Velký Bratr iPhone?
Máte-li na svém iPhonu či iPadu 3G zapnuty lokalizační služby, vaše zařízení monitoruje všechny základnové stanice mobilních sítí i všechny přístupové body Wi-Fi sítí ve vašem dosahu a každých 12 hodin o nich referuje společnosti Apple.
Koncem minulého týdne, těsně před Velikonočními svátky, rozvířila hladiny mediálních vod z oblasti IT zpráva o tom, že většina mobilních zařízení od firmy Apple (nejen iPhonů 3G a vyšších, ale i iPadů 3G) sbírá a uchovává lokalizační údaje o svém provozu. Jde prý o chování, které přišlo s verzí 4 operačního systému iOS, a má se jednat o údaje popisující, kdy a kde se dané zařízení nacházelo (tj. zeměpisné souřadnice a časové razítko).
Jako první s touto zprávou přišli Pete Warden a Alasdair Allan na konferenci Where 2.0 o podnikání v oblasti lokalizačních služeb. Podle toho, jak vše prezentovali, by se mělo jednat o polohu zjišťovanou triangulací ze základnových stanic mobilních sítí – což způsobuje, že výsledné souřadnice nejsou až tak přesné. Navíc četnost získávání těchto souřadnic, coby údajů o aktuální poloze, má být dosti nepravidelná – což si oba vysvětlují tím, že nové sejmutí souřadnic může být iniciováno například přechodem do jiné buňky, nebo nějakým dějem v samotném zařízení.
Samotné lokalizační údaje pak jsou uchovávány v souboru s názvem „consolidated.db“, který ale není nijak chráněn proti neoprávněnému přístupu, ani šifrován. Ba co více: při každé synchronizaci s počítačem, skrze program iTunes, se přenáší na tento počítač, kde je volně dostupný komukoli, kdo s tímto počítačem může pracovat. Jedinou „ochranou“ tak je přejmenování souboru na pseudonáhodné jméno.
Co všechno iPhone uchovává?
Abych si ověřil, co všechno se takto uchovává, půjčil jsem si jeden iPhone 3G (sám používám mobil na jiné platformě), lokalizační data z něj zkopíroval a nechal zobrazit jedním z programů, které se mezitím vyrojily právě pro tento účel: pro snadné zpřístupnění a vizualizaci takto uchovávaných lokalizačních dat. Zde konkrétně programem iOS Tracker.Net, který je určen pro platformu MS Windows (zatímco pro MACy lze využít například program iPhone Tracker, přímo od Pete Wardena).
Výsledek odpovídal tomu, co a jak bylo v médiích prezentováno: seznam zeměpisných souřadnic, doplněný „časovými razítky“. Na následujícím obrázku vidíte příklad těchto dat v jednoduchém výčtu jejich numerické podoby.
Oba výše zmiňované programy umí promítnout lokalizační data do mapy a dokonce i zobrazovat je postupně tak, aby byla vidět trajektorie pohybu mobilu. Zobrazování pomocí iOS Trackeru se mi ale nepodařilo zprovoznit, a tak jsem data jednoduše vyexportoval (jako CSV) a nechal si je zobrazit na mapě pomocí služby OpenHeatMap. Výsledek vidíte na následujícím obrázku.
Přesnost této vizualizace ale není valná. Jde však na vrub služby OpenHeatMap, protože samotné údaje jsou přesnější (jak jsem si ověřil u jiné služby, konkrétně zde, která ale zobrazuje vždy jen jeden bod).
iPhone mapuje celou mobilní síť
Ještě mnohem zajímavější to ale bylo, když jsem se do získaných dat podíval přímo, pomocí jednoduchého prohlížeče databázových tabulek. Našel jsem zde totiž velmi detailní údaje o základnových stanicích, v jejichž dosahu se dotyčný iPhone pohyboval. A to včetně MCC (Mobile Country Code, 230 pro ČR), MNC (Mobile Network Code, 3 pro VF), LAC (Location Area Code), CI (Cell Identity) a dalších údajů, plus samozřejmě zeměpisné souřadnice. Malou ukázku těchto záznamů ukazuje následující obrázek, pro který jsem schválně zvolil i ukázku roamingu (kdy se dotyčný iPhone pohyboval v Lucembursku, s MCC 270).
Z obrázku lze také vyčíst, že takovýchto záznamů obsahoval iPhone na 4738, a to vždy jen z té mobilní sítě, do které se mobil úspěšně přihlásil – což v ČR byla síť Vodafonu (MNC s hodnotou 3) a v zahraničí síť příslušného roamingového partnera.
Celkově si dovolím konstatovat, že výsledkem je velmi podrobný „profil“ části příslušné mobilní sítě, který lokalizuje jednotlivé základnové stanice. Zahrnuje zřejmě všechny základnové stanice, resp. buňky, do jejichž dosahu se příslušný mobil (za dobu shromažďování údajů) kdy dostal. Samozřejmě nejde o celou síť příslušného operátora – ale pokud by se takovýchto seznamů dalo dohromady více, z různých iPhonů, už by se z toho asi dala získat poměrně přesná mapa skoro celé mobilní sítě.
Jen pro srovnání: podle tohoto zdroje má síť českého Vodafone přes 12 000 buněk, a tak zde uvedených cca 4700 odpovídá o něco více jak třetině. A mimochodem, údaj o počtu buněk Vodafone pochází z neoficiálního seznamu na webu gsmweb.cz, který dlouho a jistě pracně budují na Internetu sami uživatelé. Teď to za ně vlastně dělá sám každý iPhone či iPad 3G.
Zajímavé je také srovnání přesnosti: na následující trojici obrázků vidíte lokalizaci stejné základnové stanice podle údajů z iPhonu (horní obrázek), a podle údajů z gsmweb.cz ‚prostřední obrázek). Zaneseno do mapy vychází rozdíl odhadem na cca 100 metrů, viz spodní obrázek, s tím že přesnější je údaj z gsmweb.cz (kde je příslušná BTSka i nafocena).
iPhone skenuje i bezdrátové sítě
iPhone ale nesleduje pouze mobilní síť, nýbrž i Wi-Fi sítě ve svém dosahu. A těch v daném případě „naměřil“ ještě mnohem více, konkrétně 11510 (s různými BSSID), viz následující obrázek.
Pro jednotlivé přístupové body si iPhone pamatuje jejich BSSID (MAC adresu), zeměpisné souřadnice, čas (časové razítko), a také „horizontální přesnost“ (zřejmě míru přesnosti, s jakou získal polohu přístupového bodu WiFi sítě). Dále jsou v tabulce uvedeny i některé další údaje (viz struktura věty na dalším obrázku), ale ty již v případě mnou zkoumaného iPhonu byly zaplněny stejnými implicitními hodnotami.
Co iPhone naopak nesbíral, jsou jména sítě (SSID), údaje o zabezpečení, maximální rychlosti či frekvenčním pásmu a kanálu.
Z celkového počtu „sesbíraných“ údajů vyplývá, že jde o přístupové body, do jejichž dosahu se předmětný iPhone kdy dostal – a nikoli o přístupové body těch sítí, ke kterým se kdy aktivně přihlásil. Protože těch by bylo podstatně méně.
Co řekl Apple již před rokem?
Vraťme se nyní od „datového“ pohledu na věc k obecnějším aspektům: to, že iPhony (a podle informací z médií i iPady 3G) sbírají takováto data, není úplnou novinkou. Přišlo se na to již vloni, kdy Apple aktualizoval „Předpis o ochraně osobních údajů“ v rámci svých smluvních podmínek, a přidal do nich následující odstavec (v české verzi):
Služby podle místa uživatele
Aby společnost Apple mohla v souvislosti s produkty Apple poskytovat služby podle místa uživatele, může společnost Apple a její partneři a držitelé licence shromažďovat, užívat a sdílet přesné lokalizační údaje, včetně geografické polohy vašeho počítače nebo zařízení Apple v reálném čase. Tyto lokalizační údaje jsou shromažďovány anonymně způsobem, který neumožňuje zjistit vaši totožnost, a společnost Apple a její partneři a držitelé licence je používají, aby vám mohli poskytovat produkty a služby podle místa uživatele a tyto produkty a služby dále zlepšovat. Údaje o geografické poloze můžeme například sdílet s poskytovateli aplikací, pokud se přihlásíte k užívání jejich služeb podle místa uživatele.
To přimělo dva americké poslance, aby „interpelovali“ firmu Apple a vyžádali si od ní vysvětlení. To také dostali a jeho obsah do značné míry vysvětluje to, na co se „přišlo“ dnes: Apple ve své odpovědi poslancům popisuje, že do verze 3.1 svého iOS pro poskytování služeb, založených na zjištění polohy (LBS, Location Based Services) využíval databáze Google a Skyhook Wireless. Od verze 3.2, vydané v dubnu 2010, již využívá vlastní databáze, které musí neustále aktualizovat. No a právě kvůli tomu sbírá od uživatelů údaje o geografické poloze základnových stanic mobilní sítě i přístupové body Wi-Fi sítí.
Data, která Apple takto získává, jsou prý zcela anonymizována a jejich rozsah by měl odpovídat tomu, co jsem popisoval výše na příkladu vlastních zjištění.
Jak to funguje?
Ve své odpovědi Apple také popisuje, jak přesně vše funguje: ke sběru a uchovávání údajů o základnových stanicích mobilní sítě a přístupových bodech Wi-Fi, prý dochází jen tehdy, pokud má uživatel na svém zařízení zapnuty „Polohové služby“, viz obrázek.
Konkrétní data pak jsou sbírána v situaci, kdy mobil vyhledává mobilní síť či se snaží obnovit přerušené spojení, nebo když si uživatel pustí nějakou aplikaci, která vyžaduje informace o poloze. Což by mělo být signalizováno ikonkou, kterou vidíte na následujícím obrázku u Facebooku.
Stejně tak firma Apple sama popisuje, že takto sbíraná data o základnových stanicích a přístupových bodech jsou doplněna informací o poloze od GPS v zařízení (jsou-li k dispozici), následně šifrována a odesílána společnosti Apple každých 12 hodin po Wi-Fi připojení (viz strana 7 odpovědi).
Co se zjistilo dnes?
To, co minulý „vyplulo na povrch“ a dostalo se do titulků mnoha médií, do značné míry zapadá do toho, co sama firma Apple popsala ve zde citované odpovědi ještě v loňském roce. Až na jeden velmi podstatný detail, kterým je manipulace se shromažďovanými lokalizačními údaji: Apple píše, že tyto údaje jsou šifrovány a odesílány. Což se možná děje – ale vedle toho jsou ta samá data uchovávána i nezašifrovaná ve volně přístupném souboru, který se navíc přenáší, skrze synchronizaci programem iTunes, na počítač kde iTunes běží. A zde jsou tato data dostupná komukoli, kdo ví kam pro ně sáhnout. Viz výše popisovaný příklad, kdy jsem si půjčil iPhone (od rodinného příslušníka) a data si snadno zkopíroval.
Stejně tak mohl to samé udělat kdokoli, kdo by se téhož zařízení alespoň na chvíli fyzicky zmocnil a lokalizační data si zkopíroval. Skrze ně by pak získal poměrně přesný obrázek o tom, kde a jak se majitel zařízení pohyboval. Což je zásadní bezpečnostní problém - protože i jinak anonymní data, ale vztažená ke zcela konkrétnímu zařízení a jeho uživateli, mohou být velmi citlivými osobními údaji.
Alespoň nějakou obranou, kterou může aplikovat sám uživatel, je zaheslovat data, vytvářená jako záloha při synchronizaci mobilního zařízení s programem iTunes. Postup ukazuje obrázek.
Samozřejmě také může zakázat jakýkoli sběr lokalizačních dat na svém zařízení, skrze zákaz „Polohových služeb“, viz předchozí obrázky. Pak ale o ně také přijde.
K čemu je to všechno dobré?
Zkusme se nyní zamyslet nad tím, proč vůbec Apple sbírá data výše popisovaným způsobem. A proč tak dělají i další subjekty, protože Apple v tom rozhodně není sám.
Odpověď na otázku „proč“ může být zdánlivě jednoduchá: trh se službami, založenými na zjištění polohy (location-based services) je dnes odhadován na 20 miliard dolarů. A tak se na něj velcí hráči důkladně připravují. Především tím, aby co nejlépe znali vaši polohu.
Jenže: zdaleka ne každé zařízení bude schopné si samo, dostatečně přesně a také dostatečně rychle určit svou polohu. Přijímače GPS jsou sice zabudovávány do stále více mobilních zařízení, ale nikdy to nebudou všechna zařízení. Stejně tak nebudou všechna vždy zapnuta (kvůli šetření energie) a fungovat dostatečně rychle (při určování své polohy). Takže je potřeba mít v záloze nějaké alternativní řešení, které by fungovalo dostatečně rychle a bylo dostupné pro co nejvíce zařízení, včetně těch bez GPS.
Příkladem mohou být právě základnové stanice mobilních sítí a přístupové body Wi-Fi sítí: pokud někde existuje jejich databáze, ve které jsou uvedeny jejich geografické podoby, lze přes ně také určit aktuální polohu mobilního zařízení. Byť ne tak přesně, jako s vlastní GPSkou přímo v zařízení.
Takovéto databáze přitom již existují. Ostatně, výše byly dvě zmíněny (databáze firem Skyhook a Google). A třeba databáze přístupových bodů Wi-Fi od Google je určitým způsobem veřejně dostupná: znáte-li BSSID (nebo-li MAC adresu) některého Wi-Fi AP, zkuste ji zadat zde a nechat si ji vyhledat v databázi, i se zobrazením na mapě. Příklad vidíte na následujícím obrázku.
Jak již zaznělo výše, i společnost Apple původně používala databázi Googlu (a Skyhook): když nějaké její zařízení potřebovalo zjistit svou polohu a neznalo ji, zjistilo si „okolní“ BTSky a/nebo Wi-Fi AP, a vzneslo dotaz do těchto databází. V odpovědi pak dostalo údaje, ze kterých si již mohlo dopočítat svou polohu, na principu triangulace. A jak Apple ve své již citované odpovědi z loňského roku také píše, její zařízení s GPSkou dokonce posílala aktualizační údaje o poloze základnových stanic a přístupových bodů (anonymně) i do Googlu, za účelem zkvalitnění těchto databází. Tedy: činila tak ještě ve verzi 3.1 svého iOSu, zatímco od verze 3.2 již používá (a aktualizuje) vlastní databáze.
A co Google?
Média minulý týden „objevila“ to, že lokalizační údaje sbírá i Google, ze zařízení na „své“ platformě Android. To také není žádnou novinkou, a i zde nejspíše vše funguje na stejném principu jako u Applu: i Google to jistě má dobře ošetřené ve svých smluvních podmínkách a také deklaruje, že všechny lokalizační informace sbírá výhradně v anonymizované podobě. A také on umožňuje na konkrétním zařízení sběr takovýchto informací vypnout. Způsob, jak toho dosáhnout, ukazují následující obrázky.
Google také, na rozdíl od Apple, na současnou mediální kauzu reagoval a deklaroval, že v jeho případě probíhá sběr anonymizovaných údajů striktně na principu opt-in. Tedy pouze tak, že uživatel se k tomu sám dobrovolně přihlásí.
Jak ale upozorňuje řada zdrojů (viz např. zde), zase tak čistý opt-in to také není: příslušné políčko, vyjadřující souhlas se sběrem lokalizačních informací, má být při nové instalaci implicitně zaškrtnuto a je nutné jeho zaškrtnutí zrušit. Vlastně je to spíše takový opt-out.
Co říci závěrem?
Snad jen to, že tytam jsou doby, kdy člověk měl ještě šanci mít pod úplnou kontrolou to, co dělá jeho počítač. Debatovat asi lze o tom, kdy přesně jsme o tuto možnost přišli (zda již s nástupem prvních operačních systémů a překladačů či později), ale dnes už je skutečně všechno jinak. Vládu nad našimi počítači, ale stále více i mobily a tablety přebírají jiní, kteří ve stále větší míře rozhodují o tom, co a jak je pro nás jako uživatele nevýhodnější.
O tom, jak a co přesně přitom dělají, a co všechno se na námi používaných zařízeních doopravdy odehrává, se mnohdy dozvídáme od třetích stran a jen se zpětnou platností, když se objeví nějaká mediálně atraktivní kauza. Zatím jsme stále ujišťováni, že jsou vždy dodržovány určité mantinely korektnosti. Jenže ověřit si, že tomu tak doopravdy je, je stále těžší. Nehledě na to, že ony mantinely se mohou všelijak „jemně“ posouvat, až se časem dostanou do úplně jiné polohy. Vždyť byznys je byznys …
Nebo jsem příliš pesimistický?