W kwietniu poruszyłem temat zbierania MAC adresów przez Google’a do otwartej bazy danych, dzięki której można dowiedzieć się gdzie dana osoba mieszka. Oczywiście zdobycie tego pierwszego nie jest prostą czynnością, niemniej jednak jest to co najmniej niepokojące:
(…) w bazie danych Google znajduje się mój domowy router Wi-Fi wraz z jego dokładną lokalizacją. Tak dokładniej, to zapisany jest MAC adres mojej sieci Wi-Fi (której SSID jest nota bene ukryty) — adres ethernetowy nie.
Takie praktyki uprawia również Apple, Microsoft i Skyhook, przy czym tylko ten ostatni i Google mają otwarte bazy danych dostępne dla każdego. Okazuje się, że Google i Skyhook również zbierają MAC adresy naszych telefonów, iPhone’ów, iPadów, laptopów, netbooków i nawet zegarka Norberta, wartego $13 i posiadającego miejsce na dwie karty SIM. Mowa tutaj o urządzeniach, które nie działają jako AP1 – rzecznik Google odmówił odpowiedzi na to pytanie. Ted Morgan2 z kolei otwarcie mówi, że zbierają tylko transmitowane MAC adresy. CNET dotarł do kilku osób, których komputery są w bazie Google’a, pomimo że nigdy nie były używane jako punkty dostępowe. CNET dodatkowo dotarł do danych telefonu HTC, którego pozycja była tak często uaktualniana w bazie danych Google’a, że można było śledzić jego właściciela i dokładnie sprawdzać w jakich miejscach bywał w przeciągu kilkudziesięciu godzin.
Google odpowiada na zarzuty:
Zbieramy dane publicznie widocznych access pointów. Jeśli użytkownik telefonu włączył funkcję Hotspota w nim i uczynił go punktem dostępowym Wi-Fi, jego MAC adres może również trafić do naszej bazy danych. Punkty dostępowe, które często zmieniają położenie nie są użyteczne dla nas i są usuwane z bazy.
Google nie odpowiedział natomiast na pytania, postawione w zeszłym tygodniu, o kroki jaki czynią, aby usunąć ze swojej geolokalizacyjnej bazy danych laptopy i inne urządzenia mobilne. Nie odpowiedzili również na pytania dotyczące polityki prywatności oraz czy ktokolwiek, np. Sąd, ubiegał się o dostęp do tych danych. Pominęli również pytanie o to jak szary obywatel może usunąć siebie samego z bazy.
CNET również zwraca uwagę na jedną zaletę telefonów z Androidem nad iPhone’ami – te pierwsze generują losowy MAC adres przy uruchamianiu funkcji Hotspot.
Skyhook natomiast otwarcie informuje o zmniejszaniu “zaufania” do urządzeń mobilnych, jednak nie wspomina, aby były usuwane z ich bazy danych. Takie urządzenia w bazie de facto są bezużyteczne, ponieważ w żaden sposób nie poprawiają dokładności użytkowników firmy w ustalaniu swojej pozycji. Pomimo tego, powtarzam, nie są usuwane.
Ashkan Soltani3, specjalista zajmujący się bezpieczeństwem komputerowym, twierdzi że:
Ktoś kto nie ma wielu informacji na mój temat, może mnie odnaleźć. Można znaleźć gdzie ktoś kiedyś mieszkał lub dokąd się przeprowadził.
Ted Morgan zostawił komentarz pod wpisem na Cult of Mac na ten sam temat, chociaż redaktor John Brownlee trochę poprzekręcał fakty. Ted twierdzi w nim, że ich baza danych nie jest publicznie dostępna i nigdy nie była. A co to jest w takim razie i jak komuś udało się do niej dostać?
Pytania zatem, które są bardzo ważne, a na które nadal nie mamy odpowiedzi:
- Czy Google zbiera MAC adresy urządzeń (mobilnych), które nie są i nigdy nie były punktami dostępowymi Wi-Fi?
- Jak możemy zgłosić chęć usunięcia siebie z tych baz danych? Google unika odpowiedzi na to pytanie.
- Jak możemy się zabezpieczyć na przyszłość?
- Access point. ↩
- CEO Skyhook Wireless. ↩
- Zeznawał również przez Senatem USA w zeszłym miesiącu. ↩
Chcesz zwrócić mi na coś uwagę lub skomentować? Zapraszam na @morid1n lub na forum.