iOS 8 i peleryna niewidka. Apple zadba o prywatność nieświadomych użytkowników?

iOS 8 i peleryna niewidka. Apple zadba o prywatność nieświadomych użytkowników?10.06.2014 12:25
iOS 8 Logo
Źródło zdjęć: © developer.apple.com
Michał Mynarski

Po głośnej i udanej konferencji otwierającej WWDC 2014 przyszła pora, by przyjrzeć się bliżej systemowi Apple'a, w tym zajrzeć w jego kod źródłowy. Praktycznie każdego dnia wychodzą na jaw pikantne detale i szczególiki, którymi warto się zainteresować. Ostatnio pojawiły się doniesienia o tzw. sniffingu Wi-Fi, a raczej próbie jego zablokowania.

Wczoraj w The Verge i kilku innych serwisach mogliście poczytać o "płaszczu niewidzialności", który chce zaoferować użytkownikom Apple wraz z iOS 8. Gigant ma wykorzystać do tego celu randomizację adresu MAC. Zanim przejdziemy dalej i wyciągniemy wnioski, proponuję krótką lekcję, która rozjaśni to zagadnienie.

Pakiety powitalne i uściski dłoni

Zdecydowana większość urządzeń wyposażonych w moduł Wi-Fi nieustannie skanuje sieć w poszukiwaniu znanych routerów. Dzięki temu smartfony zawsze mogą wyświetlać listę punktów dostępu znajdujących się w pobliżu lub automatycznie łączyć się z tym AP (access point), z którym już kiedyś urządzenie się połączyło. Smartfony wysyłają w eter "pakiety powitalne" (ang. probe request). Zawierają one m.in. właśnie adres MAC. Czym on jest?

Adres MAC można sobie wyobrazić jako indywidualny, niepodważalny identyfikator sieciowy przypisany do karty/modułu sieciowego, zawierający dane np. o producencie danego sprzętu (ang. vendor). Wysyłane przez urządzenia pakiety powitalne wertują przestrzeń w poszukiwaniu wszystkich dostępnych sieci i znanych access pointów specyfikowanych m.in. poprzez SSID takiego routera. Jeżeli na taki trafią, dochodzi do "uściśnięcia dłoni" (ang. handshake) i nawiązania połączenia.

Nasze urządzenia wysyłają pakiety powitalne cały czas, nawet gdy nawiązały już połączenie (wówczas szukają np. mocniejszego sygnału), a niektóre nawet wtedy, gdy Wi-Fi jest wyłączone (np. HTC). Każde z nich wysyła pakiety w różnym odstępie czasowym: od kilkunastu sekund (Nokia) do ponad minuty (iPhone).

"iOS 8 randomizuje MAC adres skanując otoczenie w poszukiwaniu nowych sieci. Mam nadzieję, że wkrótce stanie się to standardem.", Źródło zdjęć: © żr. Cult of Mac / Twitter
"iOS 8 randomizuje MAC adres skanując otoczenie w poszukiwaniu nowych sieci. Mam nadzieję, że wkrótce stanie się to standardem."
Źródło zdjęć: © żr. Cult of Mac / Twitter

Śledzenie i wyłapywanie (ang. sniffing) takich pakietów nie jest trudne (bardzo łatwo można to zrobić np. WireSharkiem), a przy odpowiedniej infrastrukturze można określić, kto znajduje się w jakim pomieszczeniu i czy jest w danym miejscu pierwszy raz, czy odwiedza je po raz kolejny.

Wasze dane są warte więcej niż wasze portfele

Zaczęły z tego korzystać firmy. Gromadzą one dane o naszych poczynaniach (np. w sklepach). Na przykład Euclid Analitycs "zbiera dane dotyczące obecności urządzeń, siły ich sygnału, producenta sprzętu oraz unikalny identyfikator znany jako Media Access Control (MAC) Address" (cytat z broszury firmy).

W Londynie zainstalowano nawet tuzin koszy na śmieci wyposażonych w odpowiednie sniffery, które rejestrowały przechodzących ludzi z telefonami w kieszeniach. Taka ilość gromadzonych błyskawicznie informacji jest niezwykle cenna dla firm marketingowych i agencji reklamowych. I tu właśnie wkracza Apple.

W iOS 8 adres MAC urządzenia zawarty w pakiecie powitalnym jest losowy, a przynajmniej taki się wydaje (na podstawie pierwszych obserwacji). Dzięki temu iPhone'y z tą wersją systemu nie wyślą dwa razy takiej samej informacji. Znacznie utrudni to, jeśli nie całkowicie wyeliminuje możliwość gromadzenia danych pochodzących z sieci Wi-Fi o naszych poczynaniach. Apple daje więc swoim przyszłym użytkownikom szansę na prywatność: oferuje swego rodzaju pelerynę niewidkę klientom nieświadomym tego, co robi smartfon.

Są trzy kwestie, które warto poruszyć.

Po pierwsze randomizacja adresu MAC w iOS 8 działa tylko w przypadku skanowania sieci w poszukiwaniu nowych, nieznanych access pointów. Jeżeli urządzenie znajdzie się w zasięgu routera, z którym wcześniej nawiązało połączenie, to ten router od razu będzie "wiedział", że jest ono w pobliżu (dojdzie do hand-shake'u przy użyciu prawdziwego adresu MAC). Dlatego użytkownicy (nie tylko sprzętu Apple'a) muszą przykładać większą wagę do tego, z jakimi sieciami (szczególnie otwartymi) się łączą.

Po drugie - jak każdy programista wie - nie istnieje program do generowania liczby losowej. Co najwyżej dostępne są mniej lub bardziej sprytne generatory liczb pseudolosowych, które korzystają z określonego algorytmu. Sęk w tym, że do każdego z nich musi istnieć klucz i bardzo prawdopodobne, że Apple ten klucz ma. Pytanie, czy coś będzie chciał z nim zrobić.

Jest też inna możliwość, w którą mocno wierzę, chociaż nie mam żadnych dowodów na jej prawdziwość. Może się okazać, że sposób randomizacji adresu MAC będzie w pewien sposób połączony z TouchID i Enclave, które gwarantują przechowywanie danych lokalnie. Nie wiadomo jednak, co stanie się wówczas ze starszymi urządzeniami pozbawionymi czytnika linii papilarnych.

Wreszcie po trzecie, takie utrudnianie śledzenia poprzez pakiety powitalne kojarzy mi się automatycznie z iBeacons. To technologia Apple'a wprowadzona w iOS 7 (wraz API dla deweloperów), pozwalająca na lokalizowanie urządzeń w pomieszczeniach. Jest wykorzystywana np. w Apple Store.

Na postawione pytania będzie można odpowiedzieć dopiero po wnikliwszej analizie. Na szczęście jest na nią jeszcze trochę czasu: zaledwie tydzień temu udostępniono pierwszą betę iOS 8, a finalna wersja pojawi się za kilka miesięcy.

Muszę zachować powściągliwość i na pewno nie pozwolę sobie na huraoptymizm. The Verge napisało, że "dla Apple'a wygrała prywatność". Coś w tym jest i należy oddać firmie z Cupertino, że stara się chronić użytkowników (tym bardziej że akurat w tej kwestii procent uświadomionych waha się w granicy błędu statystycznego). Z ostatecznymi wnioskami i ewentualnymi gromkimi brawami wstrzymam się jednak do czasu, aż w tej sprawie nie będzie żadnych wątpliwości i randomizacja adresu MAC zostanie dokładnie zbadana.

Źródło artykułu:WP Komórkomania
© Komórkomania·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na