Názory k článku
Google umí poznat písničku, kterou zabroukáte
-
-
Tak tam tato funkce není, zkoušel jsem na poslední mě dostupné verzi 129.0. Podle mě to umí aplikace zatím jen na Androidu a informaci že to umí i na iOS nikdo neověřil (usuzuji z toho, že stejná zprávička vyšla na spoustě webů), nebo k nám ještě nedorazila aktualizace.
19. 10. 2020, 09:12 editováno autorem komentáře
-
FíkZlatý podporovatelMáte pravdu, v iOS na 129.0 to opravdu ještě není. Android má ale úplně jiné číslování, ta funkční verze je z 14. října. Na iOS píší, že 129.0 je týden stará, takže je asi potřeba ještě počkat.
-
-
No mne z môjho playlistu: https://www.youtube.com/playlist?list=PLbuSGbd2sS3z2aI09w8YQFm_iGzYhPBXc
detekovalo správne len 2 songy. Môžeš otestovať,...
-
Martin X (neregistrovaný)
Pri používaní Google Search bude aktívny mikrofón, čo dáva Googlu viac informácií na targetovanie reklamy.
https://www.popularmechanics.com/technology/security/a14533262/alphonso-audio-ad-targeting/ -
J ouda (neregistrovaný)
Ne. Bavím se o tomhle endpointu: https://exposure-fghz64a2xa-ew.a.run.app/v1/publish kam se uploadují po ověření klíče, pokud jste pozitivně testovaný.
see BT-Tracking/Services/Reports/ReportService.swift -
FILIP JIRSÁKStříbrný podporovatelTy „klíče“ jsou jen pravidelně obměňované náhodné identifikátory, které v takovém případě zveřejníte celému světu.
-
-
J ouda (neregistrovaný)
Tak znova. Upload klíčů znamená jednoznačnou jednobitovou informaci "majitel tohoto telefonu (užívající tuto IP modulo NAT) je pozitivně testovaný na Covid".
Samozžejmě že jí pro činnost aplikace je potřeba nějak zveřejnit, nicméně přímý POST na jednoho z největších šmíráků ve světě mi připadne poněkud nešťastný.Nota bene šmítáka který ma k dispozici i informace z analytiky té samé aplikace a docela dost infa z google play services, takže nemyslím že že by pro něj byla sdílená IP za NATem nějakou překážkou.
18. 10. 2020, 15:34 editováno autorem komentáře
-
- - (neregistrovaný)
Jediné co mě napadlo je, že google bude umět poznat request ze zařízení skrze api mobilu. Nějaký identifikátor, login, token, nevím ... zahlídl jsem tam authentication token v androidí verzi, ale to nemusí znamenat nic. Bez napíchnutí komunikace a hlubšího rozboru to zjistit nepůjde ...
-
FILIP JIRSÁKStříbrný podporovatel
Google a Apple společně vytvořili Exposure Notification API, oba to zapracovaly do svých operačních systémů, a vám teď vadí, že se anonymní klíče nahrávají na server běžící v Google Cloudu? Nebylo by místo hádání lepší něco si o tom zjistit?
-
J ouda (neregistrovaný)
Nebylo by místo citování wiki lepší si tu aplikaci pustit třeba přes Burp (a zjistit, že do ní někdo tak poněkud nepopoměl přidat i analytiku, byť trochu omezeně - k dobru autorů je že se o ní zmínili i v Privacy politice, kterou málokdo četl) a pak se podívat do zveřejněných zdrojáků, co konkrétně dělá když jste infikovaný.
Myslím že o tom že Google má dostatek dat a možností, aby mu _technicky_ nečinilo nejmenší problém ztotožnit upload infikovaných klíčů s konkrétním člověkem není sporu, a že jediná diskuse je o tom, zda mu každý jeden důvěřuje, že to neudělá nebo ne.
-
J ouda (neregistrovaný)
O Apple (který ma informaci pouze o tom že byla stažena aplikace) zde řeč nebyla, pouze o Google.
Co by z toho měl? Citlivou osobní informaci o zdravotním stavu, kterou lze potenciálně vy/zneužít v budoucnu, a která, z mě ne zcela jasných důvodů se říká že by měla zůstat mezi lékařem a pacientem popř hygienikem? -
FILIP JIRSÁKStříbrný podporovatel
To vysílání identifikátorů a jejich sledování se děje v operačním systému. Autorem OS Android je Google, autorem OS iOS je Apple. Takže na iOS zařízení má Apple ty samé informace, jako má na Androidu Google. Sběrný server pro eRoušku běží na Google Cloud Platform, přičemž to je úplně to nejblbější místo, kde by Google tyhle informace mohl sbírat. Myslíte, že Google sleduje veškerý software provozovaný v jeho infrastruktuře, zjišťuje, zda je to implementace sběrného serveru a pokud ano, začne odposlouchávat komunikaci?
-
J ouda (neregistrovaný)
1. Pokud se nepletu pro použití Exposure API je vyžadován review. Argument "každou aplikaci" tím padá
2. Proč by někdo měl sledovat implementaci serveru a odposlouchávat komunikaci? Jen log samotného requestu poskytuje dostatečnou intormaci.Ne, technicky to těžko uargumentujete, navíc informace o zdravotním stavu může být v budoucnu dobře zpeněžitelná na to, aby někdo neměl motivaci byť jen uložit pár access logů a co se nimi udělá nechal na budoucnost.
Takže všechno stojí o důvěře. Chápu že jsou lidé kterým nevadí když má jejich lékař veškerou dokumentaci v Google Cloudu, ale všichni to rozhodně nejsou a bylo by více než vhodné o tom plně a pochopitelně informovat (ne, formulace "používáme Firebase" tomu opravdu neodpovídá.) -
FILIP JIRSÁKStříbrný podporovatel
Ad 1) Ano, review té mobilní aplikace. My se tu ale bavíme o serveru pro sběr identifikátorů.
Ad 2) Abyste mohl požadavek zalogovat, musel byste ho nejprve odposlechnout.
Ne, technicky to těžko uargumentujete
No, zatím pořád čekáme na jakékoli argumenty z vaší strany. Zatím jste nenapsal ani to, jak a k jakým údajům by se měl Google dostat, natož abyste vysvětlil, jak na jejich základě identifikuje konkrétní osobu.bylo by více než vhodné o tom plně a pochopitelně informovat
O čem? Zatím píšete samé „o tom“ a „pár access logů“, ale zatím jste nenapsal žádný konkrétní údaj, který by se Google dozvěděl. -
> Myslíte, že Google sleduje veškerý software provozovaný v jeho infrastruktuře, zjišťuje, zda je to implementace sběrného serveru a pokud ano, začne odposlouchávat komunikaci?
Technicky vzato nevidím, co by tomu bránilo.
Druhá věc je, co by tím ziskali:
a. Odešlu to z domu. Možná mám vlastní IP adresu na domácnost, pak by tedy Google zjistil, že z této domácnosti je někdo (dost možná všichni) infekční. Dost možná to odhadne tak jako tak, když nevylezete z domu a budete si hledat informace k COVID-19.
b. Odešlu to z domu se sdílenou IP adresou s dalšími domácnostmi. S trochou nadsázky se Google nedozví o nic víc než že souhrnných statistik.
c. Odešlu to z mobilní sítě. Google se dozví celkem kulový.
d. Odešlu to z nemocnice přes místní Wi-Fi. Google se dozví o existenci hospitalizovaného pacienta. -
J ouda (neregistrovaný)
a: Vyhledávání bych se nebál, to dneska vyhledává každý.
b,c: Nejsem si jistý jak s tím "zamává" to, že aplikace posílá analytiku i do app-measurment.com, tam jsem ještě neměl čas se kouknout takže kdo ví.
Druhá věc, CGNAT u velkých operátorů až takovou překážku nepředstavuje z principu funkce, běžná maškaráda bude větší problém.Paradoxně problém nepředstavuje ipv6 - všechny API jsou ipv4 only.
Každopádně pokud by aplikace s těmito endpointy komunikovala byť přes nějakou proxy např na infrastruktuře MZČR, nejlépe přes stejný hostname (abychom vyloučili postraní kanál DNS dotazu který by zase mohl zneužít ISP), pak by upload mohl být bezpečnější s minimílní přidanou složitostí.
(o beznečnosti naší státní správy si také nenělám iluze, na druhou stranu pokud provozovate není některý z internetovýcy gigantů, nemá to s čím korelovat.) -
FILIP JIRSÁKStříbrný podporovatel
Takže jste po zkoumání přes Burp a studiem zdrojových kódů zjistil to, co všichni vědí po přečtení stránek eRoušky. Gratuluju. Akorát teda nevím, co vás na tom tolik překvapilo.
Google má dostatek možností, aby mu nečinilo nejmenší problém ty klíče odeslat, aniž byste to zaznamenal. Schovávat to do aplikace, která má zdrojáky vystavené na GitHubu, by asi nebyl nejlepší nápad.
Navíc když už by Google někam odesílal ty informace umožňující spárovat klíče s konkrétním člověkem, nejspíš by se tam určitě našel navíc ten jeden bit potřebný pro identifikaci, zda jde o „nakažený“ či „nenakažený“ klíč.
Zkrátka chce to méně hledat senzace a raději začít přemýšlet.
-
J ouda (neregistrovaný)
Mohl byste mi prosím ve Vaší aroganci naznačit, jak ty klíče Google získá z iPhone, případně se o ně podělit i s Apple - mají docela hezký program na bug hunting, možná si z toho něco hezkého koupíte k vánocům.
Jinak žádnou senzaci nepíšu. Napsal jsem jen to, že [b] způsob uploadu klíčů poté co jste pozitivně testovaný do infrastruktury Google umožňuje z jejich strany snadnou identifikaci konkrétní nakažené osoby[/b], zbytek jsou Vaše fantazie.
Nic podobného se na stránce erouska.cz nepíše.18. 10. 2020, 15:49 editováno autorem komentáře
-
FILIP JIRSÁKStříbrný podporovatel
Z iPhone by ty klíče mohl získat Apple. Stejným způsobem, jako je může Google získat z Androidu.
umožňuje z jejich strany snadnou identifikaci konkrétní nakažené osoby
Ano, to jste napsal. Ale už jste nenapsal, jak tu „snadnou identifikaci“ provede. Zkuste to alespoň naznačit.Nic podobného se na stránce erouska.cz nepíše.
„S Vašimi osobními údaji budeme pracovat jen na území EU a v důvěryhodných třetích zemích, kde jsou umístěny servery společnosti Google, která jako subzpracovatel poskytuje prostřednictvím zpracovatele část serverových služeb pro fungování aplikace.“ -
J ouda (neregistrovaný)
Ano, jediné co brání případnému zneužití (i v budoucnu) je smluvní závazek.
Vy věříte Google že závazek dodrží, byť případné porušení není prakticky dokazatelné? Respektuji, je to (nejen) Váš názor.
Ale respektujte na oplátku názory těch, kteří apriori nadnárodním korporacím (včetně všech jejich částí) nevěří ani dobrý den. -
FILIP JIRSÁKStříbrný podporovatel
Teďka nevím – Google (správce Androidu) a Apple (autor iOS) nejsou nadnárodní korporace? Nebo jim nedůvěřujete, nemáte telefon ani s Androidem ani s iOS a tím pádem se vás fungování eRoušky netýká?
-
J ouda (neregistrovaný)
Opět vedle milý Watsone. Telefon můžu používat způsobem, kterým nesděluji víc informací než by mi bylo milé, pokud jde o novou aplikaci, tak buď najít informaci u zdrojů které za důvěryhodné považuji (třeba Matthew Green pokud se bavíme o Applím světě) případně se podívat sám a zhodnotit, jestli mi to za rizika stojí nebo ne.
-
FILIP JIRSÁKStříbrný podporovatel
Asi jste si neuvědomil, že operační systém má přístup ke všemu, co se v mobilu děje, a má přístup k veškerému hardwaru. To, že bude Google nelegálně sledovat komunikaci ve svém cloudu a párovat ji podle IP adres s uživateli, je stejně pravděpodobné, jako že ty údaje nelegálně vytáhne z aplikace už operační systém a odešle je v rámci nějakého nevinného požadavku.
A pořád nějak zapomínáte, k čemu by to celé bylo. Dobře, Google by podle vás věděl, kdo je nakažený. Co s tou informací dál? Nabídne to pro cílení reklamních kampaní? Nenapadlo vás, že tím by jaksi porušili ten základní předpoklad, že se o tom nikdo nesmí dozvědět?
-
J ouda (neregistrovaný)
Asi jste si neovědomil, že pokud by k témuž účelu výrobce zneužil operační systém (tedy aktivně si posílal informace navíc), tedy dal možnost se nechat prokazatelně nachytat na švestkách (a že se o to pokouší spousta výzkumníků jak z akademické sféry, tak i nezávislých, se všemi možnými barvami klobouků), tak by musel být naprosto šílený, riskovat relativně malý zisk s rizikem mnohamiliardových pokut není jen tak.
Nicméně diskutovaná situace je pasivní analýza již existujících dat, kterou z proncipu lze prokázat jen velmi těžko, tam risk/benefit vychází mnohem lépe.
-
FILIP JIRSÁKStříbrný podporovatel
Diskutovaná situace nastává jen v případě, že se národní implementace eRoušky rozhodne používat pro provoz serverové části infrastrukturu Google. Pak by to musel někdo z Googlu analyzovat, zjistit, zda se k těm datům dostanou a upravit příslušnou infrastrukturu, aby příslušná data kopírovala někam jinam. Takže by to byla spousta práce a velké riziko, že se to provalí.
Pak jste psal o malém zisku. Ale ještě jste nenapsal, jaký přesně zisk by z toho Google měl.
-
Děláte si srandu nebo jste vážně natvrdlý? Co by z toho Google měl? No to samé co má z vyhledávání nebo provozu gmailu. Peníze. Peníze od společností které si u něj kupují reklamy. A cílit na nemocné s Covidem nebude k zahození.
A jaká práce s analýzou? Vždyť vše tohle Google už má, stačí jen ty data/logy nasměrovat na správné procesy.
-
Martin X (neregistrovaný)
Odkazovaný článok píše o tom, že cieľovanie reklamy na základe odpočúvania sa v praxi masívne využíva.
Ku..a ľudia, to naozaj potrebujete všetko napísané priamo a nedokážete použiť elementárnu logiku a odvodiť si, že firma ktorej biznis je založený na spracovaní a predaji informácií o správaní používateľov na cielenie reklamy, využije každú možnosť, aby svoj biznis vylepšila. -
FILIP JIRSÁKStříbrný podporovatel
250 aplikací znamená „masivně používá“, aha.
Problém ve zpracování informací je na vaší straně. To vy si vymýšlíte, a pak se pokoušíte to dokazovat odkazy na texty,které nic takového netvrdí. A snažíte se to zamaskovat nejasným vyjadřováním. To, že požadujeme, abyste to napsal přímo, je jenom proto, abyste napsal něco jasného, co se dá posoudit, zda je to pravdivé nebo nepravdivé.
-
FILIP JIRSÁKStříbrný podporovatel
Pro aktivaci mikrofonu vyžaduje webový prohlížeč souhlas uživatele. O Google Search není v článku ani slovo, článek je z ledna 2018, takže budoucí čas k němu také nesedí. Vlastně to vypadá, že jste si to celé vymyslel a připojil k tomu odkaz na náhodný článek.
-
Martin X (neregistrovaný)
@FILIP JIRSÁK
"O Google Search není v článku ani slovo, .."
Poprosím viac trénovať čítanie s porozumením.Citácia z článku:
"Google Search na Androidu nebo iOS umí nově od včerejška poznat písničku, kterou jen zabroukáte."Zároveň poprosím doštudovať základy logickej argumentácie, konkrétne logickú indukciu, aby ste pochopili, že ten link ktorý som uviedol vyššie, slúži ako ilustrácia, že podobné praktiky už existujú (áno, v minulosti):
"Logická indukce (generalizace) je vyvození obecného závěru z dílčích poznatků. Platí-li pro předmět A1 určitá skutečnost B, pro předmět A2 také skutečnost B, pro n-tý předmět An také skutečnost B, pak indukce je název pro náš úsudek, že pro všechny předměty A platí skutečnost B."
https://cs.wikipedia.org/wiki/Logick%C3%A1_indukce -
FILIP JIRSÁKStříbrný podporovatel
Bavíme se o vašem odkazu na článek, ne o zprávičce. Navíc ve zprávičce se nepíše nic o tom, že by byl v Google Search trvale aktivovaný mikrofon. Naopak hlasové vyhledávání v Google Search funguje už asi tak sto let.
Základem logické argumentace je, že když napíšete nějaké tvrzení, dokládáte to tvrzení. Ne něco úplně jiného, k čemu jste dospěl metodou volných asociací.
A logickou indukci jste také nepochopil. Tím vaším způsobem „logické indukce“ jde dokázat třeba to, že vy jste zelený. Tráva je zelená, okurka je zelená, měděnka je zelená, takže vy jste také zelený.
-
FILIP JIRSÁKStříbrný podporovatel
Ale jo, naštudoval jsem vaše vidění světa. Nevíte, co dnes umí Google Search. Nevíte, jak fungují oprávnění pro používání mikrofonu. 250 aplikací považujete za „masivně používá“. A za logickou indukci považujete to, že uvedete náhodně pár věcí, které mají nějakou vlastnost, a prohlásíte, že tím pádem tu samou vlastnost má i další věc. Nemusíte se bát, ono není tak těžké váš svět pochopit. Těžké je uvěřit, že si myslíte, že takhle svět funguje.
ČLÁNKY DO MAILU