Skip to main content

Efter Google Incident går Wi-Fi-datainsamling på

För fyra månader sedan slutade Google att samla Wi-Fi-data med sina Street View-bilar, trots en backlash från myndighetsregulatorer och integritetsförespråkare. Men det betyder inte Google har slutat samla in trådlösa data helt och hållet, och inte heller andra företag som Apple.

I stället för att skicka ut bilar för att snyta ut trådlösa nätverk, samlar Google nu operationen, med användare av sina Android-telefoner och platsmedvetna mobila applikationer som gör rekognoseringen arbetar för den. Under de senaste månaderna har Apple tyst börjat bygga en liknande databas och utnyttjar sin stora bas av användare för att logga in grundläggande Wi-Fi-data. Det finns andra: Ett Boston-företag, Skyhook Wireless, har loggat trådlösa åtkomstpunkter i flera år, liksom konkurrenten Navizon of Miami Beach, Florida. Det är en trend som har blivit föremål för det intensiva intresset för applikationer som FourSquare och Facebook Places. Eftersom det blir allt viktigare för program som körs på din telefon för att veta exakt var du är - att vara lokaliserad medvetna i branschförlängning - ha ett sätt att bestämma exakt var du är blir kritisk. Men företagen som samlar in dessa uppgifter har inte kommit till stor kontroll, många användare förstår inte hur uppgifterna samlas in eller varför, och säkerhetsexperter börjar just nu upptäcka några sätt att denna information kan missbrukas.

[Ytterligare läsning: De bästa överspänningsskyddarna för din kostsamma elektronik]

Behovet av trådlöst

Det finns tre sätt att platsmedvetna program kan göra detta: De kan ta läsning av GPS (Global Positioning System), få ​​en grov gissning om var du befinner dig genom att ta reda på vilket celltorn du använder, eller titta på Wi-Fi-nätverk i din närmaste närhet. Celltornsdata är ganska vaga - det kan finnas mil mellan celltorn på landsbygden. GPS är mycket noggrann, men GPS-enheter behöver en tydlig synvinkel på en satellit för att fungera, så det fungerar inte bra inomhus eller i täta stadsmiljöer. I staden är det svårt att slå geolocation via Wi-Fi.

Problemet är att många konsumenter är skitiga om en omfattande samling av trådlösa data. Google drog pluggen på sin Street View Wi-Fi-datainsamling efter att det var tvungen att erkänna att dess bilar loggade mycket mer data än de flesta - inklusive Google - hade insett. Och nu är företaget i trubbel med europeiska tillsynsmyndigheter, statliga advokater generalsekreterare och många rättegångs jurister, som har väckt talan mot Google för att logga in de vida öppna "nyttolast" -data som kan ses på osäkrade trådlösa nätverk. Denna information kan innehålla e-postmeddelanden, lösenord eller något som skickas utan kryptering på ett trådlöst nätverk.

Känsligheten har gjort det svårare att ta reda på exakt vem som samlar in trådlösa data och vad de loggar. Microsoft, till exempel, nekade att kommentera för den här historien. Tidigare i år meddelade Microsoft en överenskommelse med Navizon, som upprätthåller en databas med Wi-Fi-nätverk och celltorn och GPS-data som kompilerats av användare av Navizon-programvaran. Apple lämnade inga uppgifter om sina planer, trots upprepade förfrågningar, och Research in Motion gav bara ett kort e-postmeddelande och sa att "RIM använder sin egen positioneringsteknik som utnyttjar positionering av celltorn för att komplettera GPS."

Tre företag som var villiga att svara på frågor om trådlös datainsamling - Google, Skyhook och Navizon - sa att de inte samlar in någon av de nyttolastdata som fick Google till problem tidigare i år. Trådlösa datainsamlingsexperter säger att det skulle vara extremt svårt att bygga en mobil enhet som gjorde denna typ av sniffing. Det skulle helt enkelt ta för mycket makt för en mobiltelefon att ständigt sniffa för all öppen Wi-Fi-trafik och sedan skicka tillbaka den till Google.

Men det är uppenbart att Apple, Google, Navizon och Skyhook samlar MAC-adresser (Media Access Control) som kan användas för att identifiera trådlösa routrar. De samlar också data om nätets signalstyrka och länkar sedan Wi-Fi-data med annan information, såsom celltorn och GPS-mätningar, för att få en mycket klar uppfattning om var användarna befinner sig.

De företag som crowdsource deras Wi-Fi-datainsamling är försiktig för att få användarnas samtycke, men kritiker säger att användare kanske inte förstår att de hjälper till att kartlägga de trådlösa routrarna som används av sina grannar när de ger samtycke att köra en platsmedveten applikation. Sekretessförespråkare och lagstiftare har uppmärksammat hur dessa platsdata kan missbrukas för att skada användare av mobila enheter. Vad som inte har fått så mycket uppmärksamhet är dock hur denna datainsamling kan påverka ägare till trådlösa routrar - som har hade sin grundläggande trådlösa data loggad utan samtycke.

Artwork: Chip Taylor A Worrisome Hack

Eftersom deras databaser räcker ut personligt identifierbar information, säger datainsamlare att de är säkra. Men som hacker Samy Kamkar upptäckte tidigare i år kan dessa databaser missbrukas. Kamkar, mest känd för att skriva en mask som stängde MySpace kort 2005, hittade ett sätt att använda Googles databas med platsinformation för att i hemlighet räkna ut människors adresser

. Kamkar kunde inte räkna ut allas adress, utan i ett samtal han gav vid en säkerhetskonferens förra månaden visade han hur han kunde utnyttja ett grundläggande programmeringsfel i vissa typer av hemma Wi-Fi-routrar för att få dem att avslöja sina MAC-adresser. Beväpnad med den informationen visade han sedan hur han kunde använda en offentligt tillgänglig Google geolocation databas för att ta reda på var människor bodde. Om någon besöker sin webbplats från en buggy-router som är kvar med standardinställningar för åtkomstkontroll, kan han ta reda på var de befinner sig.

Google gjorde uppenbarligen sin databas offentligt tillgänglig så att webbläsare som Chrome och Firefox kan skicka platsinformation till webbplatser, men Kamkars demo visar hur dessa data kan missbrukas, åtminstone i vissa fall.

"Ingen tycker att den här Mac-adressen är en privat information," sa han. "Det faktum att du kan fråga Google när som helst och ta reda på var någon är ... Jag tror att det är en integritetsrisk."

Google har varit noga med att se till att användare av sina Android-mobiltelefoner vet när program försöker använda detta typ av platsdata, men de personer vars MAC-adresser loggas är inte så lyckliga. Wi-Fi-användare har ingen möjlighet att veta när deras MAC-adress läggs till i Googles databas, och det är inte klart hur de kan välja bort.

I ett e-postmeddelande sa Google: "Det är viktigt att komma ihåg att MAC-adresser är ett enkelt maskinvaru-ID som tilldelats av tillverkaren. Vi samlar inte in någon information om husägare eller vi kan identifiera en person från MAC-adressdata. Dessa data sänds offentligt och det är identiskt med vad någon kunde lära sig genom att gå nära plats med en Wi-Fi-aktiverad enhet. Google publicerar inte på något sätt MAC-adresser från databasen. "

Men det faktum att det verkar finnas andra sätt att reta ut en användares MAC-adresser och sedan missbruka denna information är en orsak till viss oro.

"Jag är säker på att de flesta inte är medvetna om att om de flyttar för att undvika en stalker och tar sin åtkomstpunkt med dem, kan de ge sin nya plats bort via Google", säger Nate Lawson, grundare av säkerhetskonsulten Root Labs, i en e-post intervju.

Det finns också andra potentiellt oroliga scenarier enligt Lawson. Om exempelvis en bärbar dator var bunden till en mobiltelefon, fungerade som ett trådlöst nätverk, kunde mobiltelefonens MAC-adress och -plats läggas till i databasen och sedan användas för att spåra personer utan samtycke, sa han.

"Allt vi Det är att samla vågor som är öppna "

Skyhook Wireless driver mer än 400 fordon som kör runt i USA som loggar trådlösa data, precis som Googles Street View-bilar brukade användas. Till skillnad från Street View, har Skyhook emellertid aldrig loggat någonting mer än MAC-adresser, platsstyrka och GPS- och celltorndata, enligt Skyhook grundare och senior vice president Mike Shean. Skyhook använder fortfarande bilarna, förutom att logga data från enheter, eftersom företaget tror att det blir högre kvalitet med denna teknik.

Shean påpekar att för trådlösa nätverk att fungera måste de sända den typ av data som hans företag samlar in. "Vi gör ingenting för att bryta mot din integritet," sa han. "Allt vi gör är att samla vågor som är i det öppna spektrumet."

Skyhook får kanske fem förfrågningar per år från personer som vill ha sin trådlösa router borta från databasen, sa Shean. De uppmärksammar dessa önskemål.

Med platsmedvetna program blir allt viktigare, kommer den typ av trådlösa data som samlas in av Apple, Skyhook och Google bara att bli mer värdefulla. Faktum är att Apple nyligen använde Skyhook data, men började i april 2010 började företaget bygga en egen databas, förmodligen för att den ser detta som en strategisk nödvändighet.

Apple svarade inte på begäran om kommentarer till sin trådlösa samling politik, men det stavade information om sin databas med celltorn och Wi-Fi-åtkomstpunkter i en 12 juli 2010, ett brev till representanter Edward Markey, en demokrat från Massachusetts och Joe Barton, en republikan i Texas. I brevet säger Apple att den lagrar MAC-adresser och signalstyrkainformation och länkar dem till GPS-koordinater och celltornsinformation. "Apple samlar inte in det tilldelade Wi-Fi-åtkomstpunktens användarnamn (känt som" SSID "eller tjänstesatsidentifierare) eller data som överförs via Wi-Fi-nätverket (känd som" nyttolastdata ")."

Databasen är "tillgänglig endast av Apple". Brevet anger.

Var försiktig med Googles Wi-Fi-skandal. Det är en del av problemet att det finns så liten allmänhetens medvetenhet om vad som händer , säger John Simpson, en förespråkare med Consumer Watchdog, en grupp som har varit mycket kritisk mot Google tidigare. "Om jag köper en mobiltelefon förväntar jag mig att kartlägga människors Wi-Fi-platser för det företag som sålde telefonen ? "frågade han." Mitt svar på det är att jag skulle bli överraskad. "

" En del av problemet med denna teknik är att folk bara inte vet vad som händer, "tillade han. > Säkerligen vet inte de flesta trådlösa användare att routerns placering är inloggad i databaser, och att minst en av dessa databaser - Googles - kan vara nås av någon via Internet. Om detta blir ett större problem för datainsamlare kommer det att bero på huruvida fler personer som Kamkar kan komma med oväntade sätt att använda - eller missbruk - dessa data.

Men är det verkligen en stor sak? Ingen tvingar människor att använda trådlösa data, men kanske är problemet att människor sätter upp trådlösa nätverk utan att helt förstå vad de kommer in.

Brad Haines, en oberoende konsult som har spenderat mycket tid på att studera trådlös säkerhet , säger att det är fantastiskt att även om trådlös teknik har varit mainstream i nästan ett decennium, är många användare fortfarande okunniga om hur det fungerar. "Uppriktigt sagt, om du är rädd för detta, varför använder du ett trådlöst nätverk?" han frågar. "Detta är offentlig information eftersom du sänder den över en öppen frekvens."

SimpleGeo VD Matt Galligan håller med om att mycket av de trådlösa rädslorna är överblown. Men Galligan, vars företag säljer utvecklingsverktyg för platsmedvetna applikationer, säger att de som bygger dessa teknologier behöver utbilda användarna. "Om någon verkligen vill ta reda på någonting om dig, kan de gå till en massutskick marknadsförare och ta reda på dina intressen", sa han. "Personligen tror jag inte att det borde vara ett stort problem."

Robert McMillan täcker datasäkerhet och allmänt tekniskt brytande nyheter för IDG News Service. Följ Robert på Twitter på @bobmcmillan. Roberts e-postadress är [email protected]