Підглянути у рекламну шпарину. Як звичні інструменти перетворилися на засіб для шпигунства
Цифрову рекламу дедалі активніше використовують не лише для монетизації онлайн-сервісів, але й для стеження за користувачами інтернету. SPEKA розбирається, чим це загрожує звичайним користувачам.
Скасування приватності та неможливість анонімно користуватися інтернетом — речі, з якими змирилася більшість наших сучасників. Віддаючи свої дані онлайн-сервісам та мобільним застосункам, ми безкоштовно отримуємо корисні онлайн-інструменти. Проте останнім часом дедалі частіше легітимні та звичні інструменти онлайн-реклами стають знаряддям для стеження за користувачами. Через це намагання юзерів бути анонімними чи бодай якось приховати свою онлайн-активність нівелюються тим, що вони просто використовують інтернет у різному його втіленні — від онлайн-сервісів до мобільних застосунків.
Саме завдяки таким інструментам рекламного стеження спецслужби навчилися спостерігати за переміщенням путіна. Але ця історія — чи не єдиний випадок корисного використання такого рекламного стеження. Здебільшого ці інструменти агрегують отриману інформацію і у кращому разі продають брокерам даних, а у гіршому — передають спецслужбам.
Як застосунок для гей-знайомств допоміг стежити за путіним
Наприкінці лютого видання Wired опублікувало фрагменти книги журналіста Байрона Тау «Засоби контролю. Як таємний альянс технологій та уряду створив нову американську державу стеження».
У книзі розповідається історія створення проєкту PlanetRisk, пов’язаного з американським урядом, в якому працював ІТ-фахівець Майкл Іглі. Ще до початку роботи у PlanetRisk Майкл звернув увагу на те, що застосунок для гей-знайомств Grindr використовує GPS-дані та підбирає пропозиції для знайомств на основі геолокації користувача, що є серйозним ризиком для конфіденційності. Важливе уточнення — інформація про місцеперебування юзерів Grindr була відома не лише розробникам застосунку, але й рекламодавцям. Вивчивши роботу Grindr, експерт зміг проаналізувати переміщення конкретного смартфона та побачити, де з великою ймовірністю живе власник гаджету, куди він ходить та навіть з ким зустрічається.
Технічно це реалізували так. Кожен власник смартфона отримує рекламний ідентифікатор, за допомогою якого рекламодавці мають інформацію про всю активність юзера. При цьому трекається не лише про його поведінка в інтернеті — відвідані сайти, запущені застосунки, дані про платежі. За допомогою рекламного ідентифікатора можна стежити і за геолокацією та переміщенням користувача. Цю інформацію про місцеперебування використовують не лише для націлювання реклами, також її продають брокерам даних — компаніям, які скуповують дані й продають їх зацікавленим структурам.
Коли Майкл Іглі почав працювати у проєкті PlanetRisk, він використав свої знання для роботи на уряд. Перший продукт PlanetRisk під назвою «Локомотив» умів стежити за переміщеннями власників смартфонів, до прикладу, біженців із Сирії. А згодом навчився спостерігати і за переміщенням світових лідерів — завдяки трекінгу смартфонів його оточення. Серед таких лідерів був і путін. А стежили за ним через гаджети його оточення — водіїв, охоронців та іншого персоналу. Через це PlanetRisk змогла стежити, куди їздить путін і хто у певний момент перебуває біля нього.
Згодом «Локомотив» отримав нову назву VISR (Virtual Intelligence, Surveillance and Reconnaissance — «Віртуальний інтелект, спостереження та розвідка») та став інструментом повсякденного використання американської розвідки.
На ринку інструментів для розвідувальної спільноти присутня не лише американська розробка VISR. Власні рішення створили ізраїльські спецслужби: для них аналогічні продукти розробили компанії Insanet, Patternz та Rayzone. Ці підрядники також продають свої інструменти зацікавленим покупцям у різних країнах.
Успіхи цифрового «шпигуна» Rayzone: 600 тис. застосунків, 5 млрд користувачів на 90 терабайт даних
Історія про PlanetRisk зацікавила технологічну спільноту через те, що у ній фігурувало ім’я путіна. Проте у розповідях про цей шпигунський продукт не фігурують інші метрики, які дозволяють оцінити його ефективність. Тобто наразі невідомо, за якою кількістю гаджетів чи користувачів може стежити чи колись стежив PlanetRisk. Натомість успіхи його конкурента чи колеги по ринку, ізраїльського продукту Rayzone, вражають.
Історії про потужний інструмент рекламного стеження під назвою Rayzone почали з’являтися ще 2023 року. Тоді ж розповідали, що розробки Rayzone купували десятки правоохоронних і розвідувальних агенцій у Європі, на Близькому Сході, в Азії, Північній і Південній Америці. А посередники продавали інструменти Rayzone у такі країни, як Таїланд, Філіппіни та Мексика.
Маркетингові матеріали Rayzone пояснюють, що компанія «збирає інформацію від кожного користувача інтернету в усьому світі», а в одному документі розробники вихваляються, що «ціль не знає про моніторинг і не може його уникнути». У Rayzone також стверджують, що її продукт може надати дані мобільних телефонів за шість місяців та допомагають дізнатися переміщення за весь цей час.
Публікація проєкту 404Media від січня 2024 року допомогла оцінити успішність продуктів Rayzone. Розслідування журналістів показало, що Rayzone використовує дані понад 600 тис. мобільних застосунків. Щодня Patternz (основний шпигунський інструмент Rayzone) здатен обробляти приблизно 90 ТБ даних, у системі створено профілі понад 5 млрд користувачів. А інформацію компанія отримує також від продуктів техногігантів, серед яких Google та X (Twitter), підкреслюючи, до прикладу, що може побачити геолокації користувачів, які передивилися уже видалене відео на YouTube.
Легітимізація рекламного стеження
Проблема в існуванні та роботі цих застосунків полягає в тому, що вони використовують легітимні онлайн-інструменти, відмовитися від використання яких майже неможливо. В описі можливостей Rayzone також йдеться про те, що ця компанія має інструменти поширення шкідливого ПЗ, яке неможливо виявити. Цей інструмент використовує механізм аукціону рекламних оголошень реального часу (Real Time Bidding, RTB), завдяки чому він може отримувати всю необхідну інформацію через онлайн-рекламу та передавати її своїм клієнтам. Оскільки інструмент працює через систему реклами, Patternz не потрібно отримувати спеціальні дозволи на роботу.
Проблема в існуванні Rayzone чи PlanetRisk полягає не лише в тому, що вони легітимізують рекламне стеження. Розробки цих компаній обходять обмеження на урядове шпигунство, адже насправді вони не є шпигунськими.
Безуспішна боротьба із шпигунськими програмами
Останнім часом такі інструменти активно використовували спецслужби різних країн: за даними дослідження, проведеного британським Центром національної комп’ютерної безпеки (GCHQ), понад 80 країн купували такі інструменти цифрового стеження. Ці дані підтверджують експерти Digital Commons Data. Проте такі заборони не зачіпають продукти, які створюють компанії PlanetRisk чи Rayzone.
Натомість ці розробки не лише доводять зайвий раз давно відомий факт про знищення анонімності у цифровому просторі. Вони є непоганим контраргументом для тих, хто вважає, що він є приватною особою, дані про яку нікого не цікавлять. Випадково встановлені закономірності, які пов’язують власників пристроїв із їхньою інтернет-активністю, можуть вартувати кар’єри чи нормальних стосунків у сім’ї. Адже такі сервіси, як Rayzone, можуть знати, наприклад, про відвідини клініки для наркозалежних, про що власник смартфону не волів би розповідати. Або співбесіду у компанії-конкурента чи ігрову залежність.
Історії з PlanetRisk та Rayzone показують, що якщо хтось захоче анонімності та приватності, досягти цього людина зможе, лише якщо відмовиться від гаджетів,і не лише від смартфону, але й від розумного годинника чи іншого пристрою, здатного передавати дані.
