advertising ID

[stas]

Google Promised Its Contact Tracing App Was Completely Private—But It Wasn’t

Тут вполне классический случай "you fucked up - you trusted us". Но читая статью, я заметил одну детальку:

In the case of contact tracing apps, Reardon found that the system logs included data on whether a person was in contact with someone who tested positive for COVID-19 and could contain identifying information such as a device’s name, MAC address, and advertising ID from other apps.

Скажем, откуда в логах MAC и даже название девайса, я понять могу, хотя последнее уже лишнее, но скажем, для отладки полезно. Но вот откуда в логах аппликации, которая занимается трекингом коронавируса, advertising ID? Я вижу только две возможности:

1. Эти ребята пихают свои рекламные трекеры в любую апликацию на автомате, чтобы руку не сбивать. Сегодня трекинг, а завтра и рекламку подгоним, можно ещё немножечко шить. Почему бы не сшибить копеечку на кризисе?

2. Стандартные библиотеки, которые используются в гугле, по автомату включают этот ID везде, где можно, без всякой просьбы и нужды со стороны программиста, просто потому, что реклама - двигатель гугля.

В любом случае, это открывает феерические перспективы для слежки - ведь рекламный id регистрируется всеми рекламными сетями, на любом сайте, который вы посещаете и где есть реклама (а где её нет?) - и, теперь, без вашего ведома, любым прохожим, мимо которого вы пройдёте, если у вас установлен трекер Гугля. А возможно и если не установлен, кто знает... И, разумеется, если вы когда-нибудь заинтересуете полицию, то у них будет к этому доступ - в том числе к списку всех людей, мимо которых вы проходили (а у каждого из этих людей в списке будете вы). 

Когда-то реклама была - просто газетные обьявления о продаже товаров. Теперь эта индустрия превратилась в какую-то злокачественную опухоль. 

И да, если вам будут следующий раз предлагать аппликацию от Гугля, Микрософта, Фейсбука, кого угодно - которая обещает полную приватность - это враньё. Т.е. вы можете проверять, читать статьи, консультироваться со специалистами - всё это хорошо. Но по умолчанию вы должны это считать враньём и рассчитывать на то, что все ваши приватные данные будут записаны и в конце концов проданы любому желающему. По-другому они не умеют, и уметь не хотят.

Comments

[perdakot]

Я читал в месте, которому я склонен доверять, что хотя это технически верно, наличие advertising ID в логах не делает ничего хуже. Эти логи читать могут только привилегированные процессы, которым эти логи все равно не нужны чтобы сделать то, что они могли бы сделать читая эти логи.

[stas]

Привилегированные процессы - читай, гугль. Плюс самсунг, хуавей и любой другой производитель телефончиков, который делает кастомизированную систему (т.е. ровно все из них).
Ну и плюс любой апп, который попросил юзера кликнуть пару кнопочек, а иначе не покажу котегов.

эти логи все равно не нужны чтобы сделать то, что они могли бы сделать читая эти логи

В теории, конечно, это так - они могут иметь лог всех встреченных блютус-хостов, которые когда-либо оказывались в окрестностях, и без этого. Но обнаружили этот лог, как я понимаю, именно в этом аппе, который заточен под прайвеси.

Однако ad ID делает вот что хуже - в базах данных всех ад-сетей вашего MAC нет, и поэтому связать его с вашей личностью не так тривиально, а вот ad ID там есть, и по нему установить вашу личность - секундное дело.

[perdakot]

любой апп

Пишут, что нет, только system app preinstalled by the device manufacturer. То есть да, хуавей может. Фейсбук нет, если только свой телефон не сделает.

[stas]

Они уже и делали, кажется. Но даже если так - это значит, у хуавея - т.е. китайских товарищей например - есть доступ к этой информации теперь. Ну и плюс к тому, все эти аппликации делаются криворукими интернами за три копейки обычно, или покупаются на аутсорсинге, который нанимает их делать за три копейки, поэтому наверняка там в этих браузерах полно дырок. Обычно просто красть логи совершенно бесполезно, но если там есть что-то интересное...

Плюс, конечно, в любом сценарии, включающем полицию, у них будет полный список встреченых на улице людей за всю историю телефона. Доказывайте потом, почему 6 января вы были в непосредственной близости от арабского террориста Абу Тиззи.

[perdakot]

теперь

Я не очень понял, что вы имеете здесь ввиду.

Если вы говорите, что телефон - это черный ящик, в котором могут быть данные, которые вы бы не хотели, чтобы там были, по недосмотру или по злому умыслу. Это - да.

Если вы говорите, что конкретно вот эта ситация - фиаско, то скорее нет, чем да. Никаких новых рисков здесь нет.

[stas]

Принципиально новых - в том смысле, что никакой апп не мог бы до этого это делать - нет. Точно так же, как в воровстве или грабеже нет ничего принципиально нового. Опасность старая, и эта аппликация - несмотря на её уверения, что она защищает прайвеси - часть этой опасности, точно так же как конкретный вор - опасен, хотя в воровстве нет ничего нового.

[perdakot]

Если этот апп просто кладет что-то в лог, который никто не может прочесть - не такая уж и беда. У Хуана Ганди читал, что ссн открытым текстом логировали. А те, которые этот лог могут прочесть им он и не нужен, они могут наделать делов и похуже без этих логов. Если за этих аппом заметят, что он отдает advertising ID наружу, вот это будет фиаско.

[dmitryvlasov]

Ну что вы в самом деле. Вам же русским языком объясняют, что проблема в том, что этот конкретный апп *гарантирует* прайваси. Представьте, что Форд продает автомобиль, который гарантирует то, что вы не попадете в аварию. Ну да, все водители только хмыкнут. Но ведь в случае с Гуглом, для кучи народа это не так очевидно. И кстати, Форда очень сильно напрягут, если он хотя бы мелким текстом не объяснит, что на самом деле your mileage may vary. А Гугл это делает совершенно ничего не боясь.

[straktor]

из нескольких миллиардов существующих андроид телефонов реальная защита от рутованияя и перепрошивки есть от некоторых крупных производителей, скажем с полумиллиардом устройств

остальные 75% не парятся ни с рутом, ни с правами, ни с даже обновлениями
выпросить у юзера "поставь рут и кликни подтверди" несложно, люди делали лет 10 назад

system app preinstalled by the device manufacturer у практически всех как правило включают в себя кастомные бэкаперы разной степени пиздоватости -- и бэкапят данные всех аппов, а не только себя

будут ли они как-то распознавать логи, что вот ихто не бэкапить? а как?

вам надо было дурковать на тему "аппка васи пупкина не имеет доступа к БД рекламных септей" -- это да, бесплатно ему базы не сольют, они пару тысяч баксов стоят

[perdakot]

Это приложение на тех 75% убогих андройдах все равно не будет работать из-за того, что их не обновляют. Да, я понел, если специальным образом присесть, то этот лог можно выковорить.

А если поставить рута, то, наверное, можно туда наставить много всякой упячки, что опять этот лог вам будет не нужен. Или нет?

Re:- читай, гугль.

[yarpenzigrin]

Читай- "гугль", а в уме держи- "троян".
Кроме того, есть подозрение (основанное на анекдотик экспириенсе), что ad ID привязан не к девайсу, а к профайлу. К которому может пристаканится ещё куча разных других девайсов, не всегда может быть явным образом.

Re: - читай, гугль.

[stas]

да, конечно, ад ид - это не просто девайс. Все девайсы, например, которые когда-либо логинились в один и тот же экаунт на гугле, наверняка отмечены, как связанные.

Re: - читай, гугль.

[yarpenzigrin]

И потом могут случится истории: https://www.exler.ru/blog/priklyucheniya-razdolbannogo-telefona.htm

Re: - читай, гугль.

[stas]

Это ещё не самое веселое, что может произойти. Представьте, что подобный марокканец чем-то рассердит гугль и тот решит заблокировать все ассоциированные с этим ID девайцы и сервисы. Поддержка в гугле отсутствует, там всё населено роботами.

Re: - читай, гугль.

[yarpenzigrin]

Это что... Представьте, что условный "марроканец" "напроказничает" по уголовным или террористическим делам, и все ассоциированные девайсы и их контакторы окажутся на спец.обслуживании у людей с горячим сердцем и холодной головой.

Re: - читай, гугль.

[alexcohn.livejournal.com]

Этот Advertising ID вообще ни к чему не привязан, и его можно сбрасывать хоть каждый час. До самого недавнего времени куча аппликаций его использовала потому что это был самый простой способ, не прося юзера залогиниться, узнать, что это тот же юзер, что в прошлый раз (кто сказал "сгенерировать GUID при инсталляции"? – это гораздо сложнее!!). Но в прошлом году Гугль пришли к выводу, что это можно абъюзать, и добавили инструкцию.

Re: - читай, гугль.

[stas]

Непонвнтно, кск можно контролировать исполнение этой инструкции. Вот я посылают на сервер ad id, потом посылаю идентификацию пользователя и/или хардвера. Как гугль узнает, сводятся они там на сервере в одну базу или нет? И как гугль узнает, для чего именно в ад-сети используется этот идентификатор?

Re: - читай, гугль.

[alexcohn.livejournal.com]

Например, сам факт участия Advertising ID в этом протоколе является нарушением, даже если бы его никто ни в какие логи не записывал.

Если его использует рекламная сеть, можно потребовать от неё подтверждение исполнения оной инструкции. Хотя бы на уровне "мамой клянусь". Но выявить и пресечь случаи обращения к этому API, не связанные с рекламой – достаточно легко и надежно. Единственная причина, по которой этого ещё не делают – то, что см. выше, его не по делу используют миллионы невинных программистов, которые искали самый простой способ привязать к пользователю какой-нибудь GUID, и теперь займет много времени, пока все они удосужатся исправить свой код.

Re: - читай, гугль.

[stas]

Нарушением чего?

Кто может потребовать?

Единственная причина, по которой этого ещё не делают

Одной, собственно, достаточно :) Если этого не делают, то все остальные причины, по которым это могли бы делать - уже неважны.

Re: - читай, гугль.

[alexcohn.livejournal.com]

> Нарушением чего?

Той инструкции, которую сам же Гугль и опубликовал. Кстати, из статейки не понятно, виноват ли в утечке ID сам гуглевский сервис, или аппликация, которая им пользуется.

> Кто может потребовать?

Гугль, конечно.

В отличие от OS Android, этот ID является частью закрытых библиотек Гугля, право пользоваться которыми вовсе не является автоматическим. И Гугль периодически требует привести аппликации в соответствие с новыми требованиями. Это относится к location tracking, notifications, работы в бэкграунде и т.д. Часть этих требований связана с прайваси и обеспечением безопасности, другие – заботятся об экономии батарейки, а есть ещё и те, которые помогут отключать старые компоненты ОС в будущих версиях.

> Единственная причина…

С этим всё хитрее. В экосистеме Google Play запреты вводятся постепенно. Сначала объявляют рекомендации, потом где-то через год прекращают принимать в Play Store новые аппликации, которые пользуются запрещаемой технологией, потом ещё через полгода не позволяют обновлять старые аппликации, пока это не будет в них исправлено, и только ещё через год наверное удаляют из магазина те аппликации, которые не обновились и не исправились.

Re: - читай, гугль.

[stas]

Ну хорошо, нарушением инструкции это понятно. Гугль написал инструкцию, как правильно пользоваться этим ID. Что будет, если я пользуюсь им неправильно? Они действительно читают каждую строчку кода каждой аппликации, чтобы выяснить, не использую ли я случайно ad id некошерным образом?

Re: - читай, гугль.

[alexcohn.livejournal.com]

1. Если тебя поймают, то могут не только закрыть аппликацию в Play Store, но и закрыть dev account. Не могут снести установленные аппликации с телефонов. Не могут (кажется) отключить твою аппликацию от этого API.
   
   
2. Для того, чтобы поймать некошерное использование Advertisement ID, не надо дизассемблировать твой код. Его ведь можно получить только вызовом гуглёвого API, из Java. Элементарный скан аппликации это найдет.
   
   
3. Ну и run-time аналитику никто не отменял. Гугль знает, какие приложения запрашивают Advertisement ID. Осталось только проверить, используют ли они его, чтобы показывать направленную рекламу.
   
   
4. Конечно, если ты его запросил, чтобы показать рекламу, а сам ещё куда-то его посылаешь, такое просто не поймаешь. Разве что случайно всплывет (и раньше или позже таки всплывет!).
   

Но в любом случае это не то, что произошло с covid-tracking. И совсем непонятно, зачем им понадобился этот ID (не почему он оказался в логах, это как раз естественная лажа программиста), если у них уже есть MAC адрес.

И для не-гуглевских девелоперов существуют гораздо более эффективные способы device fingerprinting, когда собирают какую-то информацию о девайсе, которая (почти) не меняется и всё ещё доступна непривилегированному приложению (с каждой версией Андроида эти дырки закрывают). Например, до MAC адреса не доберешься.

Re: - читай, гугль.

[stas]

Не очень понятно. Вот они просекли, что моя аппликация вызывает API с AD ID. Прекрасно. Через некоторое время аппликация вызывает myserver.com/api?ad_id=$USER_AD_ID. Также эта апликация делает ещё примерно 100500 запросов к myserver.com/api в котором AD ID нет. Каким образом можно определить, производится ли на сервере сведение AD ID и, скажем, имени пользователя, в одну базу? Какой аналитикой? Разумеется, на сервере известно имя пользователя (по крайней мере то, что он сообщил при заведении эккаунта) - иначе ему нельзя выдать логин. Запретить это невозможно, иначе все аппликации с логинами вымрут. Разумеется, апликация может послать на сервер и fingerprint девайса, и местонахождение пользователя, и всё остальное - и они регулярно так делают. Так каким образом гугль может узнать, что аппликация, посылающая всё это на сервер, хранит это, как постановил гугль, в разных базах данных? Что тут можно "поймать"?

[xxlcaliber]

Интересно, а кто то в эту приватность верил?

95%

[pan_netnet]

ну не могут же они?! а как же закон и соглашения!

Re: 95%

[xxlcaliber]

Идиотизм никто не отменял.

Re: 95%

[idan11]

Хуже всего что идиотизм и не вылечишь.
Он правда мутирует но не настолько сильно поэтому всегда найдутся орлы верящие правительству/полиции/медиям и пр.

Re: 95%

[xxlcaliber]

Ну может аппликаторы это исправят.

[pan_netnet]

еще можно просто этим не пользоваться.

[stas]

Пока можно. В некоторых странах уже и нельзя, кажется.

[alexcohn.livejournal.com]

Насколько я понимаю, уже опубликованы выводы, что эффективность этих аппликаций ничтожна.

[stas]

Смотря для чего эффективность. Для борьбы с вирусом - конечно. А для создания платформы массивной постоянной слежки за всеми всё время - может и более эффективно.

[volchara]

Что значит зачем - чтоб было.

Потому что да, очень удобно делать кросс-аналитику еще и по физическим юзерам, а не только с одного айпи, например. Заодно и Органам можно продать. А то фби мучилось, вылавливало посетителей капитолия. А теперь чики пуки, ковид трекер, и сразу терр группа видна.

И скажите мне, у кого не стоит апп от гугля? У какого то владельца айфона? Так у него апп от эппла стоит

[o_klyueva]

Заблокировать трекер гугля на сотовом телефоне очень просто - надо просто положить телефон в металлическую коробочку с крышечкой.

[straktor]

совет по уровню разумности типа "вы можете существенно сократить ежемесячные расходы можно путём самоубийства", тоже в общем-то просто

хочется однако телефоном пользоваться в качестве телефона плюс остальными приложениями

[o_klyueva]

Вынимаете телефон из коробочки и пользуетесь. А потом опять убираете в коробочку.
Конечно, если вы ожидаете важный звонок то в коробочку убирать не надо.
Но большинство звонков сейчас приходит от рекламщиков и коробочка весьма помогает.

[pan_netnet]

"хочется однако телефоном пользоваться в качестве телефона плюс остальными приложениями"

тогда нехуй жалится на то шо он за тебой следит.

[pan_netnet]

фольг дешевле.

[o_klyueva]

В фольге могут остаться щелки через которые микроволны проникают.
Железная коробочка из под печенек работает на все 100.
Кстати оставленные месседжи приходят сразу же как только телефон вынимается из коробочки.

[alexcohn.livejournal.com]

Достаточно выключить Bluetooth

[o_klyueva]

Когда я отключаю Bluetooth то телефон на может связаться с устройством в машине. Но из сотовой сети не пропадает.
И аппликации которые следят за местонахождением телефона прекрасно работают и без Bluetooth. Например: Life360

[alexcohn.livejournal.com]

Эта конкретная технология Гугля и Эппла нужна не для того, чтобы следить за положением смартфона. Её цель – обмениваться информацией о расположенных очень близко (с точностью, превышающей GPS) людях. Анонимно, но так, чтобы узнавший о своем заражении человек мог сообщить об этом всем, кто находился с ним в контакте. Для связи на коротком расстоянии и обмена анонимными идентификаторами используется bluetooth.

[o_klyueva]

Без блютуза тоже можно определить что два телефона были рядышком.

[alexcohn.livejournal.com]

Можно, например, стукнуть для этого телефоном об телефон. Можно много ещё интересных идей изобрести, но этот конкретный протокол использует BT.