Diit.cz - Novinky a informace o hardware, software a internetu

Google čelí dalšímu mediálnímu praní ohledně sběru dat z Wi-Fi

Google logo
Nějak netušíme, co komu ze ZDNetu přelítlo přes nos, ale realita je taková, že se na internetu nafukuje další bublina ohledně sběru dat pomocí Google Street View aut, jíž je ZDNet „exkluzivním“ původcem. S tím už si Google užil své, když to na sebe nejprve prásknul, aby za tuto „poctivost“ pak vyfasoval od Francie pokutu 100 000 eur (říkal to už SleepTeam v podtitulu prvního dílu Poldy: „s poctivostí nejdřív pojdeš“). To, co se nyní provalilo, je, že Google neposbíral pouze MAC adresy Wi-Fi přístupových bodů (a nešifrovaná data z nezabezpečených sítí, kde mohla být hesla, e-maily a další data), ale také MAC adresy zařízení, které přístupovými body nejsou. Pokud kolem vás projelo Google Street View auto či tříkolka, může být v databázi váš notebook nebo telefon, měl-li zapnutou Wi-Fi…

My to zkrátíme, nebudeme obšírně popisovat, kterak jistý expert přes bezpečnost Ashkan Soltani zkoumal, co všechno se dá v databázi Google najít. Podstata problému podle našeho názoru spočívá právě v tom, že Google Street View auta sbírala všechna data, která ve vzduchu při projíždění našla, samozřejmě spolu se sílou signálu jejich zdrojů (aby z toho Google mohl sestavit síť Wi-Fi bodů a pomáhat uživateli určovat jeho polohu i bez GPS). V této síti tak neskončily jen MAC adresy skutečných APček a hromada balastu o tom, co si APčka povídala s ostatními zařízeními. Právě v tom komunikačním balastu s ostatními zařízeními jsou i MAC adresy těchto zařízení. MAC adresa jakéhokoli zařízení je totiž při komunikaci „ve vzduchu“ vždy v nešifrované podobě, i když je samotná komunikace zabezpečená.

Začínáme mít pocit, že sběr všech dat ze vzduchu pomocí Google Street View aut nebylo nedopatření, ani chyba programátora tohoto řešení, ale prostě záměr. „Nedopatřením“ bylo jen podcenění situace, kdy komunikace u nezabezpečených sítí mohla obsahovat citlivé údaje, protože to prostě v nezabezpečené komunikaci je. Je to jako když jdete okolo dvou lidí, kteří se baví na ulici vám srozumitelným jazykem – také se můžete jen při náhodném průchodu kolem nich dozvědět, že „…už to druhý měsíc nedostala…“. Pokud ale tito lidé budou mluvit vám nesrozumitelným jazykem, odnesete si z celé příhody jen dvě věci: že jste šli kolem několika lidí, kteří se spolu bavili, a možná si všimnete, jak vypadali. Totéž dělala Google Street View auta (vzhled lidí se zde dá přirovnat k MAC adrese dvou komunikačních zařízení).

Sledování komunikace APčka s dalším zařízením (tedy znalost MAC adres obou stran) přitom může být pro geolokační službu Google celkem užitečná. Víc zařízení – vyšší přesnost. APčko může být vyměněno za jiné, ale „klienti“ zůstávají – při dalším průjezdu Google Street View auta by se databáze mohla snáze dozvědět, které APčko bylo za které vyměněno.

Celý „průšvih“ je však umocněn tím, že až donedávna bylo možné do této „databáze“ celkem jednoduše nahlížet, a to poměrně dlouhou dobu, minimálně někdy od léta 2010, dost pravděpodobně ještě dříve. Zde doporučujeme osvěžit paměť přečtením článku „Google Android: náhrada zakázaného sbírání dat z Wi-Fi StreetView autem?“, kde je popis přednášky hackera Samyho Kamkara, který na svém webu donedávna provozoval jednoduchou stránku umožňující po zadání MAC adresy z databáze Google zjistit, kde se zařízení s danou MAC adresou nacházelo v době, kdy jej „sejmulo“ ať už Street View auto, nebo zařízení se systémem Android a (zjednodušeně řečeno) „aktivním sběrem dat“ (další takovou měl Samy zde). Teprve nedávno (bude to nějaký týden, možná jen několik málo dnů) Google funkčnost těchto „neoprávněně zjišťovacích technik“ ošetřil, takže už to nefunguje, ale hodně dlouhou dobu to fungovalo.

Zjištění polohy pomocí MAC adresy

Co tuto bublinu nafukuje nejvíce, je, když se obyčejný uživatel dozví, že „Google ví, kde je mobil (nebo notebook, AP, cokoli s Wi-Fi) s jeho MAC adresou a může podle jeho polohy určit i fyzickou adresu“. Tady je dobré si ujasnit dvě věci: MAC adresa není osobním údajem a už vůbec ne MAC adresa zařízení, které ji kolem sebe roztrubuje, kdykoli je (na něm Wi-Fi) zapnuté. Za druhé Google neví, že právě ta a ta MAC adresa může patřit právě vašemu zařízení.

Co tu však díky této bublině reálně hrozí, je potenciální likvidace celkem užitečných služeb, k čemuž pravděpodobně dopomohou i paranoici, kteří se budou už při pouhé kombinaci slov „MAC adresa“ a „Google“ v jedné větě podivně rozhlížet kolem sebe. Tito lidé by si měli uvědomit, že donedávna třeba u nás platila legislativa umožňující jistým osobám bez větší námahy vyžádat si od operátorů lokalizační údaje o provozu konkrétního mobilního telefonního čísla, které má k osobnímu údaji podstatně blíže (už jen proto, že je v telefonním seznamu, kde je vedle něj napsáno jméno a adresa uživatele). Google možná udělal jednu opravdovou chybu: že tento problém tiše neopravil a nezametl pod koberec. Možná by to udělal, ale třeba o tom věděl ještě někdo jiný a hrozilo, že bude Google vydírat – to už asi nezjistíme.

Bude ale každopádně zajímavé sledovat úřady, kteří možná nadskočí, jak když je píchne vidličkou do pozadí, aby si mohli opět zchladit žáhu na Googlu, protože „špatně nakládá s osobními údaji“ a především „má hodně peněz“ (a v neposlední řadě si někdo může všimnout, že „úřada něco dělá“).

Jen tak mimochodem: Google není jediný, kdo tato data sbírá (z dalších namátkou Apple či Skyhook Wireless). Akorát je možná jediný, odkud nebyl problém je získat. Na druhou stranu Androidí telefony mají prý svou MAC adresu do určité míry „dynamickou“ – časem se mění (vybírá se z rozsahu nepoužitých). To třeba iPhony nedělají, jejich MAC adresa je „jaksepatří“ neměnná. Ale to už je jiná písnička.

Zdroje: 

ZDNet (1, 2)

WIFT "WIFT" WIFT

Bývalý dlouholetý redaktor internetového magazínu CDR-Server / Deep in IT, který se věnoval psaní článků o IT a souvisejících věcech téměř od založení CD-R serveru. Od roku 2014 už psaní článků fakticky pověsil na hřebík.

více článků, blogů a informací o autorovi

Diskuse ke článku Google čelí dalšímu mediálnímu praní ohledně sběru dat z Wi-Fi

Středa, 3 Srpen 2011 - 17:28 | WIFT | To neznamená, že se nemůžu dozvědět něco...
Středa, 3 Srpen 2011 - 12:54 | gigous | co se týče soukromí lidí, tak toho nechápeš víc....
Čtvrtek, 28 Červenec 2011 - 09:48 | duronko | Právní úprava telekomunikačního tajemství a...
Čtvrtek, 28 Červenec 2011 - 08:55 | WIFT | Ale to já vím, že se od MAC adresy (první "...
Čtvrtek, 28 Červenec 2011 - 04:13 | r23 | Posílá ji v beacom packetu. Právě od ní se...
Středa, 27 Červenec 2011 - 20:40 | maruširi | Každý síťový zařízení by mělo správně na sobě mít...
Středa, 27 Červenec 2011 - 16:06 | mikeczcom | Já měl z web managementu screenshot nastavení s...
Středa, 27 Červenec 2011 - 15:55 | r23 | No, pokud tomu nerozumi, nikdo jim nebrani...
Středa, 27 Červenec 2011 - 15:19 | HKMaly | Na to musis myslet predem a tu MAC si opsat ...
Středa, 27 Červenec 2011 - 14:44 | WIFT | Abych pravdu řekl, opravdu by mě zajímalo, co je...

Zobrazit diskusi