Геотаргетинг является важной функцией мобильных устройств на Android и iOS. Но геоданные могут параллельно накапливаться у телеком-оператора и вендора ОС, а впоследствии использоваться в неконтролируемых пользователем сценариях. Можно ли избавиться от этой зависимости?
- Введение
- Подход Google
- Точки управления геотаргетингом
- Управлять локально или централизованно?
- Как контролировать геотаргетинг на Android?
- Запретить нельзя разрешить
- Выводы
Введение
Когда вы в последний раз пользовались бумажными картами? Скорее всего, это было очень давно, некоторые люди даже не держали их в руках. Сейчас все пользуются смартфонами. Картографический сервис удобен и позволяет получить разнообразную информацию: найти место, где вы находитесь, ближайшие рестораны, магазины, театры, банки, узнать продолжительность прогулки или поездки до них. Можно легко вызвать такси и не объяснять водителю, где вы. Если сервис поддерживает интеграцию, то водитель увидит ваше местоположение в своём смартфоне.
Но так ли безобидно всё это? Речь даже не о том, что персональные данные могут быть украдены и оказаться доступными посторонним. Сведения о геолокации могут передаваться и использоваться в иных целях, причём часто в таких случаях разрешение от пользователя получено косвенно и он даже не подозревает, как именно эксплуатируются его данные.
Тему использования мобильной информации мы раскроем в других материалах. Сейчас мы хотим показать, насколько широк спектр записываемых геоданных, чтобы затем рассказать, как можно ограничить их перехват.
Зайдите, например, в программу Google Maps. Если вы пользуетесь Android, она входит в базовый набор устанавливаемых в ОС приложений. С большой вероятностью вы обнаружите там траекторию своих перемещений. Зачем сохраняются эти данные? Когда вы соглашались с предоставлением доступа к геоданным, вы наверняка не просили, чтобы Google отслеживал каждое ваше перемещение и запоминал маршруты.
Но независимо от вашего желания, просто запустив в первый раз смартфон с Android, вы автоматически столкнётесь с тем, что ваш телефон отслеживает ваше местоположение. Логика сводится к тому, что вы приобретаете смартфон в той конфигурации, которую Google (точнее, компания, которая осуществляла локализацию, потому что национальные настройки сильно различаются) посчитала оптимальной.
Отметим, что этот выбор определяется желанием вендора облегчить начало работы с функциями ОС, а также требованиями регулятора и предпочтениями локальной аудитории.
Как бы то ни было, отслеживание геолокации оказывается включённым. Если для вас важно, чтобы эти данные были под более строгим контролем, то можно ограничить соответствующие возможности. Тем самым вы уменьшите охват автоматической слежки, хотя полностью избавиться от таких функций не удастся.
Подход Google
Прежде всего отметим два принципа, которые положены в основу платформы Android и её безопасности. Первый: Google предлагает такую начальную настройку, чтобы раскрыть портфель своих услуг в максимально полной конфигурации без необходимости донастройки. Поэтому многие базовые функции, востребованные среди большинства пользователей, уже включены.
Второе — Google организовывает потребление всех мобильных услуг, а не просто настраивает мобильную ОС. Экосистема собирает вместе все устройства, которыми владеет пользователь.
Объединяющим элементом экосистемы служит персональный аккаунт. Он позволяет управлять централизованно всеми настройками привязанных к нему устройств. Но экосистема построена на объектно-ориентированных (ОО) принципах. Там свойства объекта наследуются и могут быть переопределены на более низком уровне.
Такая система взаимосвязей несколько непривычна для рядовых пользователей. Они считают систему линейной: если в одном месте был сделан определённый выбор, то он распространяется на всю экосистему. Но в реальности всё иначе: одни и те же параметры могут быть назначены как на верхнем уровне (персональный аккаунт), так и на более низком (устройство).
Какие последствия это имеет? Приоритетом будет обладать «нижнее» значение (на уровне устройства). Если там нет соответствующих настроек, то они берутся с верхнего уровня (персональный аккаунт). Привязка телефона к аккаунту происходит при его первой загрузке; изменить это уже невозможно, перенести данные также не всегда просто. Если переустановить ОС, будут утрачены вообще все прежние настройки.
Точки управления геотаргетингом
Первым делом идём по следующему адресу. Это удобнее сделать на настольном компьютере (хотя позднее вы увидите, что все параметры настройки доступны и через телефон). В разделе «Мои действия в Google» (My Google Activity) снимаем значок выбора для трёх типов активности: «История приложений и веб-поиска» (Web & App Activity), «История местоположений» (Location History) и «История YouTube» (YouTube History).
Рисунок 1. Центр слежения
Здесь стоит уточнить, что Google знает о местонахождении ваших мобильных устройств (закреплённых за текущим аккаунтом). Например, ему известны ваши поездки по всему миру.
Рисунок 2. Android отслеживает по умолчанию все перемещения
Здесь же доступен дополнительный набор параметров, связанных с персонализацией рекламы и настройкой конфиденциальности и безопасности в аккаунте Google.
Рисунок 3. Центр управления рекламой
При желании можно удалить ранее собранные данные. Но сразу обратим внимание, что удаление данных через интерфейс не обязательно означает фактическое их стирание. Как показывает практика социальных сетей, данные только помечаются к удалению. Они располагаются в облаке и даже по официальным сведениям исчезают только через месяц после получения соответствующей команды. Удаляются ли они фактически, неизвестно. Делается это, конечно, для того, чтобы введённые пользователем данные можно было использовать для других задач, устройств, возможности переноса и восстановления. Здесь не надо искать злого умысла. Но и оставаться в безмятежности тоже не стоит.
Если вы хотите быть уверенным, что никто кроме вас не сможет удалить сохранённую историю данных (это также важно), то необходимо найти пункт «Управление верификацией моей активности» (Manage My Activity Verification) и включить эту функцию. После включения этого признака Google будет запрашивать пароль при каждой попытке просмотра или удаления истории в вашей учётной записи.
Управлять локально или централизованно?
Повторим, что все перечисленные операции можно сделать и через Android. Для этого в меню «Настройки» (Settings) следует выбрать пункт «Отслеживание действий» (Activity Controls). В ответ загрузится страница со знакомым интерфейсом, где будут доступны все команды, которые упоминались ранее.
Рисунок 4. Управлять геотаргетингом можно и со смартфона
Однако напомним об ОО-подходе! Централизованное управление делегирует свои настройки подключённым устройствам, но все параметры можно заменить на другие индивидуально на каждом из них. Изменить их «сверху» не позволит политика безопасности, которая не даёт дистанционно управлять смартфоном.
Всегда ли это справедливо? Конечно, нет. Первый способ обхода — это, конечно, фишинг. Пользователя можно убедить изменить свои настройки. Второй способ — это получение прав суперпользователя (root), в т. ч. через заражение смартфона вредоносной или нежелательной программой. Новые риски в этой области создаёт то, что российские пользователи попали в полосу санкционных ограничений, из-за которых ряд привычных приложений приходится скачивать не из официального магазина Google. Поэтому следует уделять особое внимание тому, что и как устанавливается в смартфоне.
Наконец, третий способ — установка обновлений Android (обычно они выпускаются раз в полгода). Дело в том, что при обновлении прежние настройки могут быть сброшены до значений по умолчанию. Поэтому после каждой такой операции желательно проверять свои обновлённые настройки.
Как контролировать геотаргетинг на Android?
Как временно включить или отключить запись GPS-локаций для Android-смартфона, которые могут быть украдены? Хотя эта команда находится «под рукой», обычно пользуются ею редко. Многие даже не обращали внимания на этот переключатель.
Чтобы перейти к нему, достаточно провести сверху вниз по экрану смартфона и найти среди значков кнопку «Локация» (Location). Именно здесь происходят включение и отключение геотаргетинга. Благодаря этой опции можно временно «скрыться», а когда потребуется, подключиться к «слежке».
Рисунок 5. Кнопка «Локация» легко доступна из любой программы
Но отметим, что «подключение» полезно для удобной работы со смартфоном, ведь геотаргетинг связан не только с работой картографических приложений, но и с другими задачами. Например, он помогает легко ориентироваться в метрополитене через приложение «Яндекс.Метро», когда ближайшая станция подсвечивается в интерфейсе. Отключение геотаргетинга приведёт к потере такого указания.
Рисунок 6. Геотаргетинг используется во многих приложениях
Гибкость подхода Google состоит в том, что для тех, кто боится неконтролируемого использования геотаргетинга, Android может ограничить сбор геоданных пределами текущего устройства, установив при этом запрет на экспорт информации в облачное хранилище Google. Для установки запрета следует отключить экспорт в опции «Передача данных» (Google Location Sharing).
Рисунок 7. Управление передачей геоданных доступно из меню «Локация»
Можно использовать также более глубокую детализацию через управление доступом к геоданным со стороны конкретных приложений. Право доступа по умолчанию для них задаётся индивидуально в их установочном манифест-файле. У пользователя нет другого выбора, кроме как принять эти параметры по умолчанию на этапе установки приложения. Но затем он может отозвать привилегии через раздел «Разрешения приложений» (App Location Permissions).
Доступен также журнал недавних запросов местоположения. Здесь можно посмотреть список приложений, которые осуществляли запись геоданных. Нельзя сказать, что это спасёт от серьёзных таргетированных атак, но, по крайней мере, избавит от многих вопросов.
Запретить нельзя разрешить
Вернёмся к главному вопросу, который ставит перед собой пользователь, задумавший отключить запись геотаргетинга. Ему следует учесть, что получение данных о местоположении связано не только с работой GPS-датчика. Аналогичные данные могут поступать от маршрутизатора Wi-Fi, Bluetooth, базовой станции телеком-оператора, других датчиков.
Google позволяет установить «вентиль» на этапе раздачи геоданных прикладным сервисам, а не при их получении. Другими словами, геоданные всё равно собираются в кеше смартфона.
Но даже если записи GPS-данных не будет, означает ли это, что устройство не удастся отследить в дальнейшем?
Во-первых, смартфон оставляет свой MAC-след во время операции согласования протоколов передачи данных между смартфоном и базовой станцией телеком-оператора (handshake). Эти данные попадают на коммутационный узел, записываются в журнал сессии. Хотя эти технические сведения относятся исключительно к работе систем оператора, важно, что они в принципе существуют.
Точно так же запись MAC-следа адаптеров Wi-Fi сохраняют в логах бесплатные точки доступа, которые встречаются повсеместно. Как используются эти данные, неизвестно.
Запись геоданных, возможно, в будущем станет обязательной опцией. Это предположение делалось при разработке концепции беспилотных автомобилей и IoT-устройств. Обоснование — данные геотаргетинга могли бы, например, повысить безопасность пешеходов на улице при организации движения беспилотных автомобилей.
Полезность данных геотаргетинга отмечает и бизнес. Такая информация позволяет компаниям контролировать, например, работу персонала на предприятии и автоматически ограничивать проход на территорию с ограниченным правом доступа (geofencing). Данные геотаргетинга также могут вноситься в фотографии, создаваемые камерой смартфона. Это полезно для поиска снимков, но может применяться и для преступных целей.
Что могло остановить эти работы (если они были действительно остановлены)? Например, развитие кибератак типа «GPS Spoofing», связанных с подменой реальных GPS-координат фальшивыми для достижения определённой цели. Возможный сценарий — нарушение работы автопилота автомобиля, который будет двигаться по ложным GPS-координатам.
Выводы
Мы показали, как можно контролировать сбор и распространение данных геотаргетинга на смартфонах Android. Мы также рассказали о рисках, которые связаны с отключением сбора этих данных. Очевидно, что имеющийся выбор возможностей управления геотаргетингом позволяет нивелировать возникающие риски. Однако продолжающееся развитие вариантов кибератак заставит вендоров и заинтересованные стороны применять более сложные системы GPS-контроля. Все будут стремиться к сохранению баланса между доступностью и запретом, но стоит ли ждать появления каких-либо новых трендов в этой области, пока неясно.
