Znajdź zawartość

Trevor Eckhart opublikował w sieci film, który dowodzi, że na milionach smartfonów zostało zainstalowane oprogramowanie szpiegujące. Prezentacji dokonano na urządzeniu firmy HTC, jednak Eckhart mówi, iż podobny program firmy Carrier IQ znajduje się na telefonach Samsunga, Nokii, RIM-a oraz urządzeniach korzystających z systemu Android. W sprawie filmu wypowiedział się były oskarżyciel Departamentu Sprawiedliwości, profesor Paul Ohm z University of Colorado Law School. Jeśli Carrier IQ w jakiś sposób przekonało producentów telefonów do zainstalowania oprogramowania zapisującego wszelkie naciśnięcia klawiszy, sesje internetowe i wysyłającego gdzieś te dane, to mamy tutaj do czynienia z podsłuchem definiowanym przez prawo federalne. A to daje osobom poszkodowanym prawo do wystąpienia z pozwem i domagania się wysokich odszkodowań. Eckhart przed pokazem zresetował telefon do ustawień fabrycznych i nie nawiązywał żadnych połączeń. Następnie udowodnił, że każde naciśnięcie klawiszy jest natychmiast wysyłane do programu ukrytego głęboko w telefonie. Aplikacja otrzymuje dane o naciśniętych klawiszach jeszcze zanim otrzymają się inne programy, dla których dane te są przeznaczone. Program firmy Carrier IQ przechwyci to, co napiszemy w telefonie wcześniej, niż zobaczymy nasz tekst na wyświetlaczu. Następnie Eckhart połączył się z siecią Wi-Fi i wszedł na Google'a. Mimo, iż nie dał wyszukiwarce prawa do dzielenia się informacjami o swojej lokalizacji, program Carrier IQ zanotował ją. Był też w stanie zachować tekst, który Eckhart pisał po wejściu na witrynę chronioną protokołem SSL. Nie wiadomo, co się dzieje z danymi zapisywanymi przez program Carrier IQ. Firma chwali się na swojej stronie, że jej oprogramowanie zainstalowano na 140 milionach urządzeń. Jednocześnie twierdzi, że na potrzeby swoich klientów, którymi są operatorzy sieci komórkowych, zbiera jedynie ograniczoną liczbę „informacji operacyjnych". Profesor Ohm mówi, że nawet jeśli z danych takich, przed ich wysłaniem na zdalny serwer, usuwane są informacje pozwalające zidentyfikować użytkownika, to i tak zgodnie z amerykańskim prawem Carrier IQ, a prawdopodobnie też jego klienci, który korzystali z takiej usługi, mogą spodziewać się kosztownych pozwów. Uczony przypomina, że gdy pracował w Departamencie Sprawiedliwości pozywaliśmy ludzi za instalowanie na komputerach oprogramowania o takich możliwościach. Jeśli sprawa trafi do sądu, Carrier IQ będzie się zapewne broniło twierdząc, że użytkownicy zgodzili się na jakąś formę śledzenia podpisując umowę z operatorem telefonii komórkowej. Eckhart mówi jednak, że gdy włączył tryb samolotowy, zamykając połączenie z siecią operatora i łącząc się tylko z Wi-Fi, oprogramowanie Carrier IQ nadal zapisywało wciskane klawisze. Przypomina, że operator definiuje swoją usługę, jako swoją własną sieć. Nie rozumiem, w jaki sposób mój telefon podłączony do mojej sieci miałby być ich usługą i jak mogliby mieć prawo do patrzenia, co robię. Profesor Ohm przypomina też, że nawet gdy telefon podłączony jest do sieci operatora, to tylko i wyłącznie operator jest chroniony umową podpisaną z użytkownikiem. A to znaczy, że pośrednicząca w zbieraniu danych firma zewnętrzna może zostać pozwana przez użytkowników, którzy nie wiedzieli o jej działaniach i nie wyrazili na nie zgody.

Pojawił się kolejny pozew zbiorowy związany z obecnością oprogramowania firmy Carrier IQ na smartfonach. Pozew skierowany jest przeciwko firmom Apple, HTC, Samsung, Motorola, AT&T, Sprint, T-Mobile oraz Carrier IQ. Cztery osoby, które wystąpiły z pozwem, oskarżają firmy o naruszenie ustaw Federal Wiretap Act, Stored Electronic Communications Act, Federal Computer Act oraz Abuse Act. Operatorzy sieci komórkowych bronią się twierdząc, że dane są zbierane tylko w celach diagnostycznych. Z kolei producenci smartfonów mówią, iż zainstalowali kontrowersyjne oprogramowanie na prośbę operatorów. Wspomniany pozew to co najmniej trzeci wniosek skierowany do sądu w związku z ujawnieniem, że obecne w milionach telefonów oprogramowanie Carrier IQ prawdopodobnie szpieguje użytkowników. W miarę, jak sprawa nabiera rozgłosu i interesuje się nią coraz więcej osób, pojawiają się nowe informacje na ten temat. Część specjalistów ds. bezpieczeństwa twierdzi, że program nie jest keyloggerem ani rootkitem. Niezależnie jednak od tego, Carrier IQ prawdopodobnie będzie musiała gęsto się tłumaczyć. Republikański senator Edward Markey już poprosił Federalną Komisję Telekomunikacji (FTC) o wszczęcie śledztwa. Sprawą zainteresowały się też urzędy w Unii Europejskiej. Apple już oświadczyło, że przygotowuje poprawkę, usuwającą sporne oprogramowanie ze wszystkich iPhone'ów.

Dwóch posłów z Izby Reprezentantów, Ed Markey (D) i Joe Barton ®, poczuło się zaniepokojonych ostatnimi artykułami z The Wall Street Journal, dotyczącymi prywatności w internecie. Szczególnie zaalarmował ich test, który pokazywał, że handel informacjami stał się internetową żyłą złota. W związku z tym prawodawcy wysłali list to 15 dużych witryn, w tym należących do Yahoo!, Microsoftu i Comcastu, w których proszą o wyjaśnienie pewnych kwestii związanych z prywatnością użytkowników. Markey i Barton to ważni członkowie Komitetu Handlu i Energii Izby Reprezentantów. Ich list ma związek z toczącymi się w tym komitecie pracami dotyczącymi uregulowań prawnych chroniących internautów. Komitet chce, by nowe przepisy zostały uchwalone jeszcze w bieżącym roku. We wspomnianym liście, który trafił m.in. do MSN.com, Aol.com, MySpace.com czy Careerbuilder.com posłowie pytają m.in. o to kim są partnerzy tych witryn i w jaki sposób używają one zebranych danych. Padło też pytanie o sprzedaż danych i inne sposoby zarabiania na nich. Parlamentarzyści dali witrynom tydzień na udzielenie odpowiedzi. Przedstawiciele Comcastu i Yahoo! nie ustosunkowali się jeszcze do listu. Z kolei rzecznik prasowa Microsoftu, Christina Pearson powiedziała, że firma poważnie traktuje spoczywającą na niej odpowiedzialność za ochronę prywatności osób używających produktów i usług Microsoftu. Zapewniła, że koncern będzie współpracował z Bartonem i Markeyem. Wysiłki posłów popiera Jeffrey Chester, dyrektor Center for Digital Democracy. "Markey i Barton od dawna pracują razem, by dobrze poznać kwestie prywatności i spowodować, by największe firmy były odpowiedzialne za jej ochronę. Dzięki danym, które zgromadzili już wkrótce będą mieli dokładny obraz tego, w jaki sposób informacja jest po cichu zbierana bez naszej zgody" - mówi. Jednym z pomysłów Komisji Handlu i Energii jest ustawa Best Practices Act, zaproponowana przez Booby'ego Rusha. Przewiduje ona, że witryny, chcąc dzielić się ze swoimi partnerami informacjami o użytkownikach, będą musiały najpierw uzyskać zgodę użytkowników. Ponadto zgoda będzie wymagana też przy każdorazowej zmianie sposobu gromadzenia informacji. Ustawa przewiduje też, że osoby prywatne, prokuratorzy stanowi i Federalna Komisja Handlu będą mogli występować na drogę sądową przeciwko witrynom, naruszającym prawo do prywatności.

Im więcej mówimy o prywatności w Sieci, tym bardziej jesteśmy w niej szpiegowani. Śledzenie użytkowników stało się prawdziwą żyłą złota dla wielu firm. Dziennikarze The Wall Street Journal przeprowadzili testy na 50 najpopularniejszych witrynach w USA. To na nich Amerykanie dokonują 40% ogólnej liczby odsłon pochodzących z tego kraju. Po wizycie na każdej z tych stron (znalazła się wśród nich również witryna wsj.com), dokładnie przyjrzano się plikom i programom, które pozostawiły one na komputerze testowym. Okazało się, że 50 witryn umieściło 3180 plików. Około 30% z nich były to niewinne pliki z zapisanymi hasłami użytkownika czy najbardziej popularnymi tekstami. Jednak aż 2224 pliki zostały zainstalowane przez 131 przedsiębiorstw, z których wiele żyje ze śledzenia użytkowników i sprzedawania baz danych na ich temat. Najwięcej, bo 234 pliki instalowała witryna Dictionary.com. Wśród nich 223 pochodziło od firm śledzących użytkowników. Narzędzia do śledzenia użytkowników stały się tak zaawansowane, że wiele spośród największych amerykańskich serwisów nie miało pojęcia, że ich witryny pozostawiają na komputerach użytkowników pliki mocno naruszające prywatność. Na przykład po wizycie na witrynie MSN.com na testowym komputerze pojawił się plik z danymi dotyczącymi przewidywanego wieku użytkownika, kodu pocztowego, płci, szacowanych zarobków, stanu cywilnego, ew. posiadania dzieci i domu. Twórcą pliku jest firma Targus Information Corp. Zarówno Targus jak i Microsoft oświadczyli, że nie mają pojęcia, w jaki sposób plik z tak szczegółowymi danymi został wgrany przez MSN.com. Zapewnili też, że nie ma w nim niczego, co pozwalałoby jednoznacznie zidentyfikować właściciela komputera. Na razie w USA panuje olbrzymia dowolność w umieszczaniu cookies na maszynie użytkownika. Sądy, które dotychczas wypowiadały się w tej sprawie, zezwalały na stosowanie najprostszych ciasteczek. Nigdy nie zajmowały natomiast stanowiska odnośnie ich najbardziej zaawansowanych form. Dzięki nim właśnie możliwe jest tworzenie bardzo rozbudowanych profili użytkownika. Przy pierwszej wizycie na danej witrynie na nasz komputer trafia cookie z unikatowym numerem identyfikacyjnym. Gdy później odwiedzimy inną witrynę, która korzysta z technologii tej samej firmy, otrzymuje ona kolejną porcję informacji. Po jakimś czasie, na podstawie całego szeregu odwiedzanych przez nas stron, możliwe jest orientacyjne określenie naszego wieku, płci czy posiadania dzieci. Dziennikarze The Wall Street Journal przytaczają historię 17-letniej Cate Reid. System reklamowy Yahoo określił ją jako osobę płci żeńskiej, w wieku 13-18 lat, która martwi się, że ma nadwagę. W tym przypadku, wszystko się zgadza. Dziewczyna mówi dziennikarzom, iż rzeczywiście martwi się swoją wagą, ale stara się o tym nie myśleć. Jednak gdy korzysta z internetu natychmiast o problemie przypominają jej pojawiające się reklamy. Trafiają one do niej właśnie dzięki zebranym na jej temat informacjom. Na takich danych można zarobić olbrzymie pieniądze. Dane o osobach odwiedzających serwisy aukcyjne eBay oraz Expedia są zbierane przez firmę BlueKai. Każdego dnia sprzedaje ona 50 milionów fragmentów informacji, po 1/10 centa za sztukę. Jak łatwo obliczyć, codzienne przychody BlueKai tylko z tych dwóch witryn to 50 000 USD. Najczęściej witryny, na których znajduje się oprogramowanie zbierające dane, wiedzą o tym. Często dostają za to pieniądze. Jednak zdarza się, że użytkownicy są szpiegowani bez wiedzy właścicieli witryn. Dzieje się tak, gdy firmy zajmujące się zbieraniem danych umieszczają odpowiednie pliki w bezpłatnych programach czy wyświetlanych reklamach. Do informacji zebranych w Sieci są dodawane dane statystyczne na temat np. przychodów w danym regionie kraju, wykształcenia mieszkańców, gospodarki regionu czy geografii. Tworzone w ten sposób profile dobrze potrafią opisać śledzonego użytkownika. Wszystko to służy jednemu celowi - tworzeniu profili w czasie rzeczywistym, odgadywanie zamiarów użytkownika, np. dotyczących wyjazdu na wakacje czy odgadnięcie zdolności kredytowej i wyświetleniu odpowiedniej reklamy. Niektóre firmy z sektora finansowego dysponują już tak bogatymi bazami danych i tak zaawansowaną technologią, że w zależności od szacowanych przychodów i poziomu wykształcenia użytkownika, potrafią wyświetlać mu skonstruowane pod jego kątem swoje witryny. W ubiegłym miesiącu firma ubezpieczeniowa Byron Udell $ Associates testowała na swojej witrynie AccuquoteLife.com technologię, która np. osobie określonej jako mieszkaniec przedmieścia, z wykształceniem średnim, pochodzącym z okresu baby-boomu prezentowała ofertę polisy ubezpieczeniowej na kwotę 2-3 milionów dolarów. Natomiast starszy mieszkaniec wsi, zajmujący się pracą fizyczną widział po wejściu na tę samą witrynę propozycję wykupienia polisy o sumie ubezpieczenia wynoszącej 250 000 dolarów. "Kierujemy różnych ludzi na różne pasy autostrady" - mówi Sean Cheyney, jeden z menedżerów Byron Udell.

Organizacja Privacy International jest "niemal pewna", że Google zostanie oskarżone przed sądem o przestępstwo kryminalne. Sprawa ma związek ze śledzeniem prywatnych sieci bezprzewodowych przez samochody robiące zdjęcia do Street View. Google twierdzi, że zbieranie i przechowywanie danych, które nie powinny trafić na firmowe serwery, było działaniem niezamierzonym i jest efektem pomyłki jednego z inżynierów. Jednak PI uważą, iż audyt udowodni "kryminalne intencje". Niezależny audyt pokazuje, że system Google'a celowo oddzielał niezaszyfrowane dane użytkowników od innych informacji i zapisywał je na dysku twardym. To odpowiednik umieszczenia bez odpowiedniej zgody podsłuchu w telefonie - oświadczyli przedstawiciele PI. Jeśli rzeczywiście takie działanie zostanie udowodnione, Google może mieć poważne kłopoty prawne w 30 krajach na całym świecie. Privacy International ma zamiar zainteresować swoimi odkryciami Scotland Yard. Na razie nigdzie nie wytoczono przeciwko Google'owi najpoważniejszych oskarżeń. W kilku krajach toczy się śledztwo w sprawie. PI nie wierzy też w tłumaczenia Google'a. Mówienie, że chodzi o pomyłkę jednego inżyniera nie trzyma się kupy. To złożony kod, musiał więc zostać nań przeznaczony budżet, ktoś musiał go nadzorować. Google od dawna przecież utrzymuje, że wszystkie jego projekty są szczegółowo sprawdzane - twierdzi Simon Davies, szef Privacy International.

W wywiadzie dla Financial Times szef Google'a, Eric Schmidt stwierdził, że ostatni skandal z podsłuchiwaniem sieci Wi-Fi to wina jednego z inżynierów, który wprowadził do oprogramowania nieautoryzowany kod. Obecnie Google prowadzi wewnętrzne śledztwo przeciwko temu pracownikowi. Google od dawna utrzymywał, że samochody wykonujące zdjęcia do Street View przechwytują tylko adresy MAC oraz identyfikatory SSID urządzeń sieciowych. Okazało się jednak, że przechwytywano i przechowywano też dane z pakietów, wysyłanych przez te sieci. Schrzaniliśmy to. Bądźmy szczerzy - powiedział Schmidt. Niemcy, Francja, Hiszpania i Włochy zastanawiają się nad wszczęciem śledztwa przeciwko Google'owi. Tymczasem koncern winą obarcza jednego ze swoich programistów. Jednocześnie Schmidt stwierdził, że nie ograniczy swobody swoim pracownikom, gdyż negatywnie wpłynęłoby to na kreatywność. Zrzucanie winy na jednego z pracowników jest o tyle dziwne, że w 2008 roku Google złożyło wniosek patentowy opisujący technologię, która została wykorzystana do podsłuchiwania Wi-Fi przez samochody Street View. Opisuje on technologię przechwytującą dane i analizującą czas ich wysyłania, w celu ustalenia dokładnego położenia użytkownika, dzięki czemu możliwe będzie dostarczanie mu reklamy związanej z jego lokalizacją. Amerykańscy prawnicy, reprezentujący osoby, które wystąpiły w pozwach zbiorowych przeciwko Google'owi mówią, że złożenie wniosku patentowego to dowód, iż szpiegowanie użytkowników było zamiarem, a nie przypadkowym działaniem. Szef Google'a odrzucił jednocześnie oskarżenia o to, że firma staje się coraz bardziej arogancka. Próbujemy robić coś dla użytkowników, wbrew zorganizowanym posiadaczom naszych akcji, więc ci oskarżają nas o arogancję - powiedział.

Google udostępniło poprawkę do narzędzia Google Toolbar po tym, jak zostało ono "przyłapane" na śledzeniu działań użytkownika nawet po wyłączeniu. W ostatni poniedziałek profesor Ben Edelman z Uniwersytetu Harvarda opublikował wideo, które dowodzi, że Google Toolbar wysyła na serwery Google'a informacje o stronach odwiedzanych przez użytkownika nawet wówczas, gdy użytkownik wyłączył go w oknie, którego używa. Google Toolbar oferuje dwie opcje wyłączenia. Jedna to wyłączenie "całkowite", druga wyłączenie go "dla danego okna". Okazało się, że jeśli wykorzystamy drugą z opcji, to narzędzie i tak będzie wysyłało do Google'a informacje o odwiedzanych przez nas witrynach. Google przyznało się do błędu i poinformowało, że występuje on w wersjach od 6.3.911.1819 do 6.4.1311.42 dla Internet Explorera. Firma udostępniła poprawkę, którą można samodzielnie pobrać, a na dzisiaj zapowiedziała jej automatyczną instalację na komputerach użytkowników. Profesor Edelman odkrył również, że Google Toolbar wysyła do Google'a dane także wówczas, gdy próbujemy wyłączyć go za pomocą dostępnej w Internet Explorerze opcji "zarządzaj dodatkami". Edelman, znany krytyk Google'a, zauważa, że wiele rozszerzonych opcji Google Toolbar związanych jest z transmisją danych na serwery koncernu i trudniej jest je wyłączyć niż włączyć. Zdanie Edelmana niektórych wręcz nie sposób wyłączyć bez konieczności odinstalowywania całego narzędzia.