Izveštaj o privatnosti: Šta Android radi u pozadini

Prešli smo dug put od interneta devedesetih i ranih dvehiljaditih. Ne samo u smislu tehnologije, mogućnosti i kulture, već i u odnosu na stav koji većina nas zauzima kada pristupamo „mreži“.

Šta rade sistemske aplikacije

U tim ranim danima većina korisnika imala je jaku želju da zadrže bilo kakve lične ili identifikacione podatke za sebe osim povremenih (i često potpuno izmišljenih), a pre nego što su eBay i Amazon normalizovali kupovinu na mreži, bilo je nečuveno da su ukucali broj kreditne kartice. Na današnjem Internetu sve ove stvari radimo prilično bezbrižno, a da stvar bude još gora većina nas nosi sa sobom uređaj koji ne samo da čuva sve naše lične podatke, već i izveštava o nama sve – od naših navika pregledanja, do naših lokacija, nazad na baze podataka koje se neograničeno čuvaju.

Oduvek se znalo da oba popularna mobilna operativna sistema za ove uređaje, iOS i Android, prijavljuju podatke o nama na različite servere. Ali koliko su sami operativni sistemi uradili bilo je u velikoj meri stvar spekulacija, posebno za Apple uređaje koji rade stvari koje samo Apple može sa sigurnošću da zna. Dok Apple čuva svoje misterije za sebe i stoga mu se ne može u potpunosti verovati, Android je mnogo otvoreniji, što paradoksalno olakšava kompanijama (i zlonamernim korisnicima) da špijuniraju korisnike, ali i olakšava tim korisnicima da obezbede svoju privatnost.

Zahvaljujući nedavnom izveštaju o privatnosti o nekoliko različitih verzija Android-a, znamo nešto više o tome šta sistemske aplikacije rade, koje informacije prikupljaju i gde ih šalju i koje tačno verzije Android su najbolje za one koji privatnost shvataju ozbiljno. Izveštaj proučava šest različitih Androida i šta svaki od njih radi iza kulisa. Istraživači su proučavali operativne sisteme kompanija Samsung, Xsiaomi, Huawei i Realme koji takođe proizvode svoje uređaje, ali su takođe pogledali i dva alternativna operativna sistema zasnovana na Androidu — LineageOS i /e/OS — koji se mogu instalirati na nekim uređajima i prilagoditi radi privatnosti. /e/OS je napravljen imajući na umu privatnost, dok je LineageOS više zamena koja se ne fokusira posebno na privatnost.

Gomila korisničkih podataka na analizi

Ne bi trebalo da bude iznenađenje da četiri verzije Androida koje su prilagodili proizvođači uređaja prijavljuju gomilu korisničkih podataka, ili da bilo koji uređaj sa Google Apps (GApps) paketom prijavljuje naizgled beskrajan tok korisničkih informacija nazad na Google servere, ali neki od konkretni rezultati koje je istraživački tim pronašao su svakako vredni pažnje. Prvo, rad ističe da su sve ove kompanije u stanju da povežu uređaje sa korisnicima. Kompanije upoređuju IMEI brojeve i druge identifikatore uređaja sa drugim korisničkim podacima, što povezivanje ovih naloga čini jednostavnom igrom povezivanja tačaka. Razlog za ovo je uglavnom ciljanje oglasa, ali sve ove kompanije će takođe neselektivno deliti ove informacije sa raznim vladinim agencijama. Oni takođe nisu savršeno bezbedni, tako da će ih imati i svaki napadač koji dobije pristup ovim informacijama.

Ovo ne bi trebalo da bude previše iznenađujuće, ali nove informacije ovde su da su istraživači takođe otkrili da se ovi podaci dele među kompanijama. Na primer, čini se da Samsung i Google međusobno dele podatke. Swiftkey, popularna aplikacija za tastaturu, takođe šalje informacije Microsoft-u preko Google-a. To je prilično složena mreža deljenja podataka i usluga jedne kompanije koja podržava napore druge u prikupljanju podataka. Neki od ovih napora za prikupljanje podataka takođe uključuju detalje kao što su korišćenje aplikacije sa vremenskim oznakama i prikupljanje ličnih kontakata. Istraživači upoređuju ovu aktivnost prikupljanja podataka sa /e/OS, verzijom Android-a koja je orijentisana na privatnost. /e/OS je fork LineageOS-a koji je posebno posvećen privatnosti, ne uključuje softver koji se odnosi na Google i u suštini ne prikuplja nikakve korisničke podatke samostalno, osim informacija o dostupnim ažuriranjima i nekim drugim neophodnim informacijama.

LineageOS je samo neznatno bolji od Android ponuda velikih proizvođača kada se uz njega instalira GApps paket, uglavnom zato što su Google sistemske aplikacije toliko prodorne u prikupljanju korisničkih podataka. Moguće je koristiti LineageOS i bez GApps paketa, ali istraživači nisu prihvatili ovaj pristup i uglavnom su se fokusirali na /e/OS kao de-Google verziju studije. Iako je /e/OS svakako odličan izbor za korisnike pametnih telefona koji vode računa o privatnosti, postoji nekoliko drugih vrednih pomena koji nisu uključeni u studiju. Izvlačeći zaključak iz ovog istraživanja da je pravi narušavač privatnosti GApps (sve dok možete da izbegnete drugi špijunski softver kompanije Samsung i dr.), moguće je instalirati LineageOS na širi niz uređaja nego što /e/OS trenutno podržava .

Pošto je instaliranje GApps-a nešto što se obično učitava sa strane nakon instaliranja LineageOS-a i predstavlja opcioni korak, ovo se jednostavno može izostaviti. Pored toga, ako apsolutno ne možete da živite bez Google mapa ili Gmail-a, postoji način da pristupite Google uslugama bez da ih zapravo instalirate na svoj uređaj. Dostupan je softverski paket pod nazivom MicroG koji je zamena otvorenog koda za GApps i omogućava korisniku da pristupi Google uslugama koje bi inače bile dostupne, ali ograničava praćenje i prikupljanje korisničkih podataka od strane Google-a. Postoji fork LineageOS-a pod nazivom „LineageOS for MicroG“ koji podrazumevano uključuje ovaj paket umesto GApps.

Za one sa Google Pixel uređajima posebno, postoje još dve opcije privatnosti. GrapheneOS je Cadillac verzija Android-a fokusiranih na privatnost i ima brojna poboljšanja za bezbednost, kao što su sandboxing aplikacija, implementacija bezbednog/verifikovanog pokretanja, onemogućavanje perifernih uređaja preko prekidača i druga poboljšanja. CalyxOS je zasnovan na GrapheneOS-u i sličan je, ali dozvoljava upotrebu MicroG-a i ima neke manje intenzivne bezbednosne prakse od GrapheneOS-a. Jedini nedostatak ovih verzija Androida je taj što su napravljeni skoro isključivo za Google Pixel i u najmanju ruku zahteva poverenje da Google nije ugradio neku vrstu hardverskog backdoor-a u svoje telefone. Postoji nekoliko drugih opcija za poboljšanje privatnosti na mreži kada koristite pametni telefon. Dostupni su telefoni samo za Linux, kao što je Pinephone, ali nisu potpuno opremljeni kao Android.

Neke verzije Linux-a su dostupne i za telefone koji bi inače pokretali Android. Rad se detaljno bavi metodologijom i takođe uključuje informacije o tome kako su utvrdili koji se podaci šalju. Takođe je vredno napomenuti da ističu da nijedno od ovih istraživanja ne istražuje nikakve specifične aplikacije koje bi mogle biti instalirane na telefonu i samo gledaju na aplikacije operativnog sistema. Ako instalirate nasumične freemium igre, bankarske aplikacije ili Facebook na svoju instalaciju GrapheneOS-a, na primer, verovatno će poništiti sve vaše napore u vezi sa privatnošću.

Izvor: Hackaday