7月12日,媒体尚未正式确认有关Facebook与美国联邦贸易委员会就泄露用户信息
达成协议的报道。 FTC调查的主题是Cambridge Analytica的
行动 ,该
行动早在2015年就收到了数千万Facebook用户的数据。 Facebook被指控没有充分保护用户隐私,如果这些消息得到确认,该社交网络将向美国国家委员会支付历史上最大的50亿美元罚款。
Facebook和Cambridge Analytica丑闻是第一个,但决不是使用完全非技术性的方法讨论技术问题的最后一个例子。 在本摘要中,我们将查看有关此类讨论的一些最新示例。 更具体地,在不考虑网络服务的操作的特定特征的情况下如何讨论用户隐私问题。
示例一:Google reCaptcha v3Google
机器人控制工具reCaptcha v3的新版本
于2018年10月推出。 Google的“验证码”的第一个版本在文本识别方面将机器人与人区别开来。 第二个版本将文字更改为图片,然后-仅向她认为可疑的人员显示。
第三个版本不需要任何内容,主要依靠对网站上用户行为的分析。 为每个访问者分配一个特定的等级,例如,如果站点所有者认为登录名可疑,则可以根据该等级通过移动电话强制授权请求。 一切似乎都很好,但还不是很好。 6月27日,《快速公司》(Fast Company)出版物发表了
一篇长
文 ,其中提到了两名研究人员,从隐私方面确定了reCaptcha v3的问题领域。
首先,在分析CAPTCHA的最新版本时,发现根据定义,登录到Google帐户的用户获得了更高的评分。 同样,如果您通过VPN或Tor网络打开网站,则您更有可能被标记为可疑访客。 最后,Google建议在网站的所有页面上安装reCaptcha(而不是仅在需要验证用户的页面上)。 这提供了有关用户行为的更多信息。 但是从理论上讲,该功能为Google提供了成千上万个网站上有关用户行为的大量信息(根据Fast Company,reCaptcha v3已安装在65万个网站上,数百万个使用以前的版本)。
这是有关技术的模棱两可讨论的一个典型示例:一方面,对抗机器人的有用工具拥有的数据越多,站点所有者和用户的状况就越好。 另一方面,服务提供商可以访问大量数据,并同时控制谁应该立即被允许使用数字数据,以及谁使生活变得困难。 显然,提倡最大程度地保护隐私,不试图在浏览器中保留不必要的cookie,不断使用VPN的人根本不喜欢这种进展。 从Google的角度来看,这没有问题:该公司声称数据“验证码”未用于广告定位,并且机器人驱动程序的复杂性是进行此类创新的充分理由。
示例二:Android应用程序中的数据访问6月底,同一美国联邦贸易委员会举行了PrivacyCon会议。 研究人员Serge Egelman的报告致力于研究Android应用程序的开发人员如何绕过系统的限制并接收理论上不应接收的数据。 在一项
科学研究中,分析了来自美国Google Play商店的8.8万个应用程序,其中1325个能够绕开系统限制。
他们是如何做到的? 例如,Shutterfly的照片处理应用程序可以访问地理位置数据,即使用户禁止这样做也是如此。 很简单:该应用程序处理打开访问权限的照片中存储的地理标记。 开发人员的代表合理地
评论说,处理地理标签是用于对照片进行排序的程序的标准功能。 通过扫描最近的Wi-Fi点的MAC地址,从而确定用户的大概位置,许多应用程序绕开了禁止访问地理位置的禁令。
在13个应用程序中发现了一种稍微更“犯罪”的规避限制的方法:一个应用程序可以访问智能手机的IMEI。 他将其保存到存储卡中,其他无权访问的程序也可以从中读取它。 因此,例如,一个来自中国的广告网络在将其SDK嵌入其他应用程序的代码中。 通过访问IMEI,您可以唯一标识用户,以进行后续广告定位。 顺便说一下,另一项研究与对存储卡中数据的普遍访问有关:当在Telegram和Whatsapp Messenger中进行通信时,有可能(理论上)
替换媒体文件 。 因此,新版Android Q中的数据访问规则将
进一步严格 。
示例三:图片中的Facebook ID几年前,这样的推文充其量只能引发数十篇文章的技术讨论,但是现在
《福布斯》博客文章对此进行了写作。 自至少2014年以来,Facebook已将其自己的标识符
添加到上传到Facebook本身或Instagram社交网络的图像的
IPTC元数据中。 Facebook标识符在
这里进行了更详细的讨论,但是没有人知道社交网络是如何使用它们的。
考虑到负面新闻背景,这种行为可以解释为“监视用户的另一种方式,但他们可能会感觉如何”。 但是实际上,元数据中的标识符可以用于例如禁止非法内容的地毯式禁令,并且您不仅可以阻止网络内的转发,还可以阻止脚本“下载图像并再次上传”。 这样的功能可能是有用的。
公开讨论隐私问题的问题是,服务的真正技术特征经常被忽略。 最有说服力的示例:讨论了用于即时通讯程序或计算机或智能手机上的数据的加密系统中的政府后门。 那些对无障碍访问加密数据感兴趣的人谈到了打击犯罪的斗争。 加密专家认为,加密无法通过这种方式起作用,而故意削弱加密算法
将使加密算法
容易受到所有人的攻击 。 但是至少我们谈论的是一门已有数十年历史的科学学科。
什么是隐私,对我们的数据有什么样的控制是必要的,如何监视对这些标准的遵守情况-所有这些问题都没有通用的明确答案。 在这篇文章的所有示例中,我们的数据都是为某些有用的功能而收集的,但是,这种好处并不总是对最终用户(对广告客户而言)更多。 但是,当您在回家的路上查看交通拥堵时,这也是收集有关您和成千上万其他人的数据的结果。
我不想以一个愚蠢的结论来结束这篇文章,“这不是那么简单”,所以让我们这样尝试:程序,设备和服务的开发人员不仅必须解决技术问题(“如何使其工作”),而且必须解决社会问题。政治上的(“如何不缴纳罚款,不要在媒体上给自己读一些愤怒的文章,以及至少在言语上有更多隐私的情况下,不要与其他公司失去竞争”)。 在这个新现实中,行业将如何变化? 我们将对数据有更多控制权吗? 新技术的发展是否会因为需要花费时间和资源的“公共压力”而放缓? 我们将观察到这种演变。
免责声明:本摘要中表达的观点可能并不总是与卡巴斯基实验室的官方立场相符。 亲爱的编辑们通常建议以健康的怀疑态度对待任何观点。