Saznajte kako funkcioniraju usluge geolokacije i tko saznaje vašu lokaciju kada je vaš pametni telefon zakači.
Vijest da je Qualcomm, vodeći proizvođač čipova za pametne telefone, pratio korisnike pomoću svoje geolokacijske usluge nedavno je izazvala manju pomutnju u tehničkoj štampi. U ovom postu ćemo odvojiti istinu od besmislica u toj priči i razgovarati o tome kako zapravo možete smanjiti neželjeno praćenje geolokacije. Prvo, pogledajmo kako geopozicioniranje zapravo funkcionira.
Kako mobilni uređaji određuju vašu lokaciju
Tradicionalna metoda geolokacije je primanje satelitskog signala od GPS, GLONASS, Galileo ili Beidou sistema. Koristeći ove podatke, prijemnik (čip u pametnom telefonu ili navigacijskom uređaju) izvodi proračune i određuje svoju lokaciju. Ovo je prilično precizna metoda koja ne uključuje prijenos informacija od strane uređaja – samo prijem. Ali postoje značajni nedostaci ove metode geolokacije: ne radi u zatvorenom prostoru i potrebno je mnogo vremena ako se prijemnik ne koristi svakodnevno. To je zato što uređaj mora znati tačnu lokaciju satelita da bi mogao izvršiti proračun, pa mora preuzeti tzv. almanah, koji sadrži informacije o položaju i kretanju satelita, a za preuzimanje je potrebno između pet i deset minuta ako se preuzima direktno sa satelita.
Kao mnogo brža alternativa preuzimanju direktno sa satelita, uređaji mogu preuzeti almanah s interneta u roku od nekoliko sekundi putem tehnologije koja se zove A-GPS (Assisted GPS). Prema originalnoj specifikaciji, prenose se samo stvarni satelitski podaci koji su trenutno dostupni, ali nekoliko programera je dodalo sedmičnu prognozu satelitskih pozicija kako bi ubrzali izračunavanje koordinata čak i ako prijemnik nema internet konekciju u narednim danima. Tehnologija je poznata kao Predicted Satellite Data Service ( PSDS ), a spomenuta Qualcommova usluga je najimpresivnija implementacija do sada. Pokrenut 2007. godine, usluga je nazvana “gpsOne XTRA”, preimenovana u “IZat XTRA Assistance” 2013. godine, a u svojoj najnovijoj inkarnaciji ponovo je preimenovana u “Qualcomm GNSS Assistance Service”.
Kako funkcioniše prijem satelitskog signala u zatvorenom prostoru i šta je SUPL
Kao što je gore spomenuto, još jedan problem s geopozicioniranjem pomoću satelitskog signala je taj što on možda nije dostupan u zatvorenom prostoru, tako da postoje i drugi načini određivanja lokacije pametnog telefona. Klasična metoda iz devedesetih godina je da se provjeri koje bazne stanice se mogu primiti na trenutnom mjestu i izračunati približnu lokaciju uređaja upoređivanjem jačine njihovog signala znajući tačnu poziciju stanica.
Uz manje modifikacije, ovo podržavaju i moderne LTE mreže. Pametni telefoni također mogu provjeriti obližnje Wi-Fi pristupne tačke i odrediti njihovu približnu lokaciju. Ovo obično omogućavaju centralizirane baze podataka koje pohranjuju informacije o Wi-Fi pristupnim tačkama i koje pružaju određene usluge, kao što je Google Location Service.
Sve postojeće metode geopozicioniranja definirane su SUPL-om (Secure User Plane Location), standardom koji podržavaju mobilni operateri i programeri pametnih telefona, mikročipa i operativnih sistema. Svaka aplikacija koja treba da zna lokaciju korisnika dobija je od mobilnog operativnog sistema koristeći najbržu i najprecizniju kombinaciju metoda koje su trenutno dostupne.
Privatnost nije zagarantovana
Pristup SUPL uslugama ne mora rezultirati kršenjem privatnosti korisnika, ali u praksi podaci često procure. Kada vaš telefon odredi vašu lokaciju koristeći obližnje bazne stanice, mobilni operater tačno zna koji je pretplatnik poslao zahtjev i gdje se nalazio u tom trenutku. Google unovčava svoje Usluge lokacije tako što bilježi lokaciju i identifikator korisnika; međutim, tehnički ovo nije potrebno.
Što se tiče A-GPS-a, serveri u teoriji mogu pružiti potrebne podatke bez prikupljanja identifikatora pretplatnika ili pohranjivanja bilo kojeg od njihovih podataka. Međutim, mnogi programeri rade i jedno i drugo. Androidova standardna implementacija SUPL- a šalje pametnom telefonu IMSI (jedinstveni SIM broj) kao dio SUPL zahtjeva. Qualcomm XTRA klijent na pametnom telefonu prenosi pretplatnicima „tehničke identifikatore“ , uključujući IP adrese. Prema Qualcomm-u, oni “de-identifikuju” podatke; odnosno brišu zapise koji povezuju identifikatore pretplatnika i IP adrese nakon 90 dana, a zatim ih koriste isključivo u određene “poslovne svrhe”.
Jedna važna stvar: podaci iz A-GPS zahtjeva ne mogu se koristiti za utvrđivanje lokacije korisnika . Almanah dostupan sa servera isti je bilo gdje na Zemlji — to je uređaj korisnika koji izračunava lokaciju. Drugim riječima, sve što vlasnici ovih servisa mogu pohraniti su informacije o korisniku koji u određeno vrijeme šalje zahtjev serveru, ali ne i lokacija korisnika.
Optužbe protiv Qualcomma
Publikacije koje kritiziraju Qualcomm citiraju istraživanje izvjesnog nekoga tko se zove Paul Privacy objavljeno na web stranici Nitrokey. List tvrdi da pametni telefoni sa Qualcomm čipovima šalju lične podatke korisnika na servere kompanije preko nešifrovanog HTTP protokola bez njihovog znanja. Ovo se navodno dešava a da to niko ne kontroliše, jer je funkcija implementirana na hardverskom nivou.
Uprkos gore navedenim problemima privatnosti podataka od kojih pate kao što je Qualcommova GNSS usluga pomoći, istraživanje donekle plaši i obmanjuje korisnike, a sadrži i niz netočnosti:
- U starim pametnim telefonima, informacije su se zaista mogle prenositi preko nesigurnog HTTP-a, ali Qualcomm je 2016. popravio tu XTRA ranjivost .
- Prema ugovoru o licenci, informacije poput liste instaliranih aplikacija mogu se prenijeti putem XTRA servisa, ali praktični testovi (inspekcija paketa i proučavanje Android izvornog koda ) nisu pokazali dokaz da se to zaista događa.
- Suprotno početnim tvrdnjama istraživača, funkcija dijeljenja podataka nije ugrađena u mikročip (baseband) već je implementirana na nivou OS-a, tako da se svakako može kontrolisati: od strane OS programera, kao i od strane modding zajednice. Zamjena i deaktiviranje određenih SUPL usluga na pametnom telefonu poznata je vještina od 2012. godine , ali to je učinjeno kako bi GPS radio brže, a ne iz razloga privatnosti.
Zaštita od špijuniranja: za sve i za posebno oprezne
Dakle, Qualcomm nas (vjerovatno) ne prati. Međutim, praćenje putem geolokacije je moguće, ali na sasvim drugom nivou: aplikacije za vremensku prognozu i drugi naizgled bezopasni programi koje koristite svakodnevno to rade sistematski. Ono što predlažemo da svi trebaju učiniti je jedna jednostavna, ali važna stvar: minimizirati broj aplikacija koje imaju pristup vašoj lokaciji . Na kraju krajeva, možete ručno odabrati mjesto da biste dobili vremensku prognozu, a unošenje adrese za dostavu prilikom kupovine putem interneta nije velika stvar.
Oni od vas koji žele spriječiti da se njihova lokacija bilo gdje evidentiraju trebali bi poduzeti nekoliko dodatnih zaštitnih koraka:
- Onemogućite sve usluge geolokacije osim dobrog starog GPS-a na svom pametnom telefonu.
- Koristite napredne alate da blokirate pristup SUPL uslugama vašeg telefona. U zavisnosti od modela pametnog telefona i tipa operativnog sistema, ovo se može uraditi filtriranjem DNS servera , sistemskog zaštitnog zida, rutera za filtriranje ili namenskih postavki pametnog telefona .
- Najbolje je izbjegavati korištenje mobilnih telefona… u potpunosti! Čak i ako uradite sve gore navedeno, mobilni operater i dalje zna vašu približnu lokaciju u svakom trenutku.
preuzeto sa https://www.kaspersky.com/blog/
Stan Kaminsky
Economics. Eschatology. Infosec.