آیا سرویس های مکان یابی جغرافیایی از شما جاسوسی می کنند؟

یاد بگیرید که سرویس های مکان یابی جغرافیایی (Geolocation) چگونه کار می کنند و زمانی که گوشی هوشمند شما آن را مشخص می کند چه کسی از موقعیت مکانی شما مطلع می شود؟

اخباری مبنی بر اینکه کوالکام (یکی از فروشندگان پیشرو تراشه های گوشی های هوشمند) کاربران را با سرویس مکان یابی جغرافیایی خود ردیابی کرده است، اخیرا سروصدایی در مطبوعات فناوری ایجاد کرد. در این پست ما حقیقت را از مزخرفات موجود در آن داستان جدا می کنیم و در مورد اینکه چگونه می توانید ردیابی ناخواسته را به حداقل برسانید، بحث خواهیم کرد. اول از همه، بیایید ببینیم که مکان یابی جغرافیایی چگونه کار می کند.

روش سنتی مکان یابی جغرافیایی (ژئولوکیشن)، دریافت سیگنال ماهواره ای از سیستم های GPS ،GLONASS ،Galileo یا Beidou است. با استفاده از این داده ها، گیرنده (تراشه موجود در گوشی هوشمند یا دستگاه ناوبری) محاسبات را انجام می دهد و موقعیت مکانی آن را مشخص می کند. این یک روش نسبتا دقیق است که هیچ اطلاعاتی توسط دستگاه ارسال نمی شود، دستگاه فقط اطلاعات را دریافت می کند. اما در این روش اشکالات قابل توجهی وجود دارد: در فضای داخلی کار نمی کند و اگر روزانه از گیرنده استفاده نشود محاسبات آن زمان زیادی می برد. علت این است که دستگاه باید مکان دقیق ماهواره ها را بداند تا بتواند محاسبات را انجام دهد. بنابراین باید به اصطلاح سالنامه را که حاوی اطلاعاتی در مورد موقعیت و حرکت ماهواره است دانلود کند و بازیابی آن در صورت دانلود مستقیم از ماهواره بین پنج تا ده دقیقه طول می کشد.

به عنوان جایگزینی سریع تر برای دانلود مستقیم از ماهواره، دستگاه ها می توانند سالنامه را از طریق فناوری به نام A-GPS (Assisted GPS) در عرض چند ثانیه از اینترنت دانلود کنند. طبق مشخصات اصلی، تنها داده های ماهواره ای که در حال حاضر موجود هستند، منتقل می شوند. اما چندین توسعه دهنده برای سرعت بخشیدن به محاسبه مختصات، پیش بینی هفتگی موقعیت های ماهواره ای را اضافه کرده اند حتی اگر گیرنده برای روزهای متوالی به اینترنت متصل نباشد. این فناوری به عنوان "سرویس داده های ماهواره ای پیش بینی شده (Predicted Satellite Data Service - PSDS)" شناخته می شود و سرویس کوالکام (Qualcomm) چشمگیرترین پیاده سازی را تا به امروز داشته است. این سرویس که در سال 2007 به نام "gpsOne XTRA" راه اندازی شد، در سال 2013 به "IZat XTRA Assistance" تغییر نام داد و در جدیدترین شکل خود مجددا به عنوان "Qualcomm GNSS Assistance Service" نام گذاری شد.

همانطور که در بالا گفته شد، یکی دیگر از مشکلات مکان یابی جغرافیایی با استفاده از سیگنال ماهواره این است که احتمال دارد در فضای داخلی قابل دسترس نباشد، بنابراین راه‌ های دیگری برای تعیین موقعیت مکانی یک گوشی هوشمند وجود دارد. روش کلاسیک دهه نود بررسی این است که کدام ایستگاه های مخابراتی در نقطه فعلی دریافت می شوند سپس با مقایسه قدرت سیگنال آن ها و دانستن موقعیت دقیق ایستگاه ها، می توان مکان تقریبی دستگاه را محاسبه کرد.

با تغییرات جزئی، این مورد توسط شبکه های LTE مدرن نیز پشتیبانی می شود. گوشی های هوشمند همچنین می توانند نقاط اتصال (Hotspots) وای فای اطراف را بررسی کرده و مکان تقریبی آن ها را تعیین کنند. این معمولا توسط دیتابیس هایی که اطلاعات مربوط به نقاط دسترسی (Access Points) وای فای را ذخیره می کنند و توسط سرویس های خاص ارائه می‌ شوند، فعال می شود. مانند سرویس مکان یابی گوگل.

تمام روش‌ های مکان یابی جغرافیایی موجود، توسط SUPL (Secure User Plane Location) تعریف شده‌ است، استانداردی که توسط اپراتورهای تلفن همراه و توسعه دهندگان گوشی هوشمند، میکروچیپ و سیستم عامل پشتیبانی می شود. هر برنامه ای که به موقعیت کاربر نیاز داشته باشد، آن را با استفاده از سریع ترین و دقیق ترین ترکیبی از روش های رایج در دسترس، از سیستم عامل تلفن همراه دریافت می‌ کند.

دسترسی به خدمات SUPL نباید منجر به نقض حریم خصوصی کاربر شود، اما در عمل، داده ها اغلب نشت می کنند. هنگامی که تلفن شما با استفاده از ایستگاه های مخابراتی نزدیک، موقعیت شما را مشخص می کند، اپراتور تلفن همراه دقیقا می داند که کدام مشترک درخواست را ارسال کرده و در آن لحظه کجا بوده است. گوگل با ثبت موقعیت مکانی و شناسه کاربر از سرویس مکان یابی خود کسب درآمد می کند؛ با این حال، از نظر فنی این غیر ضروری است.

در مورد A-GPS، از نظر تئوری سرورها می‌ توانند داده‌ های مورد نیاز را بدون جمع آوری شناسه های مشترکین یا ذخیره هیچ یک از آن ها ارائه دهند. با این حال، بسیاری از توسعه دهندگان هر دو را انجام می دهند. اجرای استاندارد SUPL در اندروید، IMSI (شماره سیم منحصر به فرد) تلفن هوشمند را به عنوان بخشی از درخواست SUPL ارسال می کند. کلاینت Qualcomm XTRA در گوشی هوشمند، شناسه‌ های فنی مشترکین از جمله آدرس های IP را منتقل می‌ کند. به گفته کوالکام، آن ها داده ها را از هویت خارج می کنند. یعنی سوابق مرتبط با شناسه های مشترکین و آدرس های IP را پس از ۹۰ روز حذف می کنند و سپس از داده های خام منحصرا برای اهداف تجاری خاص استفاده می کنند.

یک نکته مهم: داده های یک درخواست A-GPS نمی توانند برای تعیین موقعیت مکانی کاربر استفاده شوند. سالنامه ی قابل دسترس از سرور، در هر نقطه از زمین یکسان است؛ این دستگاه کاربر است که مکان را محاسبه می کند. به عبارت دیگر، تمام چیزی که صاحبان این سرویس ها می‌ توانند ذخیره کنند اطلاعاتی درمورد ارسال درخواست کاربر به سرور، در یک زمان خاص است. نه موقعیت کاربر.

نشریاتی که کوالکام را مورد انتقاد قرار می‌ دهند به تحقیقات شخصی به نام Paul Privacy استناد می‌ کنند که در وب سایت Nitrokey منتشر شده است. این مقاله مدعی است که گوشی‌ های هوشمند با تراشه‌ های کوالکام، اطلاعات شخصی کاربران را از طریق یک پروتکل HTTP رمزگذاری نشده بدون اطلاع آن‌ ها به سرورهای شرکت ارسال می کنند. ظاهرا این موضوع بدون کنترل کسی اتفاق می افتد، زیرا این ویژگی در سطح سخت افزار اجرا می شود.

علیرغم مسائل مربوط به حریم خصوصی داده های ذکر شده که امثال سرویس Qualcomm GNSS Assistance از آن رنج می برند، این تحقیق تا حدودی باعث ترس و گمراهی کاربران می شود، در حالی که تعدادی از موارد نادرست است:

• در گوشی های هوشمند قدیمی، اطلاعات در واقع می توانست از طریق HTTP ناامن منتقل شود، اما در سال 2016 کوالکام این آسیب پذیری XTRA را برطرف کرد.
• طبق توافق نامه، اطلاعاتی مانند لیست برنامه های نصب شده را می توان از طریق سرویس های XTRA منتقل کرد، اما آزمایش های عملی (بازرسی بسته ها و مطالعه سورس کد اندروید) هیچ مدرکی دال بر وقوع این موضوع نشان ندادند.
• برخلاف ادعاهای اولیه محققان، تابع اشتراک داده در میکروچیپ (Baseband) تعبیه نشده است، بلکه در سطح سیستم عامل پیاده سازی شده است، بنابراین قطعا می توان آن را توسط توسعه دهندگان سیستم عامل کنترل کرد. جایگزینی و غیرفعال کردن سرویس ‌های خاص SUPL در گوشی ‌های هوشمند از سال 2012 یک مهارت شناخته شده بوده، اما این برای سریع تر کار کردن GPS انجام شد، نه به دلایل حفظ حریم خصوصی.

بنابراین، کوالکام (احتمالا) ما را ردیابی نمی کند. همانطور که گفته شد، ردیابی از طریق مکان یابی جغرافیایی امکان پذیر است، اما در سطح کاملا متفاوتی: برنامه های هواشناسی و سایر برنامه های به ظاهر بی ضرری که روزانه استفاده می کنید، این کار را به طور سیستماتیک انجام می دهند. کاری که ما پیشنهاد می دهیم یک چیز ساده و در عین حال مهم است: تعداد برنامه هایی که به موقعیت مکانی شما دسترسی دارند را به حداقل برسانید. از این گذشته، شما می ‌توانید برای دریافت پیش بینی آب و هوا مکانی را به صورت دستی انتخاب کنید و یا هنگام خرید آنلاین، آدرس تحویل را به صورت دستی وارد کنید.

اگر می‌ خواهید از ثبت موقعیت مکانی خود در هر جایی جلوگیری کنید، باید چندین مرحله حفاظتی اضافی را انجام دهید:

• به غیر از GPS خوب قدیمی، هر سرویس مکان یابی جغرافیایی را در گوشی هوشمند خود غیر فعال کنید.
• از ابزارهای پیشرفته برای جلوگیری از دسترسی تلفن به خدمات SUPL استفاده کنید. بسته به مدل گوشی هوشمند و نوع سیستم عامل، این کار را می توان با فیلتر کردن سرور DNS، فایروال سیستم، فیلتر روتر یا تنظیمات اختصاصی گوشی هوشمند انجام داد.
• حتی اگر تمام موارد بالا را انجام دهید، اپراتور تلفن همراه همچنان موقعیت تقریبی شما را در هر زمان می داند. کمی سخت است اما بهتر است گاهی از تلفن همراه خود استفاده نکنید!