Телефон Android тоже следит…

    Все, наверное, заметили шумиху последних дней вокруг «слежки» за пользователями iPhone. Ребята с O'Reilly, которые опубликовали информацию о пресловутом файле consolidated.db, сами удивлены, насколько большой резонанс история вызвала на телевидении и в других СМИ.

    Но продолжение этой истории ещё более интересное. Вполне возможно, что разработчики iOS 4 внедрили эту функцию по примеру Android, но в силу криворукости непонятных причин реализовали её не совсем корректно.

    Некий разработчик Магнус Эрикксон (Magnus Eriksson), услышав про скандал с айфонами, решил покопаться в кэше своего смартфона Android. И после некоторых изысканий обнаружил файлы cache.cell и cache.wifi, очень похожие на вышеупомянутый consolidated.db. Файлы находятся в папке /data/data/com.google.android.location/files.

    Вот пример данных, которые там хранятся (тоже в незащищённом виде): Это координаты (долгота и широта), а также время и дата.

    $ ./parse.py cache.cell 
    db version:  1
    total:       41
    
    key               accuracy  conf.   latitude    longitude  time
    240:5:15:983885       1186     75   57.704031   11.910801  04/11/11 20:03:14 +0200
    240:5:15:983882        883     75   57.706322   11.911692  04/13/11 01:41:29 +0200
    240:5:75:4915956       678     75   57.700175   11.976824  04/13/11 11:52:16 +0200
    240:5:75:4915953       678     75   57.700064   11.976629  04/13/11 11:53:09 +0200
    240:7:61954:58929     1406     75   57.710205   11.921849  04/15/11 19:46:31 +0200
    240:7:15:58929          -1      0    0.000000    0.000000  04/15/11 19:46:32 +0200
    240:5:75:4915832       831     75   57.690024   11.998419  04/15/11 16:13:53 +0200


    Эрикксон написал программку, которая ищет и показывает данные с координатами из этих файлов. Можете установить и посмотреть на своём телефоне.

    Однако, есть важное отличие в том, как эта функция работает на Android-устройствах.

    // Maximum time (in millis) that a record is valid for, before it needs
    // to be refreshed from the server.
    private static final long MAX_CELL_REFRESH_RECORD_AGE = 12 * 60 * 60 * 1000; // 12 hours
    private static final long MAX_WIFI_REFRESH_RECORD_AGE = 48 * 60 * 60 * 1000; // 48 hours

    // Cache sizes
    private static final int MAX_CELL_RECORDS = 50;
    private static final int MAX_WIFI_RECORDS = 200;


    Здесь максимальное количество хранимых данных ограничено 50 записями для сот и 200 записями для WiFi-точек, соответственно. Есть также ограничение по времени: 12 часов для сот и 48 часов для WiFi, тогда как у iPhone хранится полный архив месяцами (с момента установки iOS 4).

    Как и в случае с iPhone, если абонент попал в зону действия соты, где уже был раньше, то старая информация заменяется новой. Кстати, по этой причине и «шпион» от iPhone не такой страшный, как показалось сначала. В большинстве случаев эти данные вообще не пригодны для составления истории перемещений пользователя, разве что только можно увидеть отдельные путешествия по уникальным маршрутам.

    По мнению Эрикссона, данная фича работает в Android таким же образом, как и в iPhone: координаты вычисляются точно так же, по координатам ближайших сот, и, возможно, периодически отправляются в Apple/Google. Отличие в том, что Google аккуратно подошёл к защите данных, а разработчики из Apple, видимо, допустили обидный баг, не озаботившись условиями на уничтожение данных, и теперь расплачиваются за это кармой репутацией бренда. Очевидно, баг будет исправлен ближайшим патчем для iOS.
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 53

      +30
      Только Siemens C35 можно доверять. Никто не продает?
      • UFO just landed and posted this here
          0
          Я имел ввиду, что сам телефон никакие данные не сохраняет. А со стороны оператора примерное местоположение чего угодно с активной симкой можно методом триангуляции вычислить.
            +2
            зато в C35 очень легко перешивать IMEI,
            через компорт, многими прогами для анлока можно менять и имеи. Только найти такие проги не легче чем сам С35

            PS: да, сочувствую тем у кого симки по пасспорту продаются.
              –1
              не забывайте про серийный номер передатчика, его не перешить, надо перепаивать.
                0
                Насколько я знаю, оператору не передаётся серийный номер передатчика. Только IMEI.
                  0
                  по gsm протоколу его можно запросить
            • UFO just landed and posted this here
              0
              Купив сей девайс вы гарантированно потеряете интерес к персоне в лице гугла, но точно приобретете его у рядом едущих с вами пассажиров метро или электрички

              Сам год назад ностальгии ради купил сей аппарат. При входящем звонке мелодия заставляла прослезиться граждан =)
                –3
                «прослезиться», «толпа лежала», «прохожие всхлипывали» — как же заебали эти копирки с баша
                • UFO just landed and posted this here
                    0
                    Лежали всем офисом же
                      –1
                      всем хабром
                  +1
                  Только дисковые телефоны, только хардкор!
                    0
                    тяжело зарядку найти(
                      0
                      Доверять можно всем, при условии вытащенной сим-карты и отключенных GPS и Wi-Fi модулей.
                        0
                        S45 был, батя расковырял его под экранчик для Arduino, еще ME45 был.
                        +31
                        Когда в Android'е ставишь галочку «использовать Wi-Fi и сотовые сети для определения местоположения», соглашаешься с (что-то вроде): «Разрешить службе определения местоположения Google собирать анонимные данные о местоположении».

                        + Google локатор
                        + интересный, в контексте статьи, раздел справки по этому сервису: конфиденциальность

                        Т.е. да, Android следит за мной, но с моего позволения и по моей просьбе.
                          0
                          habrahabr.ru/blogs/google/110299/
                          Нашло меня с точностью 6 метров.
                          Я ничего не просил…
                            +7
                            можно я и сюда картинку прикреплю. из соседнего топика про «расследование CNET»
                            image
                              +2
                              если нажать Не принимаю телефон взрывается
                              –1
                              Вопрос только в том, действительно ли сбор данных не производится без галочки (всегда можно сказать, что ошиблись программисты).
                              Я думаю, все производители современных телефонов этим промышляют, потому как для спецслужб это лакомый кусок. Адрес Лубянки известен всем, поэтому в Гугл уже знают домашние адреса половины сотрудников ФСБ, а также адреса дач, тещей, посещаемых бань, ашанов и т.д. и т.п. :)
                                +2
                                Обратите внимание — никто никогда нигде не заявлял, что данные собираются без галочки. зато нагнетаемся масса истерии — похоже на чёрный пиар против гугл.
                                  0
                                  Никто не заявлял, что при составлении карт гугл по факту ведет радиоразведку, пока не спалились. Компания уже подзапятналась. Если б не это, и разговоров про галочеу не было бы.
                              –24
                              это одна из причин, по которой я регулярно меняю mac адресс своей точки доступа беспроводных интернетов.
                                +29
                                А еще — делаете пластическую операцию и меняете паспорт?
                                  +38
                                  Да кому ты сдался, госспади
                                    0
                                    Ну почему, заинтересовать своим местоположением окружающих несложно — набрать долгов/кредитов и не отдавать.
                                      +5
                                      Есть более простые и традиционные способы найти человека. Те же бабушки у подъезда… ;)
                                      А «меняю MAC-адрес», это примерно то же, что 4096-битное шифрование в этом комиксе:
                                      image
                                    • UFO just landed and posted this here
                                      0
                                      вот из за этого и вставляют в БД time, в качестве experation time по истечению которого обновляется кеш.
                                        0
                                        Теперь вам осталось только написать программу которая будет слать в гугл фейковые данные :)
                                          –1
                                          … и пушу об этом на весь хабр.
                                            0
                                            Я так думаю, что в инструкцию гражданской обороны (или как ее там сейчас) на случай войны необходимо прописать: «обязательная смена мак-адресов всех беспроводных роутеров населения» :)
                                              0
                                              логичней сменить только один раз, но на адрес вида 01:23:45:67:89:ab и когда это сделает хотя бы сотня владельцев домашних роутеров вот тогда будет интересно понаблюдать за реакцией google :)

                                              +16
                                              А мне, если честно, пофигу. Я не шпион и не штампую контрафакт или наркоту, мне не жалко, что кто-то там сверху забивает свой винт местоположениями моего универа и дома, а также метро :) Тем более, что данные вроде как анонимные.
                                              Лучше б на основе этих данных чонить полезное сделали.
                                              А может и делают. :)

                                              Хотя если у меня нет паранойи, это не значит, что за мной не следят о_0
                                                +1
                                                Так ведь и делают. Определение положения по wifi, как я понимаю, на основе этих данных и работает.
                                                  0
                                                  Это то да, но не на основе нескольких посещенных мест :)
                                                  Тут больше статистическая ценности
                                                  0
                                                  Есть такая компания — Skyhook. Она собирает подобные анонимные данные давным давно. И потом успешно их продает.

                                                  См. skyhookwireless.com/spotrank/index.php

                                                  The Core Engine powers the location on tens of millions of devices, including every iPhone and Dell netbook, and leading Android apps like ShopSavvy and Flixster.

                                                  В 2008 году они начали с Apple сотрудничать (см. www.skyhookwireless.com/press/skyhookapple.php)
                                                  +2
                                                  Когда это уже закончиться, если телефон не рутован, то доступа к /data/data/* имеет только то приложение которое там установлено (в данном случае /com.google.android.location/). Делаешь рут, получаешь полный доступ к системе, и соответственно установленные тобой приложение получают такой же доступ.
                                                    +2
                                                    Не получают
                                                      0
                                                      Все запросы root-доступа приложениями явно контролируются пользователем. Как минимум сообщение о root-доступе выводится
                                                      +6
                                                      Ну что я говорил. :)
                                                      Теперь еще Windows Phonе кто-нибудь распотрошите.
                                                        +16
                                                        Телефон WP тоже следит за тобой, %username%
                                                        Он просто смотрит на тебя своей камерой.
                                                        И знает.
                                                        Всё.
                                                      • UFO just landed and posted this here
                                                          0
                                                          А отключение помогает? Как-то с трудом верится, что разработчики, да что там расследование CNEWS не знают о такой замечательной опции
                                                          • UFO just landed and posted this here
                                                              +1
                                                              если бы расследователи CNEWS написали что проверили и так и так, и телефон все равно пишет данные. Но ни в одной статье нет такого! Выглядит все как просто желтый PR.
                                                            +1
                                                            Задолбали, право слово. В ветке по iPhone об этом говорилось. Известно, что Google собирает эти данные. Разница только в том, что iOS при сборе данных не информирует пользователя, а Android — информирует каждый раз при установке галочки «Включить использование WiFi для определения местоположения».
                                                            Параноикам рекомендуется не пользоваться и обычными мобильными телефонами(поскольку аналогичные данные собирают ОПСОСы)
                                                              +2
                                                              ОПСОСЫ собирают вполне конкретные данные, определенные законом. Так, в соответствии с ФЗ «О связи», Постановлением Правительства от 27.08.2005 г. № 538, в базах данных оператора СПС должна содержаться следующая информация об абонентах (которая, кстати, должна храниться у оператора связи в течение 3-х лет, с момента оказания последней услуги):
                                                              — фамилия, имя, отчество, место жительства и реквизиты основного документа, удостоверяющего личность, представленные при личном предъявлении абонентом указанного документа, — для абонента-гражданина;
                                                              — наименование (фирменное наименование) юридического лица, его место нахождения, а также список лиц, использующих оконечное оборудование юридического лица, заверенный уполномоченным представителем юридического лица, в котором указаны их фамилии, имена, отчества, места жительства и реквизиты основного документа, удостоверяющего личность, — для абонента — юридического лица;
                                                              — сведения баз данных о расчетах за оказанные услуги связи, в том числе о соединениях, трафике и платежах абонентов.

                                                              Сбор и обработка данных о расчетах, соединениях, трафике осуществляется биллинговой системой. Все данные записываются в файлы «подробной записи о вызове» (CDR-files), которые хранят следующие данные:
                                                              — Calling number
                                                              — Called number
                                                              — Call type (Outgoing / Incoming)
                                                              — Service used (Voice/SMS/Etc.)
                                                              — Facilities used (Call waiting/Call forward/etc.)
                                                              — Call start time
                                                              — Call end time
                                                              — Duration
                                                              — Cell ID
                                                              — Outtrunk
                                                              — In trunk
                                                              — Call sequence Number
                                                              — Call terminating reason (normal/fault/busy, etc.
                                                              — SMSC centre number ( for SMS)
                                                              — IMEI number of cell phone
                                                              — IMSI (Port number)
                                                              — Switch number or ID

                                                              Формат CDR файлов определяется оператором.
                                                              Как видно, на законодательном уровне четко прописано, какие данные хранит у себя оператор СПС, и как долго он обязан их у себя хранить.

                                                              Анализ информации по данным сайтов:
                                                              www.internet-law.ru/law/inflaw/connect.htm
                                                              www.referent.ru/1/115542
                                                              telecom4u.in/home/call-detail-record-cdr-2/
                                                              ru.wikipedia.org/wiki/Call_Detail_Record
                                                                0
                                                                Это информация, которую собирать обязан. А есть ещё та, которую не обязан, но тоже может.
                                                              +1
                                                              Вспоминая последние новости — наглый сбор данных о wi-fi точках при создании Google Maps, поголовный сбор информации о местоположении пользователей, а до кучи — и еще всех wi-fi сеток, которые видит телефон — в голову все чаще и чаще приходит мысли о тотальном шпионаже. Большой добрый брат.
                                                                0
                                                                Наткнулся на старую статью.
                                                                habrahabr.ru/blogs/htranslations/30861/
                                                                А то уже подумал, что я одинок… :)

                                                                Only users with full accounts can post comments. Log in, please.