विषय
- सेट अप
- मैंने क्या देखा
- विज्ञापन
- अमेज़न AWS
- ठीक है, Google
- Google मेरे बारे में क्या जानता है?
- फेसबुक, ट्विटर और अन्य के बारे में क्या?
- वास्तविक बनाम संभावित
- लपेटें
डिजिटल गोपनीयता एक गर्म विषय है। हम एक ऐसे युग में चले गए हैं, जहां लगभग हर कोई एक कनेक्टेड डिवाइस रखता है। सभी के पास कैमरा है। हमारी कई दैनिक गतिविधियाँ - बस की सवारी करने से लेकर हमारे बैंक खातों तक पहुँचने तक - ऑनलाइन की जाती हैं। सवाल उठता है, "कौन उस डेटा पर नज़र रख रहा है?"
दुनिया की कुछ सबसे बड़ी टेक कंपनियां हमारे डेटा का उपयोग करने के बारे में जांच कर रही हैं। Google आपके बारे में क्या जानता है? क्या फेसबुक पारदर्शी है कि वह आपके डेटा को कैसे संभालता है? क्या हुआवेई हम पर जासूसी कर रहा है?
इनमें से कुछ सवालों के जवाब देने की कोशिश करने के लिए, मैंने एक विशेष वाई-फाई नेटवर्क बनाया, जो मुझे स्मार्टफोन से इंटरनेट पर भेजे जा रहे डेटा के हर पैकेट पर कब्जा करने देता है। मैं देखना चाहता था कि क्या मेरा कोई उपकरण गुप्त रूप से मेरी जानकारी के बिना रिमोट सर्वर पर डेटा भेज रहा है। क्या मेरा फोन मुझ पर जासूसी कर रहा है?
सेट अप
अपने स्मार्टफोन से आगे और पीछे बहने वाले सभी डेटा को पकड़ने के लिए मुझे एक निजी नेटवर्क की आवश्यकता थी, एक जहां मैं बॉस हूं, जहां मैं रूट हूं, जहां मैं व्यवस्थापक हूं। एक बार जब मेरे पास नेटवर्क का पूर्ण नियंत्रण हो जाता है, तो मैं नेटवर्क के अंदर और बाहर जाने वाली हर चीज की निगरानी कर सकता हूं। ऐसा करने के लिए मैंने एक रास्पबेरी पाई को वाई-फाई एक्सेस प्वाइंट के रूप में स्थापित किया। मैंने कल्पनाशीलता से इसे पीनेट कहा। इसके बाद, मैंने स्मार्टफोन को पाइनेट और अक्षम मोबाइल डेटा के तहत परीक्षण से जोड़ा (यह सुनिश्चित करने के लिए कि मुझे पूरा ट्रैफ़िक मिल रहा है)। इस बिंदु पर, स्मार्टफोन रास्पबेरी पाई से जुड़ा था, लेकिन कुछ और नहीं। अगला चरण यह है कि इंटरनेट से बाहर होने वाले सभी ट्रैफ़िक को आगे बढ़ाने के लिए पाई को कॉन्फ़िगर करना। यही कारण है कि पाई इतना शानदार उपकरण है, क्योंकि कई मॉडलों में वाई-फाई और ईथरनेट दोनों होते हैं। मैंने ईथरनेट को अपने राउटर से जोड़ा और अब वह सब कुछ जो स्मार्टफोन भेजता है और प्राप्त करता है, उसे रास्पबेरी पाई के माध्यम से प्रवाह करना पड़ता है।
वहाँ नेटवर्क विश्लेषण उपकरण बहुत सारे हैं और सबसे लोकप्रिय वायरशार्क में से एक है। यह वास्तविक समय पर कब्जा करने और नेटवर्क पर उड़ान भरने वाले प्रत्येक डेटा पैकेट को संसाधित करने में सक्षम बनाता है। अपने स्मार्टफ़ोन और इंटरनेट के बीच पाई के साथ, मैंने सभी डेटा को कैप्चर करने के लिए वायरशार्क का उपयोग किया। एक बार कब्जा करने के बाद, मैं अपने अवकाश पर इसका विश्लेषण कर सकता था। "अब कैप्चर करें, बाद में सवाल पूछें" विधि का लाभ यह है कि मैं रात भर चलने वाले सेटअप को छोड़ सकता हूं और देख सकता हूं कि रात के मध्य में मेरा स्मार्टफोन क्या रहस्य प्रकट कर रहा है!
मैंने चार उपकरणों का परीक्षण किया:
- हुआवेई मेट 8
- पिक्सेल 3 एक्सएल
- वनप्लस 6T
- गैलेक्सी नोट 9
मैंने क्या देखा
पहली चीज़ जो मैंने देखी वो थी Google से हमारे स्मार्टफ़ोन की बातचीत बहुत। मुझे लगता है कि मुझे आश्चर्य नहीं होना चाहिए - संपूर्ण एंड्रॉइड इकोसिस्टम Google की सेवाओं के आसपास बनाया गया है - लेकिन यह देखना दिलचस्प है कि जब मैं नींद से डिवाइस को जागता हूं, तो यह आपके जीमेल और वर्तमान नेटवर्क समय (एनटीपी के माध्यम से) की जांच करता है। और अन्य चीजों का एक पूरा गुच्छा। मुझे यह भी आश्चर्य हुआ कि Google के कितने डोमेन नाम हैं। मैं सभी सर्वरों के होने की उम्मीद कर रहा था something.whatever.google.com, लेकिन Google के पास 1e100.net (जो मुझे लगता है कि एक Googolplex का एक संदर्भ है), gstatic.com, crashlytics.com और इसी तरह के नाम वाले डोमेन हैं।
मैंने प्रत्येक डोमेन और प्रत्येक आईपी पते की जाँच की और सत्यापित किया कि परीक्षण उपकरणों ने मुझसे यह सुनिश्चित करने के लिए संपर्क किया कि मुझे पता है कि मेरा स्मार्टफोन किससे बात कर रहा था।
Google से बात करने के अलावा, हमारे स्मार्टफोन सामाजिक तितलियों के प्रति काफी लापरवाह हैं और उनके दोस्तों की एक विस्तृत मंडली है। ये, निश्चित रूप से आपके द्वारा इंस्टॉल किए गए कितने ऐप के लिए सीधे आनुपातिक हैं। यदि आपके पास व्हाट्सएप और ट्विटर स्थापित है, तो अनुमान लगाएं कि आपका डिवाइस नियमित आधार पर व्हाट्सएप और ट्विटर के सर्वर से संपर्क करता है!
क्या मैंने चीन, रूस, या उत्तर कोरिया के सर्वरों के लिए कोई नापाक संबंध देखा? नहीं।
विज्ञापन
आपका स्मार्टफोन अक्सर कुछ ऐसा करता है जो विज्ञापन प्राप्त करने के लिए सामग्री वितरण नेटवर्क से जुड़ा होता है। फिर, यह किस नेटवर्क से जुड़ता है, और कितने हैं, यह आपके द्वारा इंस्टॉल किए गए ऐप पर निर्भर करेगा। अधिकांश विज्ञापन-समर्थित ऐप्स विज्ञापन नेटवर्क द्वारा प्रदान किए गए पुस्तकालयों का उपयोग करेंगे, जिसका अर्थ है कि ऐप डेवलपर को इस बात का बहुत कम या कोई ज्ञान नहीं है कि विज्ञापन वास्तव में कैसे परोसे जाते हैं या विज्ञापन नेटवर्क पर कौन सा डेटा भेजा जाता है। मेरे द्वारा देखे गए सबसे आम विज्ञापन प्रदाता डबलक्लिक और अकामाई थे।
गोपनीयता के संदर्भ में, ये विज्ञापन लाइब्रेरी एक विवादास्पद विषय हो सकता है, क्योंकि एक ऐप डेवलपर मूल रूप से डेटा के साथ सही काम करने के लिए प्लेटफॉर्म पर भरोसा कर रहा है और केवल वही भेजें जो विज्ञापनों की सेवा के लिए कड़ाई से आवश्यक है। हम सभी ने देखा है कि वेब के हमारे दैनिक उपयोग के दौरान भरोसेमंद विज्ञापन प्लेटफॉर्म कैसे होते हैं। पॉप-अप, पॉप-अंडर, ऑटो-प्लेइंग वीडियो, अनुचित विज्ञापन, विज्ञापन जो पूरी स्क्रीन पर चलते हैं - सूची चलती है। यदि विज्ञापन इतने पेचीदा नहीं हैं, तो कभी भी विज्ञापन अवरोधक नहीं होंगे।
अमेज़न AWS
मैंने अमेज़ॅन की वेब सेवाओं (AWS) से संबंधित नेटवर्क गतिविधि का एक अच्छा सा हिस्सा देखा। एक प्रमुख क्लाउड सर्वर प्रदाता के रूप में, अमेज़ॅन अक्सर ऐप डेवलपर्स के लिए तार्किक विकल्प होता है, जिन्हें सर्वर पर डेटाबेस और अन्य प्रसंस्करण क्षमताओं की आवश्यकता होती है, लेकिन वे अपने स्वयं के भौतिक सर्वर को बनाए रखना नहीं चाहते हैं।
कुल मिलाकर, AWS के कनेक्शन को सहज नहीं माना जाना चाहिए। वे आपके द्वारा मांगी गई सेवाएं प्रदान करने के लिए हैं। हालाँकि, यह कनेक्टेड डिवाइसों की खुली प्रकृति को उजागर करता है। एक बार जब आप एक ऐप इंस्टॉल कर लेते हैं तो संभावित रूप से यह किसी भी और सभी डेटा को एक बदमाश के पास भेज सकता है, यहां तक कि अमेज़ॅन जैसे सम्मानित सेवा प्रदाता के माध्यम से भी। एंड्रॉइड इसके खिलाफ कई तरीकों से, ऐप्स पर अनुमतियों को लागू करने और प्ले प्रोटेक्ट जैसी सेवाओं के साथ शामिल है। यही कारण है कि साइड-लोडिंग ऐप्स बहुत खतरनाक हो सकते हैं।
ठीक है, Google
चूंकि पीआईईएनटी ने मुझे हर नेटवर्क पैकेट पर कब्जा करने की अनुमति दी थी, मैं यह देखने के लिए उत्सुक था कि क्या Google मेरे पिक्सेल 3 एक्सएल पर माइक्रोफोन को सक्रिय करके और डेटा को Google को भेजकर गुप्त रूप से मुझ पर जासूसी कर रहा था। जब आप Pixel 3 XL पर वॉयस मैच को सक्रिय करते हैं, तो यह मुख्य रूप से "ओके गूगल" और "हे Google" के लिए स्थायी रूप से सुनता है। स्थायी रूप से सुनना मेरे लिए खतरनाक लगता है। जैसा कि कोई भी राजनेता आपको बताएगा, एक खुला माइक हर कीमत पर बचने के लिए एक खतरा है!
डिवाइस इंटरनेट से कनेक्ट किए बिना, कीफ्रेज के लिए स्थानीय रूप से सुनने के लिए है। यदि कीफ्रेज को नहीं सुना जाता है, तो कुछ भी नहीं होता है। एक बार कीफ्रेस का पता लगने के बाद, डिवाइस एक झूठा पॉजिटिव होने पर Google के सर्वर पर एक स्निपेट को दोबारा जांचने के लिए भेज देगा। यदि सब कुछ बाहर की जाँच करता है, तो डिवाइस वास्तविक समय में Google को तब तक ऑडियो भेजता है जब तक या तो कोई कमांड समझ में नहीं आता है, या डिवाइस बार-बार बाहर आता है।
वही मैंने देखा।
जब मैं सीधे फोन पर बात करता था, तब भी कोई नेटवर्क ट्रैफ़िक नहीं होता है। जिस क्षण मैंने कहा "हे Google" नेटवर्क ट्रैफ़िक का एक वास्तविक समय स्ट्रीम Google को भेजा गया था, जब तक कि बातचीत बंद नहीं हो जाती। मैंने "प्रार्थना Google" या "हे गोगल" जैसे कीफ्रेसेज के मामूली बदलावों के साथ Pixel 3 XL को रौंदने की कोशिश की। एक बार जब मैं इसे आगे की मान्यता के लिए Google को एक स्निपेट भेजने में कामयाब रहा, लेकिन डिवाइस की पुष्टि नहीं हुई और ऐसा ही हुआ। सहायक सक्रिय नहीं हुआ।
Google मेरे बारे में क्या जानता है?
Google टेकआउट नामक एक सेवा प्रदान करता है, जो आपको Google से अपने सभी डेटा को डाउनलोड करने की अनुमति देता है, संभवतः इसलिए आप अपने डेटा को अन्य सेवाओं में स्थानांतरित कर सकते हैं। हालाँकि, यह भी देखने का एक अच्छा तरीका है कि Google आपके पास क्या डेटा है। यदि आप सब कुछ डाउनलोड करने की कोशिश करते हैं तो परिणामी संग्रह विशाल हो सकता है (शायद 50GB से अधिक), लेकिन इसमें आपकी सभी फ़ोटो, आपके सभी वीडियो क्लिप, Google डिस्क पर सहेजी गई प्रत्येक फ़ाइल, आपके द्वारा YouTube पर अपलोड की गई सभी चीज़ें, आपके सभी ईमेल शामिल होंगे , और इसी तरह। गोपनीयता की जांच करने के तरीके के रूप में, मुझे यह देखने की आवश्यकता नहीं है कि Google के पास कौन सी तस्वीरें हैं, मुझे पता है कि पहले से ही है। इसी तरह, मुझे पता है कि मेरे पास क्या ईमेल हैं, मेरे पास Google ड्राइव पर कौन सी फाइलें हैं, और इसी तरह। हालांकि, अगर मैं उन भारी मीडिया आइटम को डाउनलोड से बाहर कर देता हूं और गतिविधि और मेटाडेटा पर ध्यान केंद्रित करता हूं, तो डाउनलोड काफी छोटा हो सकता है।
मैंने हाल ही में अपना टेकआउट डाउनलोड किया और यह देखने के लिए चारों ओर एक प्रहार किया कि Google मेरे बारे में क्या जानता है। Chrome, Google पे, Google Play Music, मेरी गतिविधि, खरीद, कार्य, और इसी तरह के विभिन्न क्षेत्रों के लिए फ़ोल्डर युक्त एक या अधिक .zip फ़ाइलों के रूप में डेटा आता है।
प्रत्येक फ़ोल्डर में गोताखोरी से पता चलता है कि Google उस क्षेत्र में आपके बारे में क्या जानता है। उदाहरण के लिए, मेरे क्रोम बुकमार्क की एक प्रति और Google Play संगीत पर मेरे द्वारा बनाई गई प्लेलिस्ट की एक प्रति है। पहले तो कुछ आश्चर्य नहीं हुआ। मुझे अपने अनुस्मारक की सूची की उम्मीद थी, क्योंकि मैंने उन्हें Google सहायक का उपयोग करके बनाया था, इसलिए Google के पास उनकी एक प्रति होनी चाहिए। लेकिन मेरे लिए "टेक सेवी" के रूप में किसी के लिए एक या दो आश्चर्य भी थे।
पहला मेरे द्वारा कहे गए हर चीज के एमपी 3 रिकॉर्डिंग का एक फोल्डर था। उन सभी आदेशों की प्रतिलिपि के साथ एक HTML फ़ाइल भी थी। स्पष्ट करने के लिए, ये वे कमांड हैं जिन्हें मैंने "हे Google" के सक्रिय होने के बाद Google सहायक को दिया था। सच कहूं तो मुझे उम्मीद नहीं थी कि Google मेरे सभी आदेशों की एमपी 3 फ़ाइल रखेगा।ठीक है, मुझे लगता है कि सहायक की गुणवत्ता की जांच करने में सक्षम होने में कुछ इंजीनियरिंग मूल्य है, लेकिन मुझे नहीं लगता कि Google को इन ऑडियो फ़ाइलों को रखने की आवश्यकता है। यह थोड़ा ज्यादा है
Google समाचार पर मेरे द्वारा अब तक पढ़े गए सभी लेखों की एक सूची भी थी, हर बार मैंने सॉलिटेयर की भूमिका निभाई, और मैंने Google Play संगीत पर की गई सभी खोजों को लगभग पाँच साल पीछे छोड़ दिया!
यह Google को आपके सभी ईमेल खरीद के लिए प्रक्रियाएं बताता है और उनमें से एक रिकॉर्ड बनाता है।
जो मुझे वास्तव में हैरान करता है, वह खरीद फ़ोल्डर में था। यहां Google के पास उन सभी चीज़ों का रिकॉर्ड है जो मैंने कभी भी ऑनलाइन खरीदी हैं। सबसे पुराना आइटम 2010 से था, जब मैंने कुछ हवाई जहाज के टिकट खरीदे। यहाँ मुद्दा यह है कि मैंने Google के माध्यम से इन टिकटों या किसी भी वस्तु को नहीं खरीदा है। मेरे पास अमेज़ॅन, ईबे और आईट्यून्स से आइटम के लिए रिकॉर्ड खरीद हैं। मेरे द्वारा खरीदे गए जन्मदिन कार्ड के रिकॉर्ड भी हैं।
गहरा खोदने पर मुझे उन खरीदों का पता लगने लगा जो मैंने नहीं की थीं! कुछ सिर खुरचने के बाद यह पता चलता है कि ये रिकॉर्ड Google द्वारा मेरे ईमेल को संसाधित करने और मेरे द्वारा की गई खरीद का अनुमान लगाने के परिणाम हैं। आपने शायद इसे विशेष रूप से उड़ानों के संबंध में देखा है। यदि आप एयरलाइन से एक ईमेल खोलते हैं, तो जीमेल आपकी उड़ान के बारे में कुछ सारांश जानकारी मदद करता है।
यह Google को आपके सभी ईमेल खरीद के लिए प्रक्रियाएं बताता है और उनमें से एक रिकॉर्ड बनाता है। जब कोई आपके द्वारा खरीदी गई किसी चीज़ के बारे में आपको ईमेल करता है, तो Google इसे अनजाने में आपके द्वारा की गई खरीदारी के रूप में पार्स कर सकता है!
फेसबुक, ट्विटर और अन्य के बारे में क्या?
सोशल मीडिया और गोपनीयता कुछ मायनों में विरोधाभासी हैं। जैसा कि हेरोल्ड फिंच ने टीवी शो पर्सन ऑफ इंटरेस्ट में सोशल मीडिया के बारे में कहा था, “सरकार सालों से यह जानने की कोशिश कर रही थी। अधिकांश लोग इसे स्वेच्छा से देख रहे थे। "सोशल मीडिया के साथ, हम स्वेच्छा से जन्मदिन, नाम, दोस्त, सहकर्मी, फोटो, रुचियां, इच्छा सूची और आकांक्षाओं सहित जानकारी पोस्ट करते हैं। फिर, उस सारी जानकारी को प्रकाशित करते हुए, जब हम उन तरीकों से उपयोग किए जाते हैं, तो हम चौंक जाते हैं, जिनका हमारा कोई इरादा नहीं है। जैसा कि एक अन्य प्रसिद्ध चरित्र ने कहा कि एक जुआ हॉल के बारे में उन्होंने कहा, "मैं हैरान हूं, यह जानकर चौंक गया कि यहां जुआ चल रहा है!"
फेसबुक और ट्विटर सहित सभी बड़ी सोशल मीडिया साइटों में गोपनीयता नीतियां हैं और वे जो भी कवर करते हैं, उसमें काफी व्यापक हैं। यहां ट्विटर की नीति का एक अंश दिया गया है:
"हमारे साथ साझा की जाने वाली जानकारी के अलावा, हम आपके ट्वीट्स, आपके द्वारा पढ़ी गई सामग्री, लाइक, या रीट्वीट, और अन्य जानकारी का उपयोग करके निर्धारित करते हैं कि आप किस विषय में रुचि रखते हैं, आपकी आयु, आपके द्वारा बोली जाने वाली भाषाएं और अन्य संकेत। आपको अधिक प्रासंगिक सामग्री दिखाने के लिए। ”
तो, क्या आपका डिवाइस ट्विटर से जुड़ रहा है और ट्विटर को आपकी उम्र, आपके द्वारा बोली जाने वाली भाषा, और आपकी किन चीज़ों में दिलचस्पी है, यह निर्धारित करने की अनुमति देता है? ज़रूर।
यह आपको प्रोफाइल करता है - और आप इसे ऐसा करने देते हैं।
यहाँ महत्वपूर्ण प्रश्न है: अगर मेरे पास एक स्मार्टफोन नहीं है, तो क्या वे संस्थाओं को मेरी जासूसी करने से रोकेंगे, यदि वे चाहते थे?
वास्तविक बनाम संभावित
जुड़े उपकरणों और ऑनलाइन संस्थाओं के साथ सबसे बड़ी समस्या यह नहीं है कि वे क्या कर रहे हैं, बल्कि वे क्या कर सकते हैं। मैंने "संस्थाओं" वाक्यांश का जानबूझकर उपयोग किया क्योंकि सामूहिक निगरानी, जासूसी और रूपरेखा के आसपास के खतरे केवल Google या फेसबुक के बारे में नहीं हैं। वास्तविक सॉफ्टवेयर गलतियों (बग्स) के साथ-साथ बड़ी ऑनलाइन कंपनियों के मानक व्यवसाय मॉडल की उपेक्षा करना, यह कहना काफी सुरक्षित है कि Google आप पर जासूसी नहीं कर रहा है। न ही फेसबुक है। न ही सरकार है। इसका मतलब यह नहीं है कि वे - या नहीं कर सकते।
क्या कोई हैकर या सरकारी जासूस कहीं आपके फोन पर माइक को आपको सुनने के लिए सक्रिय कर रहा है? नहीं, लेकिन वे कर सकते थे। जैसा कि हमने हाल ही में जमाल खशोगी की हत्या के आस-पास की घटनाओं के साथ देखा, संस्थाएं आपको एक ऐप इंस्टॉल करने के लिए प्रेरित कर सकती हैं जो आप पर जासूसी करता है। ज़ेरोडियम जैसी कंपनियां सरकारों को शून्य-दिन की भेद्यताएं बेचती हैं, जो आपके डिवाइस पर दुर्भावनापूर्ण एप्लिकेशन (जैसे पेगासस) को बिना आपकी जानकारी के स्थापित करने की अनुमति दे सकती हैं।
क्या मैंने अपने उपकरणों के साथ ऐसी कोई गतिविधि देखी? नहीं, लेकिन मैं इस तरह की निगरानी और कौशल के लिए एक संभावित लक्ष्य नहीं हूं। यह अभी भी किसी और के साथ हो सकता है।
यहाँ मुख्य प्रश्न है: यदि मेरे पास स्मार्टफोन नहीं है, तो क्या वे संस्थाओं को मेरी जासूसी करने से रोकेंगे, यदि वे चाहते थे?
स्मार्टफोन लॉन्च से पहले, दुनिया की हर बड़ी सरकार पहले से ही जासूसी और निगरानी में शामिल थी। द्वितीय विश्व युद्ध शायद एनिग्मा कोड को तोड़कर जीता था और इसने जिस बुद्धिमत्ता को छुपाया था, उसकी पहुंच हासिल कर ली। स्मार्टफ़ोन को दोष नहीं दिया जाता है, लेकिन अब एक बड़ी हमले की सतह है - दूसरे शब्दों में, आपकी जासूसी करने के और भी तरीके हैं।
लपेटें
अपने परीक्षण के बाद, मुझे विश्वास है कि जिन उपकरणों का मैंने उपयोग किया है उनमें से कोई भी असामान्य या पुरुषवादी नहीं है। हालाँकि, गोपनीयता का मुद्दा सिर्फ एक उपकरण से बड़ा है जो जानबूझकर दुर्भावनापूर्ण नहीं है। Google, Facebook, और Twitter जैसी कंपनियों की व्यावसायिक प्रथाएँ अत्यधिक बहस योग्य हैं और वे अक्सर गोपनीयता की सीमाओं को धक्का देती हैं।
जासूसी करने के लिए, मेरे आंदोलनों को देखने और मेरी खिड़कियों पर एक दिशात्मक माइक्रोफोन को इंगित करने के लिए मेरे घर के बाहर कोई सफेद वैन खड़ी नहीं है। मैंने अभी जाँच की। मेरे फोन को किसी ने हैक नहीं किया है। इसका मतलब यह नहीं है कि वे नहीं कर सकते हैं।
