej afery z pewnością uprzytomnił wielu osobom, iż nowoczesne technologie to nie tylko wielkie możliwości i świetna zabawa, ale także spore ryzyko. Jeśli chcecie od początku prześledzić całą sprawę, to zapraszam do lektury.
Niedawno hitem Internetu był film nakręcony przez młodego programistę – Trevora Eckharta, w którym udowodnił on, iż pewna aplikacja może śledzić każdą komendę wydaną smartfonowi przez użytkownika. Ogrom danych zebranych w ten sposób przez twórcę oprogramowania jest porażający, a co najgorsze, pokrzywdzeni nawet nie zdawali sobie sprawy z procederu, którego padli ofiarą. Program się nie ujawniał, nie pytał użytkownika o pozwolenie na wykonanie określonych czynności, a jego usunięcie było niemożliwe dla przeciętnego posiadacza telefonu. Krótko mówiąc: powstała aplikacja umożliwiająca totalną kontrolę milionów użytkowników smartfonów. Brzmi groźnie?
Afery tego typu nie są niczym nowym – wystarczy, że przypomnimy sobie zawirowania wokół Apple, jakie wstrząsnęły opinią publiczną na początku II kwartału bieżącego roku. Bohaterem tamtej sprawy był nieszyfrowany plik consolidated.db, na którym zapisywano dane o położeniu użytkownika iPhone’a lub iPada (osoby zdające sobie sprawę z istnienia programu i tak nie mogły go wyłączyć). Informacje o lokalizacji właściciela iPhone’a (bardzo dokładne współrzędne geograficzne) były zapisywane wraz ze znacznikiem czasowym. Opcja ta pojawiła się zapewne wraz z iOS 4 i od tego czasu kumulowane były wspomniane dane.
System opierał się prawdopodobnie na triangulacji nadajników sieci komórkowej. Zresztą pracownicy Apple utrzymywali początkowo, iż program nie śledzi samych urządzeń z iOS, lecz wieże telefonii komórkowej i hotspoty Wi-Fi. Pojawia się oczywiście pytanie: po co im takie informacje? Odpowiedź jest krótka i treściwa: dla dobra klienta. Ale zacznijmy od początku.
W drugiej połowie kwietnia pojawiła się informacja, iż Brytyjczycy Alasdair Allan i Pete Warden odkryli funkcję iPhone’a oraz iPada 3G umożliwiającą wspominane już regularne zapisywanie danych na temat położenia geograficznego danego urządzenia. Niedługo potem programiści udostępnili specjalną aplikację iPhone Tracker, dzięki której użytkownicy mogli sprawdzić, jakie miejsca odwiedzali w ciągu ostatnich dni i miesięcy (gdyby plik consolidated.db istniał dłużej, to pewnie pojawiłyby się także dane z ostatnich lat). Informacje te udostępniane były w postaci punktów na mapie. Sam plik to jednak dopiero połowa problemu – w przypadku synchronizacji smartfonu z komputerem dane zapisane w consolidated.db były automatycznie transferowane na komputer. A to już grubsza sprawa (na szczęście dane nie były przesyłane do Apple).
Sprawą zainteresowały się amerykańskie władze, które chciały się dowiedzieć, w jakim celu Apple zbiera wspomniane dane. Jeden z senatorów – Al Franken – wysłał do Steve’a Jobsa list otwarty, w którym pytał nie tylko o cel tych działań, ale także o podmioty posiadające dostęp do wspomnianych danych i powód dla którego Apple nie informowało użytkowników swoich urządzeń o całej sprawie. Polityk zapowiedział jednocześnie, iż zamierza w tej sprawie przeprowadzić przesłuchania, mające na celu dokładne zbadanie całej „afery”. Działać postanowiły także odpowiednie instytucje w innych krajach – m.in. w państwach Unii Europejskiej i w Korei Południowej (w maju media obiegła wiadomość, iż regulator rynku telekomunikacyjnego w Korei Południowej ukarał Apple grzywną w wysokości niespełna 3 tys. dolarów).
Swój sprzeciw wobec praktyk Apple wyraziło również dwóch Amerykanów, którzy oskarżyli korporację z Cupertino o naruszenie prawa m.in. w zakresie ochrony danych osobowych. Aaron Mayer reprezentujący dwóch śmiałków przywoływał amerykańskie przepisy, które jasno mówią, iż prawo do zbierania danych tego typu przysługuje po otrzymaniu zgody obywatela. Nie ujawniono sumy, o jaką wystąpili poszkodowani, ale był to sygnał dla amerykańskiego giganta, iż należy zacząć działać nim ruszy lawina pozwów. Tym bardziej, że o wyjaśnienia poprosił prokurator generalny stanu Illinois – Lisa Madigan (na dywanik wezwano także przedstawicieli Google, ale o tym za chwilę).
Warto wspomnieć, iż jeden ze zbulwersowanych użytkowników iPhone’a wysłał maila do Steve’a Jobsa, w którym pytał o cel zbierania informacji i… otrzymał odpowiedź. Nie wiadomo, czy odpisał mu sam CEO Apple, czy wyznaczony do tego pracownik działu PR, ale zainteresowanie mediów wzbudził sam fakt przerwania milczenia przez amerykańskiego giganta. A przekaz był bardzo klarowny: Nikogo nie śledzimy. Informacje, które podają środki masowego przekazu to kłamstwa. Najciekawszy fragment dotyczy jednak odpowiedzi na groźbę klienta, iż zacznie on korzystać ze smartfonu Droid (dla mniej zorientowanych – sprzęt Motoroli współpracujący z Androidem). Co na to Jobs/pracownik Jobsa? O, inni robią to samo. Na usta nasuwa się pytanie: co robią, skoro całą sprawę wyssały z palca media?
Argumentem, który Apple mogło w tej sprawie eksploatować do granic możliwości jest fakt, iż użytkownicy sprzętu Apple, korzystający z iTunes w chwili zatwierdzania warunków umowy dają korporacji z Cupertino prawo do zbierania danych na ich temat. W długim tekście umowy licencyjnej, którą pomija większość użytkowników, zapisano, iż w przypadku jej zatwierdzenia, firma i jej partnerzy mają prawo do zbierania, przechowywania oraz przetwarzania informacji na temat lokalizacji urządzeń. Z kolei dziennikarz John Gruber przekonywał, iż cała sprawa to efekt błędu, jaki wkradł się do iOS. Jego zdaniem consolidated.db powinien się samoczynnie resetować, co eliminowałoby problem.
Wracamy do pytania o cel rejestrowania ww. informacji. Jednoznacznej odpowiedzi tu brakuje. Jedni eksperci wskazywali, iż ma to związek z rynkiem reklam, inni wspominali o chęci wprowadzenia przez Apple nowych usług, przedstawiciele firmy mówili natomiast, iż zapisywanie lokalizacji miało usprawnić pracę GPS. W tym celu potrzebne są jednak dane jedynie z kilku ostatnich dni. Pracownicy korporacji zgodzili się z tym argumentem i zapowiedzieli, iż „błąd systemowy” zostanie usunięty w najbliższej aktualizacji. Warto wspomnieć, że dziennikarze WSJ słusznie zauważyli, iż zasłanianie się troską o usługi lokalizacyjne może się mijać z prawdą, ponieważ iPhone zapisuje położenie nawet wtedy, gdy wymagające tego systemy są wyłączone.
Trzeba przyznać, iż Apple wzięło sobie do serca oburzenie części klientów i mediów i stosunkowo szybko wypuszczono na rynek odpowiednią aktualizację (wersja 4.3.3). Przewidywała ona m.in. zmniejszenie liczby zapisywanych punktów Wi-Fi oraz stacji BTS, zaniechanie zachowywania kopii tych danych oraz ich usunięcie w przypadku gdy usługa lokalizacji jest nieaktywna. W ramach ciekawostki napiszę, że przed aktualizacją danych nie można było usunąć nawet po zresetowaniu iPhone’a – opisywany powyżej plik był pomijany w procesie czyszczenia pamięci.
Na koniec całej sprawy Apple zapewniło, iż nie przekazywało informacji na temat swoich klientów innym firmom (chyba, że ci pierwsi wyrazili na to zgodę – wracamy tu do umów podpisywanych z amerykańskim gigantem), a polityka prywatności zajmuje w ich strategii bardzo ważne miejsce. Czego nie można powiedzieć o konkurencji. I tu wkraczamy na bardzo grząski grunt – czy zarzuty wobec Apple obnażyły nieetyczne zachowanie jednej zdeprawowanej firmy, czy były jedynie wierzchołkiem góry lodowej?
Jeszcze w trakcie zawirowań wokół Apple i pliku consolidated.db eksperci i dziennikarze zaczęli się przyglądać innym producentom smartfonów. Pojawiła się np. informacja, iż słuchawki z Androidem na pokładzie przesyłają koordynaty do Google praktycznie co godzinę. Oznaczałoby to, iż Jobs miał rację – konkurencja robi to samo, co Apple. Innego zdania byli przedstawiciel internetowego giganta.
Pracownicy Google poinformowali, iż Android zbiera wspomniane informacje, ale na innych zasadach niż iOS. Po pierwsze użytkownik smartfonu z Androidem musi wyrazić zgodę na ich przesłanie do Google, a po drugie, informacje są odpowiednio chronione. Opcję tę można także wyłączyć, co powinno uspokoić użytkowników ceniących swą prywatność. Warto także dodać, iż w przypadku systemu Android omawiane dane były nadpisywane, co prowadziło do usuwania starszych informacji. Taki system nie działał niestety w iPhone’ach. Należy oczywiście pamiętać, iż korporacja z Mountain View potrafiła odpowiednio zagospodarować nawet ograniczoną pulę informacji. Wszak dane te można było z powodzeniem wykorzystać na rynku reklam, co mogło przynieść firmie spore zyski.
Rzućmy jeszcze okiem na Windows Phone – tu sprawa okazała się być bardziej zawiła. Na przełomie kwietnia i maja było już jasne, iż Microsoft nie jest wyjątkiem i także korzysta z informacji przesyłanych przez smartfony (było to ID urządzenia, lokalizacja sprzętu oraz dane na temat pobliskich sieci Wi-Fi). Przedstawiciele korporacji z Redmond szybko jednak zaznaczyli, że przesyłanie danych na ich serwery musi uzyskać akceptację klienta. Firma przekonywała także, iż w przeciwieństwie do systemu iOS, Windows Phone nie przechowuje informacji tego typu. System posiada także możliwość zablokowania usług geolokalizacyjnych.
Nie dziwi fakt, iż pojawiło się pytanie o funkcję Find My Phone, dzięki której można np. poznać lokalizację telefonu w przypadku jego kradzieży albo zagubienia. Jednak i w tym przypadku Microsoft uspokajał użytkowników: system ten wymaga jedynie ostatnich danych na temat położenia smartfonu. Zdecydowana większość użytkowników zaakceptuje jednak na takie „śledzenie” z pocałowaniem ręki – wszak funkcja może się okazać bardzo przydatna. Na tym jednak sprawa się nie skończyła – Microsoft czekała w tym boju druga runda.
Bohaterem kolejnego starcia był Rafael Rivera – programista, który postanowił sprawdzić, czy Microsoft zdobywa dane na temat swych klientów w sposób balansujący na granicy prawa. Okazało się, iż poszukiwania szybko przyniosły efekty. Smartfon Rivery po uruchomieniu aplikacji aparatu przesłał plik informacji na dwa adresy: agps.location.live.net oraz inference.location.live.net. Co ciekawe, zrobił to bez proszenia o zgodę użytkownika. W wyniku uruchomionego procesu, korporacja z Redmond poznała lokalizację Rivery, choć wczesnej jej przedstawiciele zapewniali, iż takie procedery nie są stosowane.
Wokół sprawy zaczęło się robić głośno, a Microsoftowi zależało na dobrej opinii przed planowanym wprowadzeniem na rynek słuchawek Nokii z platformą WP 7. Dlatego z kolejnej aktualizacji Windows Phone usunięto ten „błąd”, a tym samym zaprzestano śledzenia pozycji użytkowników bez ich wiedzy i zgody. Motorem napędowym szybkich zmian była nie tylko chęć zrobienia dobrego wrażenia na potencjalnych klientach, ale także strach przed pozwami i ewentualnymi odszkodowaniami, które stały się realnym zagrożeniem dla korporacji z Redmond.
Poprzednie akapity dość wyraźnie wykazały, iż problem śledzenia użytkowników smartfonów nie pojawił się w grudniu czy listopadzie i nie jest związany jedynie z oprogramowaniem Carrier IQ. To dużo bardziej złożona kwestia, a najnowsza afera jest swoistą kontynuacją praktyk stosowanych przez wiele firm w dłuższym okresie czasu. Warto jednak dokładniej przyjrzeć się tej sprawie, by poznać mechanizmy wykorzystywane przez światowych gigantów z branży IT.
W listopadzie świat usłyszał o kolejnym programiście, który postanowił wskazać nadużycia kilku korporacji. 25 letni Trvevor Eckhart, bo to o nim mowa, przyjrzał się bliżej oprogramowaniu IQRD tworzonemu przez firmę Carrier IQ. Eckharta zaczęło zastanawiać nadspodziewanie duże natężenie danych opracowywanych przez jego smartfon. Początkowo był on przekonany, że ma do czynienia z jakąś nową formą wirusa i zaczął się sprawie dokładniej przyglądać. Szybko okazało się jednak, iż winny całemu zamieszaniu jest moduł przesyłający dane na serwery firmy Carrier IQ.
Młody programista postanowił podzielić się tymi rewelacjami z ekspertami i opinią publiczną, ponieważ sprawa dotyczyła ingerencji w życie osobiste użytkowników urządzeń mobilnych. I to na masową skalę. W stronę Carrier IQ zwrócił się nagle wzrok sporej liczby właścicieli smartfonów z całego świata. Przedsiębiorstwo, które powstało w ubiegłej dekadzie w Dolinie Krzemowej pozostawało do tej pory w cieniu i ludzie raczej nie interesowali się jego działalnością – ot, kolejna firma analityczna z branży IT. Prawdziwe zamieszanie zaczęło się wtedy, gdy na rynku pojawiła się informacja, iż Carrier IQ bierze czynny udział we wprowadzaniu zmian w smartfonach wypuszczanych na rynek pod brendami operatorów sieci komórkowej. Jeśli zestawimy tego newsa z rewelacjami Eckharta oraz informacją ze strony CIQ, mówiącą iż „pracowali” przy przeszło 140 mln urządzeń mobilnych, to dostaniemy do rąk materiał na poważny skandal.
Sprawa zagęści się, gdy bliżej poznamy owe rewelacje Eckharta. Według dewelopera, technologia opracowana przez CIQ zbierała i przekazywała swym twórcom dokładne informacje o czynnościach wykonywanych na smartfonach przez ich właścicieli. Mowa tu m.in. o wybieranych numerach, lokalizacji, odwiedzanych stronach, słowach wystukiwanych na klawiaturze, czy treści maili i wiadomości SMS oraz używanych hasłach. Wszystko to działo się bez wiedzy użytkownika i umożliwiało podmiotom, które miały dostęp do informacji, „śledzenie totalne”.
Już na samym początku afery Eckhart poinformował, że w sprawę mogą być zamieszani wielcy operatorzy sieci komórkowej z markami Verizon i Sprint na czele. Znalazło się nawet wytłumaczenie dla samej idei akcji zainicjowanej przez CIQ – początkowo ich technologia skupiała się na kontroli jakości połączeń. Teoretycznie, dzięki tej funkcji operator mógłby automatycznie dotrzeć do źródeł problemów, które doprowadziły do przerwania połączenia lub transmisji danych. Sprawa częściowo przypominałaby zatem tę z wiosny z udziałem Apple (wszak tam chodziło o poprawę usług lokalizacyjnych ;)). Nadal pozostawało jednak pytanie: po co operatorowi np. dokładne informacje na temat fraz wyszukiwanych przez użytkownika.
Eckhart postanowił się nie patyczkować i szybko znalazł określenie dla swojego odkrycia – to najzwyczajniej w świecie rootkit, czyli narzędzie ukrywające niebezpieczne pliki i procesy, użyteczne przy włamaniach do systemów informatycznych. To dość mocne oskarżenie, ale deweloper logicznie poparł swą tezę i dowodził, iż w niektórych przypadkach CIQ modyfikowało swą aplikacje, by ukryć ją przed użytkownikiem. Na te zarzuty firma z Doliny Krzemowej postanowiła już zareagować i wymierzyła poważny cios w dewelopera.
Przedstawiciele CIQ poinformowali, iż ich oprogramowanie nie zapisywało danych wprowadzanych przez użytkowników, nie śledziło ich lokalizacji i nie zbierało informacji przesyłanych za pomocą SMS, czy maili. Po raz kolejny zaakcentowano, że przedsiębiorstwo prowadzi działalność analityczną i pomaga m.in. operatorom sieci komórkowych diagnozować problemy, z jakimi się stykają. Wspomniano np. o zbyt szybkim rozładowywaniu się baterii, czy przerywaniu połączeń. W żadnym stopniu nie jest to rootkit. Firma zagroziła Eckhartowi pozwem i zażądała wycofania oskarżeń pod swoim adresem. Okazało się jednak, iż kosa trafiła na kamień – programista nie dał się przestraszyć i szybko zareagował na ultimatum CIQ.
W Sieci pojawił się film, na którym Eckhart dowodzi, że jego twierdzenia są słuszne. Wbrew zapewnieniom przedstawicieli CIQ, ich program zapisuje czynności wykonywane przez użytkownika na swym smartfonie. Następnie dane są gdzieś przesyłane. A gdzie dokładnie? Umownie możemy to nazwać centrum opracowywania danych firmy Carrier IQ. Informacje nie trafiały zatem bezpośrednio do operatorów, co eliminowało kolejny punkt obrony CIQ (od początku odsyłali oni wszystkich zainteresowanych sprawą do operatorów, twierdząc, że to u nich należy szukać wyjaśnień). Dopiero tutaj pojawiali się operatorzy. Na mocy umów podpisanych z „firmą analityczną” otrzymywali oni dostęp do specjalnego serwisu, gdzie w czasie rzeczywistym mogli śledzić działania swego abonenta.
Film okazał się miażdżącym dowodem na to, iż Carrier IQ mija się z prawdą i dopuściło się czynów nie do końca zgodnych z prawem. To rozsierdziło ich maksymalnie i Eckhart mógłby mieć poważne problemy (chodziło o ingerencję w ich oprogramowanie i łamanie praw autorskich), gdyby nie wsparcie, o które się postarał. W jego obronie wystąpiła Electronic Frontier Foundation – organizacja rządowa, działająca od przeszło dwóch dekad w USA, walcząca o wolności obywatelskie w elektronicznym świecie.
EFF dała jasno do zrozumienia, iż ich zdaniem, Eckhart nie złamał prawa, a groźby ze strony CIQ można wytłumaczyć jedynie chęcią zatuszowania całej afery. Przedstawiciele organizacji poinformowali, iż artykuły Eckharta, dotyczące działań Carrier IQ są zgodne z 1. poprawką do Konstytucji Stanów Zjednoczonych (przewiduje ona m.in. wolność prasy i słowa). To podziałało na CIQ niczym kubeł zimnej wody. Firma wycofała się z pozwów przeciw Eckhartowi i przeprosiła go. Jednocześnie stwierdzono, że wcześniejsze stanowisko przedsiębiorstwa było niewłaściwe, a kwestie ochrony wolności słowa w szybko zmieniającym się świecie technologicznym są im bardzo bliskie. Po raz kolejny powtórzono oczywiście, iż firma nie śledziła użytkowników smartfonów i nie przekazywała zebranych informacji osobom trzecim.
Do sprawy postanowili się włączyć politycy, a ściślej mówiąc dobrze nam już znany senator Al Franken oraz kongresmen Edward Markey. Ten pierwszy w liście otwartym do Carrier IQ domagał się wyjaśnienia całej sprawy:
Jeśli Carrier IQ bez wiedzy użytkownika zbiera informacje tak, jak opisał to Trevor Eckhart, to możemy mieć do czynienia z naruszeniem Prawa Federalnego.
Firma otrzymała czas na odpowiedź w kwestii funkcjonowania systemu do 14 grudnia. Markey z kolei skierował sprawę do Federalnej Komisji Handlu. Do badania afery włączyły się także europejskie urzędy, które zainteresował udział poszczególnych firm w tym rozgardiaszu. A tych, jak się okazało nie było mało. Blady strach padł na całą branżę mobilną – od producentów smartfonów, przez twórców oprogramowania aż po operatorów sieci komórkowych. Oprócz firm Verizon, Sprint, T-Mobile oraz AT&T w aferze padały zarzuty pod adresem Nokii i Symbiana, RIM i oprogramowania dla BlackBerry, czy Apple, które nie otrząsnęło się jeszcze do końca po wpadce z wiosny 2011 roku. Potężne działa wytoczono także przeciwko Androidowi – eksperci zwracali uwagę, iż możliwości aplikacji CIQ na tej platformie są praktycznie nieograniczone.
Ze strony poszczególnych firm natychmiast zaczęły płynąć zapewnienia, iż nie mają one nic wspólnego z procederem stosowanym przez CIQ lub całkowicie z niego rezygnują. W gronie tym znalazły się m.in. Nokia i Research in Motion. Inni stwierdzili, iż stosują to oprogramowanie tylko w niektórych modelach. Pojawiło się tu m.in. Apple. Korporacja z Cupertino przyznała, iż stosuje niektóre komponenty opisywanej aplikacji w swym iOS, ale firma zamierza usunąć to oprogramowanie w kolejnej aktualizacji.
Na tym sprawa się jednak nie zakończyła, ponieważ do sądu federalnego stanu Delaware skierowano pozew przeciw korporacjom Apple, HTC, Samsung, Motorola, Sprint, T-Mobile oraz AT&T i głównemu podejrzanemu, czyli Carrier IQ. Firmy oskarżono m.in. naruszenie prawa o podsłuchach i prawa o ochronie elektronicznej komunikacji. Sprawa wzbudza za Oceanem wielkie emocje, gdyż liczba poszkodowanych może sięgać 150 milionów.
Bez względu na to, jak zakończy się afera z Carrier IQ, możemy być pewni, iż na tym śledzenie użytkowników sprzętu mobilnego się nie zakończy. W ciągu ostatnich tygodni przypomniał o sobie Julian Assange – osoba znana z zaangażowania w portal WikiLeaks. Poinformował on opinię publiczną, iż ingerencja firm z sektora IT w nasze życie prywatne jest olbrzymia i trwa od dawna. Poparcia w tej kwestii udzieliło mu wielu ekspertów i dziennikarzy, którzy do sprawy włączyli także instytucje państwowe, a zwłaszcza służby dbające o bezpieczeństwo. Inwigilacja z ich strony jest dużo poważniejsza niż ta stosowana przez prywatne firmy i raczej nie da się jej wyeliminować. Brzmi to dość ponuro i złowieszczo, ale radzę się dwa razy zastanowić przed wpisaniem kolejnej frazy w wyszukiwarce internetowej Waszego smartfonu… 😉
Niektóre odnośniki na stronie to linki reklamowe.