Как производители смартфонов используют данные пользователей
Проблема приватности в современном мире парадоксальным образом является и одной из самых острых и, в то же время, одной из самых игнорируемых. Цифровые технологии проникли во все сферы деятельности человека, а появление и победоносное шествие по миру такого удобного и функционального для работы и общения устройства как смартфон, позволило говорить о начале эры глобальной цифровизации. Как в таких условиях обеспечить безопасность личной информации?
Люди проводят огромное количество времени в социальных сетях и онлайн-играх, общаются в мессенджерах, пользуются финансовыми и государственными сервисами и т.д. Во многих случаях для этого требуется раскрытие своей персональной информации, а в некоторых количество предоставляемой информации сравнимо или превышает профайл гражданина в государственных надзорных органах. В то же время большинство пользователей отправляет используемым сетевым сервисам свою приватную информацию, не задумываясь, что она может быть использована третьими лицами или слепо доверяя заверениям фирм-производителей о безопасности и приватности их продуктов.
Рассмотрим, к примеру, известного производителя смартфонов - компанию Apple. За долгие годы существования, с помощью рекламных компаний, заказных статей, исследований и других маркетинговых активностей, компании удалось создать себе имидж борца за безопасность пользовательских данных. Apple утверждает, что собирает минимум данных о своих пользователях и хранит информацию в своем облаке только для удобства пользователей и только в зашифрованном виде. Отдельно подчеркивается, что данные такого рода передаются правоохранительным органам исключительно по решению суда.
Документально подтвердить или опровергнуть эти утверждения невозможно ввиду проприетарности продуктов Apple. Однако нельзя не обратить внимание на то, что несмотря на заверения в полной безопасности персональных данных пользователей, компании не удалось избежать многочисленных скандалов.
Что хранится на серверах Apple
Флагманский продукт компании Apple – смартфон iPhone – только по официально озвученной информации отслеживает местоположение пользователей, записывает количество пройденных шагов, сохраняет сделанные на него фотографии и видео, отправленные и полученные сообщения. iPhone сохраняет пароли и учетные данные пользователей для входа в социальные сети, интернет-магазины и на веб-сайты, данные о здоровье. Владельцы iPhone-ов пользуются множеством установленных приложений: календарем, почтовым клиентом, картами, записной книжкой и так далее. С его помощью они звонят, посылают sms и сообщения в мессенджеры. Эта информация собирается и отправляется в облако, причем синхронизацию не всегда возможно отключить.
Как утверждает Apple, все эти данные надежно защищены. Важнейшие из них, например, цепочки ключей, в которых содержатся пароли доступа к приложениям, могут быть помечены как сохраняемые только на устройстве пользователя – они шифруются и впоследствии могут быть восстановлены только на том же устройстве, где были сохранены. Менее важная, по мнению компании, информация передается в облачное хранилище iCloud с использованием сквозного шифрования. Вместе с аннулированием учетной записи в iCloud с сервера компании удаляются и все данные пользователя.
Громкие скандалы
Несмотря на все эти утверждения, Apple неоднократно становилась фигурантом громких скандалов. Так, еще в 2013 г. Эдвард Сноуден обнародовал документы, подтверждающие факт сотрудничества крупнейших ИТ-компаний, в том числе Apple, с правительством США. Речь шла о прямом доступе ФБР к данным пользователей, хранящихся на серверах крупнейших поставщиков ИТ-сервисов.
В феврале 2018 г. издание CNet сообщило об утечке исходного кода iBoot, отвечающего за загрузку и обновление iOS, – он появился на GitHub. По словам представителей Apple, утечка не повлияла на безопасность пользователей, так как в ее продукты встроено множество инструментов защиты. Однако на практике ни подтвердить, ни опровергнуть эти слова невозможно.
В мае 2019 г. издание Billboard рассказало об иске пользователей Apple, заподозривших компанию в продаже личных данных клиентов iTunes – имен, адресов, информации о покупках и т.д.
Еще одна неприятная история случилась в июле 2019 г. Тогда в The Guardian появилась информация о том, что Apple записывает разговоры пользователей Siri и вместе с контактной информацией и указанием местоположения пользователей передает ее своим подрядчикам. При этом запись разговора производится втайне – Siri сама включает запись звука. Это может произойти и случайно – Siri может отреагировать на звуки, похожие на команду «Hey, Siri». А умные часы Apple Watch включают запись после того, как владелец просто поднял руку. В ответ компания заявила, что записи использовались исключительно для усовершенствования голосового помощника и обрабатывались в совершенно безопасных условиях, однако пообещала приостановить эту работу до выяснения всех обстоятельств. Многие эксперты считают, что это было сделано лишь для того, чтобы сохранить репутацию последовательного борца за сохранение приватности пользователей. В конечном итоге, по сообщению Bloomberg, на компанию подали в суд за нарушение закона о защите персональных данных.
Но, пожалуй, самый громкий скандал разразился совсем недавно после публикации Reuters, в которой утверждалось, что Apple еще 2 года назад по требованию ФБР США отказалась от сквозного шифрования данных пользователей при резервном копировании в iCloud. В ответ на публикацию Reuters основатель Telegram Павел Дуров назвал iCloud «орудием слежки».
Чем это грозит российским пользователям
Безусловно, проблема с приватностью персональных данных существует не только у продуктов, выпускаемых компанией Apple в рамках своей экосистемы. Аналогичные проблемы присущи и конкурентным продуктам на базе решений компании Google. И Apple, и Google находятся в американской юрисдикции и, к сожалению, нет причин сомневаться в их сотрудничестве с государственными органами США, в том числе ФБР, ЦРУ, АНБ.
Учитывая сложившуюся негативную политическую повестку в отношениях России и США, это несет дополнительные риски для граждан России – если раньше рядовой пользователь мог опасаться разве что получения в результате поискового запроса ангажированных результатов, то в настоящее время к примерам реальных рисков нужно отнести блокировку счетов (в иностранных юрисдикциях), информацию о которых можно получить со смартфона, применение санкций и даже срыв контрактов с помощью получения конфиденциальной информации с устройства, отслеживание геопозиции человека и его арест по запросу США в третьей стране. Последнее не преувеличение – за последние годы количество прецендентов с арестами граждан Росси по запросу США в третьих странах, зачастую под надуманными предлогами, позволяет говорить уже даже не о тенденции, а о сложившейся практике.
Что делать?
В России идет планомерная работа на законодательном уровне (к сожалению, не всегда достаточно быстрая) в части защиты персональной информации граждан. В частности, принят федеральный закон 152-ФЗ «О персональных данных», в соответствии с которым с 1 сентября 2015 г. обработка персональных данных граждан России должна осуществляться только на территории нашей страны. Сообщения о том, что Apple перенесла данные в расположенный в России ЦОД, появились в конце января 2019 г. Однако речь шла только о клиентах «Эппл Рус», которая занимается розничной продажей техники Apple в России, а не обо всех пользователях устройств компании. Кроме того, даже если Apple перенесет сервера обработки персональных данных в Россию, то гарантировать, что эти данные не будут в конечном счете доступны заинтересованным лицам в США, без полноценной сертификации всех продуктов Apple на отсутствие недокументированных возможностей во ФСТЭК России, невозможно.
Таким образом ответственность за безопасность своей персональной информации в большой части ложится на самого пользователя. И если идти по пути отказа от использования современных средств коммуникации – это отказ от прогресса и попытка обернуть время вспять, то переход с проприетарных продуктов и решений на решения, построенные на базе открытого ПО, в частности, смартфонов на базе Linux, представляется качественной альтернативой существующему де-факто «цифровому рабству». Вкупе с соблюдением правил поведения в сети интернет и следованию нормам «информационной гигиены», использование таких решений обезопасит данные и пользователя от злонамеренных действий.