Index: Az androidos telefonok is kémkednek a gazdájuk után

http://index.hu/tech/2011/04/22/az_androidos_telefonok_is_kemkednek_a_g…

A fent megjelent cikkel kapcsolatban nyitnék egy hálózatok/offtopic/flame kategóriájú témát.

1. Igaz-e?
2. Értem én, hogy ez jól jöhet a helymeghatározásnál - mint ahogy a cikk is állítja - de legális-e?
3. Jó védekezésl lehet-e ez ellen valami 'ugrókódos megoldás', amit random cserélgeti a wlan device-on a mac address-t és az SSID-t? (nyilván értelmes időközönként)

update: Talán a 3. pontot nem fejtettem ki megfelelően.

Tehát én, mint WiFi router tulajdonos sikeresen védekezhetek-e az ilyen jellegű 'nyomonkövetésem/azonosításom' ellen valami olyan módszerrel, hogy a router, amit használok folyamatosan változtatja a mac address-ét a wlan interface-en, ill. az SSID-t is. (pl. naponta vagy pár óránként)

Feltételezett eredmény: egy változó history az adott zónában. Egységnyi időre megjelenik egy random új SSID/mac, ami aztán örökre el is tűnik. Fokozható a hatékonyság, ha ugyanígy a WiFi-hez kapcsolódó kliens(ek) mac-jét is cserélgethetjük.

Kieg: bevállalom, hogy az ebből adódó újracsatlakozási kényelmetlenség nem zavar (vagy kitalálok rá valamit :-)

Hozzászólások

3. ha nincs wlan, elküldi sms-ben. :D

(Kémkedni divatos dolog, csak nem tudom minek?
XY. user aki csak divatból vett android telot, 0-24-ig figyelni!?)

Drága lehet.
De ki tudja!?
Orbánék 1 misi munkahelyet ígértek.....
Minden emberre egy megfigyelő.
Ha a rokkantakat is beszámítjuk, akkor gyanús lehet a rokkan kocsi is! :lol:

Hmmm... a routerem a MAC addresse alapján pontosan a helyén van a térképen...
...most avagy a Symbian^3 is kémkedik :), vagy valakinek a szomszédban Androidos telefonja van, vagy egyszer erre járt egy droidos telóval...
<-------
You can't grep on dead trees.

Az összes 2,4 GHz-es AP-nk bent van, még olyanok is amik irányított antennával pont-pont kapcsolatot csinálnak WDS-el... Meg az is ami csak kb. 2 hete üzemel, meg az is ami egy pincehelyiségben van... Ez mondjuk nem méter pontosan, de az utca stimmel. Hát, nem vagyok boldog :(

Emléleim szerint a Street View magyarországi felmérésének része volt az is, hogy feltérképezték a vezeték nélküli hálózatok adatait, valamilyen nagy marketingdumával fűszerezve. Ezért _is_ állíttatták le a hazai Street View-t. Sajnos ettől még az adatbázisuk él...
Személy szerint márcsak ezért sem vennék olyan eszközt, amin nincsen normális vezetékes LAN csatlakozó.
"Okostelefonra" szerencsére nincsen szükségem, a WLAN védelme az illetéktelen használat ellen pedig amúgy is egy örökös versenyfutás az idővel.

A kiindulási alapom az volt, hogy nincs broadcast, tehát határozottan nem járulok hozzá a készülék rögzítéséhez.
Számomra logikusnak tűnik legalábbis.

Az, hogy megtudható, csak egy dolog... az, hogy egyszerűen, egy másik.
Korrektebb hozzáállásnak tűnne, ha a "rejtőzködő" hálózatokról nem készítene a rendszer lenyomatot.
Persze, ott vannak... kicsit talán olyasmi ez mint a telefonkönyvben jegyzett "direkt marketing céljára nem használható fel" bejegyzés ellenére megkeresni az embert kitalált indok alapján.

Ez marha jó, nálam azt tudja, hogy HOL szeretnék lenni, de sajnos nem ott vagyok...

"country_code": "US"
"region": "California"
"county": "Los Angeles"
"city": "Los Angeles"
"street": "N Formosa Ave"
"street_number": "1140"
"postal_code": "90046"
"accuracy": 24.0

nem azt használja, a gmaps apinak már csak beköpi a kapott koordinátákat, amiket a háttérben nyer ki valahogyan.

pont ez a gond szerintem az egésszel: nem az az igazi probléma, hogy a google eltárolja ezeket az adatokat, hanem hogy szabadon felhasználhatóvá teszi mindenki számára. csak azt nem értem hogyan. az ios-nél ugye maga a telefon tárolja le a historyt, itt viszont upload után a központban gyűlnek az adatok és ezeken lehet publik lekérdezéseket futtatni

En arra alapoztam, hogy a Mozilla geolocation feature hogyan nyeri ki, egy ilyen peldakodot egyszer megneztem es ott a google analytics js-t hivatkozzak be.

Most utanaolvasva ugy nez ki, hogy ez egy kulon API a Google Gears libraryben:

http://code.google.com/apis/gears/api_geolocation.html

Nyilvan az a helyzet, hogy a library belul lekerdezi a rendszertol a lathato wlan halozatok listajat, ezt javascriptbol kozvetlenul nem lehetne megtenni, ezert kell a kulon telepitheto Gears plugin a bongeszobe.

A fenti linken levo alkalmazas gondolom ugy mukodik, hogy az illeto visszafejtette (vagy csak kikereste forraskodbol?), hogy milyen hivassal kuldi el a halozatok listajat a google-nek a library es erre irt egy alkalmazast, ami a beirt MAC-et kuldi, mintha csak ezt az egyet latna eppen a gep. A google meg visszakopi a szerinte legvaloszinubb koordiatakat.
---
Internet Memetikai Tanszék

Hogy gyűjtik az adatokat, az egy kicsit gáz.

Hogy ezt el is küldik a guglinak, az nagyon gáz.

Az pedig, hogy ez publikusan lekérdezhető, arra szavakat sem találok. Az alábbi oldal pl. pontosan tudta, hol van a céges wifi, és az otthoni is, pedig egy kisváros újépítésű részén lakok, amerre nem járkál annyi ember: http://samy.pl/androidmap/ . Hogy lehet ez publikus?!?!?!

--
joco voltam szevasz

Igen, a telefon megkérdezi, hogy a user hozzájárul-e, hogy a google nyomonkövesse. Aki igent mond, az a Facebooknak is megadja a pop3 authentikációs adatait. Vannak ilyen majmok.

[off]
Nos, hogyan tudnék a "leghatékonyabban" feltérképezni, milyen MAC address hol található (GeoIP adatbázis elég pontos)?

Irj egy cikket valami szakmai oldalra, hogy "lopják az adataidat, ITT ellenőrizheted".
[/off]

az érthetőség kedvéért a 3. pontot kicsit jobban kifejtettem

--
e0:deb

Sziasztok!

Akkor kezdjük a tényekkel:
1: Az android rákérdez hogy gyűjthet e adatokat: http://goo.gl/iY3iE
2: Annak a telefonja gyűjt adatokat aki használja is ezeket az adatokat (A wifi location bekapcsolásával kapcsolja az adatgyűjtést) szerintem korrekt
3: Nyilván publikusan hozzáférhetőnek kell lennie az adatbázisnak különben a telefon hogy kérné le a helyzetét ezzel a szolgáltatással?

Amit meg nem teljesen értek hogy mitől paráztok?
Nem azt adja meg hogy adott helyen milyen ap-k vannak, hanem hogy adott router/ap hol van.
Namármost ki tudja rajtad kívül (illetve a gyártón, aki viszont nem tudja hogy kié lett a router/ap) hogy mi a routered/apd bssid-je? Aki ott van a hatókörében kb... az meg azt is tudja hogy hol van.....

Valaki mesélje már el hogy ez kinek és miért fáj?

Hát abban az esetben valószínűleg sokkal égetőbb problémákon agyalnék mint hogy most ki lehet deríteni hogy melyik utca melyik részén lakom.

Igen, minden szolgáltatást (a legtöbbet) lehet rossz célokra használni, de attól még a szolgáltatás nem rossz...

Ennyi erővel ne legyen gps a telefonba, mer ha véletlenül feltörik, akkor látják hol vagyok.
Ne is legyen wifi, mer magában az egyik legnagyobb biztonsági kockázat egy átlagos otthoni hálózaton.
Ne legyen internet, mer ... most kezdjem el sorolni? :D

Elbújhatunk a hegyekben egy barlangba és akkor tuti biztonságban leszünk ;)

Ennyi erővel ne legyen gps a telefonba, mer ha véletlenül feltörik, akkor látják hol vagyok

Ehhez nincs szukseg az eszkoz feltoresere, a szolgaltato (es igy aki jogosult ennek az adatnak legalis megismeresere) azonnal latja merre van a telefonod es ehhez meg gps-re sincs szukseg, meg a pontossag is hasonlo.

Ne is legyen wifi, mer magában az egyik legnagyobb biztonsági kockázat egy átlagos otthoni hálózaton.

Kicsit mas teszta az amikor ez onkent vallalt kockazat es mas az amikor az engedelyem nelkul lajstromba veszik es nagyjabol meter pontosan lejegyzik az altalam uzemeltetett eszkozt es annak minden tulajdonsagat egy profit orientalt multi adatbazisaba.

---
pontscho / fresh!mindworkz

Ha én mint a rendszer üzemeltetője nem kértem, milyen jogon készítenek mégis logot róla?

A telefonomban amúgy a GPS akkor aktív, amikor használom is. Cellaadatok alapján már leírták, hogy szükség sincs rá... ez sajnos elkerülhetetlen, hogy legalább a szolgáltató ismeri a pozíciódat, különösen a sűrűn lakott területen igen pontosan.

Vannak olyan kockázatok, amiket kértem és igyekszem a lehető legbiztonságosabban megoldani (pl wifi, net hozzáférés), viszont olyan is van, amit nem kértem és nem is engedélyeztem senkinek... ez számomra abszolút fölösleges kockázatot jelenthet.

Szia!

Javíts ki ha tévednék, de az apple kütyüjei, ha jól tudom nem szólnak az adatgyűjtésről (javíst ki mer soha nem használtam szifont huzamosabb ideig) míg a google szól, hogy azzal hogy az előnyeit élvezed a szolgáltatásnak, az adatgyűjtésben is részt veszel.

másik érdekes kérdés hogy az android-nál egyértelműen látszik a dolog célja a wifi helymeghatározás, az almások miért is gyűjtik az adatokat, erről tud valaki valamit? azért hogy a szifon célzottabb reklámokat tolhasson a fejembe? vagy mi a dolog célja? hol / hogyan tudom kikapcsolni?

ez a nem mindegy..

Javíts ki ha tévednék, de az apple kütyüjei, ha jól tudom nem szólnak az adatgyűjtésről (javíst ki mer soha nem használtam szifont huzamosabb ideig) míg a google szól, hogy azzal hogy az előnyeit élvezed a szolgáltatásnak, az adatgyűjtésben is részt veszel.

Rakerdez. Plusz nem bizonyitott, h ezen informaciok kikerulnek a telefonbol, a jelek eddig azt mutatjak, h csak az eszkozon vannak jelen, ellentetben a topicban levo adatokkal.

másik érdekes kérdés hogy az android-nál egyértelműen látszik a dolog célja a wifi helymeghatározás, az almások miért is gyűjtik az adatokat, erről tud valaki valamit? azért hogy a szifon célzottabb reklámokat tolhasson a fejembe? vagy mi a dolog célja?

iOS is hasznal wifi alapu helymeghatarozast. Azt feltetelezni pedig, pont egy hirdetesekbol elo ceg eseteben, h a google nem fogja ilyesmire felhasznalni, mikor a gtalk logjaim alapjan mar celzott hirdetesekkel bombaz, eleg szep nagy naivitasra utal.

hol / hogyan tudom kikapcsolni?

Location services -> off. Ha jb van (ami ugye legalis), akkor szelektiven is kikapcsolhato.

---
pontscho / fresh!mindworkz

Rakerdez. Plusz nem bizonyitott, h ezen informaciok kikerulnek a telefonbol, a jelek eddig azt mutatjak, h csak az eszkozon vannak jelen, ellentetben a topicban levo adatokkal.

"This information and the GPS coordinates are stored (or “batched”) on the device and added to the information sent to Apple."

Nem az a biztonsági lyuk, hogy anonimizált adatokat küld a telefon a központba, hanem az, hogy emellett hetekre és hónapokra visszamenőleg ott egy titkosítatlan fájlban az adat, amelyhez hozzá lehet férni a felhasználó tudta nélkül.

A 3G hálózat, a WiFi hálózat és a többi kommunikációs mód mind része az elektronikus tájképnek, egyszerűen a "templom melletti utca végén a három magas fenyő mellett van a posta" utasítás helyett mondható, hogy az "X BSSID után az Y BSSID-ig kell menni és ott van a posta".

Ennek akkor lesz egyszer haszna, ha mondjuk USA katonai módba kapcsolja a GPS-t és még se az EU, se az orosz navigációs rendszer nem üzemel.

iOS is hasznal wifi alapu helymeghatarozast.

És egy hozzászólásban le tudod írni, ezt a mondatot azzal, hogy nem bizonyított az, hogy elküldi az Applehoz a gyűjtött adatokat? :)
--
http://wiki.javaforum.hu/display/~auth.gabor/Home

Nem az a biztonsági lyuk, hogy anonimizált adatokat küld a telefon a központba, hanem az, hogy emellett hetekre és hónapokra visszamenőleg ott egy titkosítatlan fájlban az adat, amelyhez hozzá lehet férni a felhasználó tudta nélkül.

Tisztaban vagyok vele. Ez olyan evidencia amit mar meg sem emlit az ember egy szakmai portalon.

Ennek akkor lesz egyszer haszna, ha mondjuk USA katonai módba kapcsolja a GPS-t és még se az EU, se az orosz navigációs rendszer nem üzemel.

A wifisnel meg a gsm alapu helymeghatarozas is pontosabb lesz ebben az esetben. Ha ezeket is lekapcsoljak, akkor mar nem az lesz a legnagyobb problemad, h wifi ap-k helyzete alapjan navigalj. Sot, ha az USA "katonai modba kapcsolja a GPS-t" Europa felett, akkor a gsm halozatokra is magasan tenni fogsz es a tyukszaros eleted mented mindenaron egy Tomahawk robotrepulogep vagy egyeb bomba elol. :)

És egy hozzászólásban le tudod írni, ezt a mondatot azzal, hogy nem bizonyított az, hogy elküldi az Applehoz a gyűjtött adatokat?

Igen. Ugyanis ilyen adatbazisokat vasarolni is lehet.

---
pontscho / fresh!mindworkz

"Ha ezeket is lekapcsoljak, akkor mar nem az lesz a legnagyobb problemad, h wifi ap-k helyzete alapjan navigalj. Sot, ha az USA "katonai modba kapcsolja a GPS-t" Europa felett, akkor a gsm halozatokra is magasan tenni fogsz es a tyukszaros eleted mented mindenaron egy Tomahawk robotrepulogep vagy egyeb bomba elol. :)"

Ha átpöccentik katonai módba, az nem feltétlen azt jelenti, hogy errefelé is lőni fognak, ugyanis elképzelhető, hogy az arab konfliktusok kissé nagyobb kiterjedése esetén már saját gyártású eszközökkel néz szembe a NATO, akkor pedig hasznos lehet a GPS kiiktatása. Ettől még az EU területén nem lesznek harcok, csak mellékhatásként nem lesz GPS pozíció.

"Igen. Ugyanis ilyen adatbazisokat vasarolni is lehet."

Ahja... kitől? :)
--
http://wiki.javaforum.hu/display/~auth.gabor/Home

Kiegészítés:
A GPS pontosságát csak a rendszer egészére lehet beállítani. Nincs arra lehetőség (2003-ban még nem volt), hogy csak egyes földrajzi területeken rontsák le a pontosságot. A dolog érdekessége az, hogy az Öbölháború idején mindenhol megnőtt a GPS rendszer pontossága, ugyanis nem volt elegendő katonai készülék, így a katonák egy része is polgári GPS vevőt használt. Ezért megnövelték a polgári célra használt kódok pontosságát is. Az egész világon.
Ha az esetből tanultak, és már van elég katonai készülékük, akkor a következő akció idején már lehet, hogy csökkenteni fogják a polgári készülékek pontosságát. De szintén az egész Földre kiterjedően.

-----
"Én vagyok a hülye, hogy leállok magával vitatkozni."

már tavaly kérdőre vonták az apple-t, ahol elhangzott, hogy minden 12. órában - ha módjában áll a készüléknek - továbbítja az adatokat az apple felé.

http://www.wired.com/images_blogs/gadgetlab/2011/04/applemarkeybarton7-…

http://www.gizmodo.com.au/2011/04/why-apple-collects-detailed-location-…

jelen szituációban nem is ez lenne a lényeg, hanem hogy jailbreak-elt telefonok esetén állítólagosan könnyedén leemelhető a készülékről a fájl, így 3. fél is rálátást kap.

szerény véleményem szerint ismét vihar a biliben, egyik vezető cég sem egy matyóhímzés ezen a területen.

ühm, el vagy tévedve. már tavaly kérdőre vonták az apple-t, ahol elhangzott, hogy minden 12. órában - ha módjában áll a készüléknek - továbbítja az adatokat az apple felé

Nem a sajat velemenyem volt ez, hanem mindenfele szakembere akik ezt ki mertek jelenteni a nagynyilvanossagnak.

jelen szituációban nem is ez lenne a lényeg, hanem hogy jailbreak-elt telefonok esetén állítólagosan könnyedén leemelhető a készülékről a fájl, így 3. fél is rálátást kap

Ehhez nincs szukseg jb-re, van eleg lyuk Safariban, de ez celzott tamadast jelent es nem altalanos adatkuldest, mint ebben az esetben.

szerény véleményem szerint ismét vihar a biliben, egyik vezető cég sem egy matyóhímzés ezen a területen

Ebben feligmeddig egyetertunk.

---
pontscho / fresh!mindworkz

személy szerint egyébként pont tojok rá, vagy én vagyok túl nyitott, vagy a világ paranoid :) személy szerint az sem hatna meg, ha név szerint tudnák, hogy mikor hol jártam (akár a google, akár az apple).
saját szemszögemből nem érzem annak a veszélyét, hogy tudják, hogy hol voltam/vagyok. persze ez már egyéni kérdés, hogy kinek mi az elfogadott.

Távoli gépek / routerek MAC címét hogyan lehet lekérdezni? arp -a működik belső hálón, de ha távoli gépet akarok azt hogyan lehet?

Ez ismet egy lufi amit elkezdett valaki fujni.
Kit erdekel amig nem nevvel, telefonszammal gyujtik.
Gyujtsek.

Hogyha kiplakátolod, hogy "Konyhabútor eladó tel.:+36305465700" és azt én felírom a füzetembe, akkor azzal szabály sértek? Szerintem nem.
Szabályt sértek-e ha hozzá írom, hogy melyik telefonpóznán találtam a hirdetést? Szerintem nem.

És ha ezeket az adatokat odaadom egy barátomnak aki bútort szeretne venni? Szerintem akkor sem.

Mi a különbség ez, és a között hogy azt broadcastolja a routered hogy "Szia! Én vagyok a 00:14:45:36:A5 ha tudod a WPA-PSK kódomat akkor adok neked netet!"
Ja, hogy ezt te nem a Google-nek szánod hanem a saját eszközeidnek? Kellemetlen.

Ez kb olyan, hogy a mélyen dekoltált hölgyet meg fogják nézni a jó pasik és a rossz pasik is. Nyilván, a jó pasiknak öltözött ki nade mégsem tiltható meg, hogy a kevésbé potenciális partnerek is legeltessék a szemüket.
A látványpékség kirakatát is megnézheti a fizetőképes vásárló és a pénztelen is, jóllehet az előbbinek szánták.

Mi a különbség ez, és a között hogy azt broadcastolja a routered hogy "Szia! Én vagyok a 00:14:45:36:A5 ha tudod a WPA-PSK kódomat akkor adok neked netet!" Ja, hogy ezt te nem a Google-nek szánod hanem a saját eszközeidnek? Kellemetlen.

Es mi a helyzet abban az esetben ha az SSID nem kerul sugarzasra es megis szerepel a db-ben az adott ap ? Hirtelen nem jut eszembe autos hasonlat ennek az esetnek a modellezesere. :)

---
pontscho / fresh!mindworkz

Nem azzal van a baj hogy ezt begyűjti, hanem azzal hogy ezt mások eszközeivel, a tulajdonosok tudta és beleegyezése nélkül teszi. Ha nekem van egy eszközöm, jogomban áll tudni mit művel. Pláne egy telefon, ami még a mobilnetemet is pazarolná pl. Nagyon fel lennék háborodva az android tulajok helyében.

Bocs, az android szól, és ki is kapcsolható. Szerintem innentől kezdve nincs gond.

(Az hogy az AP-im fent vannak a listában, nem érdekel különösebben)

Nemide...
---
Internet Memetikai Tanszék

Az egy éves AP-t pontosan tudja, pedig nincs androidos telefonom, és street view sem volt errefelé.
(Biztos járt erre valaki...). 2 napja pár órán át ment egy AP itthon (configoltam) azt is ismeri, szinte méterre pontosan. Amit ma állítottam be, azt még Cannes-ba teszi (Francia o.), ott volt néhány nappal ezelőttig...

Az hogy begyűjtik a WiFi-k adatait engem nem zavar - úgyis "ott van" a levegőben.
Attól viszont nagyon fel lennék háborodva ha az én telefonomat erre használnák, pláne a tudtom nélkül. És még a internetemet is erre használják.

Tulajdonképpen így is fel vagyok háborodva. Androidos telefont akartam venni... eddig.

Javítás: Az android szól, és ki is lehet kapcsolni. Innentől kezdve szerintem a szolgáltatás korrekt, és felesleges ezen hisztizni.

További ötlet. Gps hiányában használjuk a google gsm cell location api-ját (http://www.google.com/glm/mmap). Persze mi AT+CPSI?-vel kérjük le a cella adatait, aztán adjuk át a parsolt paramétereket. Eléggé gsm modul gyártó specifikusak a vonatkozó AT parancsok, de beállítható, hogy akár másodpercenként is küldje a soros portra (usb végpontra) az aktuális és/vagy a szomszédos cellák adatait, azt' mehet a térképre...
Példa: http://stackoverflow.com/questions/1598696/google-maps-cellid-to-locati…

Nekem van egy Androidos telefonom. Nyomtam rá TCP dump-ot.

A gTalk és az időjárás jelző appletet láttam csak hülyéskedni, de ha őrülten kellene egy egész nap forgalmát is megnézhetem.