«Мама, меня бомбят!»

Мобильные приложения для семейной безопасности делятся сведениями о точном местонахождении десятков миллионов пользователей по всему миру, включая детей. Среди тех, кто может воспользоваться этими данными, — Центры по контролю и профилактике заболеваний США (CDC), ответственные за вакцинацию населения, и Разведывательное управление Пентагона (DIA).

Таковы результаты декабрьского расследования американской некоммерческой организации The Markup, специализирующейся на защите данных, в отношении популярного семейного геотрекера Life360, который из одного только маркета Google Play скачали свыше 50 млн пользователей.

Бизнес-модель других аналогичных программ мало чем отличается от Life360 и предполагает такую же передачу информации третьим лицам. В итоге конечные покупатели этих сведений получают неоценимый ресурс для слежки — вплоть до возможности проведения спецопераций в любой точке Земного шара.

Особый цинизм в том, что владельцы смартфонов устанавливают такие приложения как раз ради безопасности собственных семей. В действительности же они добровольно соглашаются со слежкой за родными и близкими.

«Да кому вы интересны!»

Кто из нас не беспокоится о детях, пока они одни на улице? Контролировать их непросто. Звонок или «чириканье» в мессенджере часто не помогают: наши детки обожают ставить телефоны на беззвучный режим или просто не отвечают родителям. То же самое со стариками: многие из них тоже нуждаются в присмотре.

Поэтому миллионы российских семей вздохнули с облегчением, когда в магазинах мобильных приложений появились семейные геолокаторы — программы, отслеживающие на карте местонахождение людей в реальном времени. Ничего сложного: устанавливаешь приложение у себя и у родственника, жмешь несколько кнопок, раздавая разрешения, и готово: твой любимый человек как на ладони.

Однако если не пожалеть 10 минут и прочесть пользовательское соглашение, то выяснится, что подобные программы, как правило, берут на себя право «передавать вашу личную информацию сторонним деловым партнерам, поставщикам и консультантам». И, загружая приложение на свой телефон, мы даем на это разрешение.

На этом месте обычно следует возражение: «Да кому вы сдались! Если ваша информация и передается кому-то, то в обезличенном виде!» Но, во-первых, как теперь понятно, мы очень даже кому-то сдались, иначе та же Life360 не заработала бы в 2020 году 16 млн долларов на продаже данных пользователей третьим лицам. А, во-вторых, специалисты по кибербезопасности неоднократно демонстрировали, как «анонимные» сведения о местоположении могут быть легко привязаны к реальным пользователям.

Так, в научном журнале Cell в марте 2021 года вышла статья, авторы которой доказывают: траектории людей в пространстве остаются уникальными в масштабах населения в десятки миллионов человек. А в журнале Nature еще в 2013 году было показано: четырех пространственно-временных точек достаточно, чтобы однозначно идентифицировать 95% людей, чье местоположение указывается хотя бы ежечасно.

Для этого не нужны ни ФИО, ни номер телефона. Более того, наш уникальный идентификатор мобильной рекламы лучше определяет нас, чем имя с фамилией. К тому же приложения могут получить доступ к защищенным данным даже без согласия пользователя, используя как скрытые, так и побочные каналы. И это доказанный факт.

Кому же семейные геолокаторы продают подноготную о наших родственниках? Так называемым брокерам геолокационных данных, которые затем перепродают ее «заинтересованным лицам». Таких брокеров как минимум несколько десятков, и каждый по-своему интересен. Эта индустрия оценивается в 12 млрд долларов ежегодно, а сами брокеры любят хвалиться другими цифрами: «Мы знаем о 1,6 млрд человек в 44 странах!», «Мы охватываем 1,9 млрд устройств и 50 млрд мобильных сигналов в день!», «Мы получаем данные о 25% взрослого населения США в месяц!» и т. д.

И тут начинается самое интересное.

«Пентагон на связи!..»

Одним из брокеров, с которым Life360 до сих пор делится данными, является компания Cuebiq. Выяснилось, что в первые же дни пандемии COVID-19 Cuebiq начала сотрудничать с американскими Центрами по контролю и профилактике заболеваний США. Эта ответственная за карантин и вакцинацию организация стала получать в режиме реального времени данные о передвижении, местах пребывания и контактах американских (и не только) граждан.

По ссылке можно увидеть один из контрактов между Cuebiq и CDC. Другая крупная компания в сфере геолокационных данных, SafeGraph, тоже сотрудничала с Центрами. Забавно, что в ряды кураторов этой компании затесался даже экс-глава саудовской разведки принц Турки ибн Фейсал Аль Сауд. Неужели только с коммерческим интересом?

Но это все цветочки. Еще один подобный брокер — компания Outlogic. До ее приобретения в августе фирмой Digital Envoy, занимающейся IP-разведкой, она была известна под другим названием — X-Mode. Эта-то X-Mode приобретала сведения о местоположении пользователей Life360 и продавала их… напрямую министерству обороны США. В прошлом и позапрошлом годах суммы их контрактов оценивались в сотни тысяч долларов.

Та же X-Mode, как выяснилось, продавала военным подрядчикам данные с нескольких мобильных приложений для мусульман, в том числе Muslim Pro (96 млн пользователей) и Qibla Compass, определяющей направление на Мекку. И не она одна. Очередной брокер геоданных, Babel Street, сотрудничает с целой россыпью американских ведомств: минобороны, министерством внутренней безопасности, Агентством по уменьшению оборонной угрозы (DTRA), минюстом, Казначейством и т. д. Аналогичные контакты — у брокера Venntel и др.

Другими любителями разжиться геолокациями частных лиц не так давно оказались подразделение Налогового управления США по уголовным расследованиям (IRS CI) и американская Погранично-таможенная служба (CBP). Их интерес вовсе не ограничивался территорией Штатов, а мобильные приложения, предоставляющие им сведения, были на редкость разнообразными: от игр и прогнозов погоды до приложений типа «уровень», позволяющих с помощью смартфона повесить ровно полку или картину.

Впрочем, купить сведения о посекундной локации миллионов людей может и простой смертный. Так, Outlogic предлагает всего за 240 тыс. долларов полный набор геолокационных данных 50 млн человек в месяц в 240 государствах мира, включая Россию. Получается недорого — по тысяче долларов за страну…

Кстати, о России

Сегодня американских исследователей крайне беспокоит тот факт, что из-за деятельности брокеров конфиденциальная информация о гражданах США, в том числе военнослужащих и госслужащих, может попасть в руки Москвы. Ну а нас, в свою очередь, волнует совсем другое — что создатели аналогичных отечественных программ для мобильников вполне могут оказаться… американскими компаниями.

Скажем, главный конкурент Life360, вроде бы российское приложение «Где мои дети» (Find my Kids, более 10 млн скачиваний), пишет о себе в «Политике конфиденциальности» следующее (орфография сохранена): «В этом документе «Компания», «мы», «наш» и «наш» (стилистика оригинала сохранена) ссылаются на Geo Track Technologies Inc, зарегистрированная в качестве юридического лица по законодательству штата Делавэр (США) 26.12.2018 с идентификационным налоговым номером 83-2987714, место нахождение: 8 The Green, STE A, Dover, DE, 19901».

…Конечно, все это не означает, что силовые ведомства США день и ночь следят за нашими детками через приложения. Однако теперь каждому должно быть ясно: в случае чего он и его семья будут вычислены мгновенно. И таким случаем может быть все что угодно: от командировки главы семейства в Сирию или работы в оборонном КБ до налоговых проблем любимого дядюшки, пошалившего с долларами. Для семей из неспокойных регионов РФ это тем более актуально.

Не то чтобы это была военная тайна: наши мобильники давно «просвечиваются» насквозь. Просто в случае с семейными геолокаторами мы сами соглашаемся на передачу данных о собственных детях — вплоть до их привычных маршрутов и окружающих звуков. Так не пора ли проявить в этом вопросе элементарную сетевую гигиену?

Вернуться назад