Порой IT-компании поражают удивительно точной рекламой. Из-за этого в интернете появилось множество теорий о прослушке смартфонов. Хорошая новость состоит в том, что ни одно исследование эти мифы не подтвердило. Плохая: разработчики знают о нас абсолютно всё.
Кажется, смартфон подслушивает мои разговоры. Это правда?
Такие слухи ходят давно, и чаще всего их подпитывают сами пользователи, столкнувшиеся с чередой странных совпадений. Многие люди замечают, что после устного обсуждения какой-либо темы или товара крупные площадки начинают показывать соответствующую рекламу. И выглядит это, мягко говоря, подозрительно.
Так, в 2016 году корреспондент Би-би-си Зоуи Клайнман узнала от матери о смерти близкого друга в Таиланде. Причём во время разговора её смартфон даже не был включён — он лежал рядом с женщиной, на столе. На следующий день, когда Клайнман зашла в браузер, поисковая система выдала в предлагаемых вариантах имя её друга, год и ключевики: «авария мотоцикла, Таиланд». В итоге корреспондент обратилась к экспертам по кибербезопасности из компании Pen Test Partners. Они создали прототип Android-приложения, передающего записи с микрофона на сервер, провели эксперименты и подтвердили, что смартфоны могут прослушивать владельца без его ведома.
Сэм Николс пытается поймать смартфон на прослушке. Фото: vice.com
Позднее шумихи добавило и издание Vice, опубликовавшее собственное исследование. Журналист Сэм Николс пять дней подряд говорил о своём возвращении в университет и желании купить дешёвые рубашки. Вскоре Facebook начал предлагать ему различные образовательные курсы, а также доступные бренды одежды. Консультант по вопросам кибербезопасности Питер Ханнай не увидел в результатах эксперимента ничего страшного. Он уверяет, что запись голоса всегда активируется из-за определённых триггеров: у Apple и Google ими служат фразы Hey Siri или Okay Google. Но вот какие триггеры использует Facebook — никто не знает.
На возможную слежку обращали внимание и простые пользователи. Кому-то, например, Google выдавал рекламу медицинских препаратов после разговора о лекарствах. В другом случае Facebook, якобы подслушав устный диалог о мусорном кризисе в Бейруте, предлагал почитать об этом статьи. Похожих историй в интернете — масса.
Тем не менее веских доказательств того, что приложения прослушивают нас, до сих пор не существует. Как утверждает Сэнди Паракилас, работавший операционным менеджером в Facebook, сбор и анализ аудиоданных со смартфонов всех потенциальных потребителей выльется в огромные затраты для корпораций. По его словам, благодаря своим алгоритмам IT-гиганты знают о нас столько всего, что могут «невероятно точно» подбирать рекламу для каждого человека. И никакая прослушка им не нужна.
Гифка: nytimes.com
Помимо того, не стоит забывать о финансовых последствиях для корпораций. В прошлом году из-за утечки персональных данных 87 млн пользователей Facebook у компании катастрофически обвалились акции — и она потеряла $120 млрд рыночной стоимости. А 24 июля Федеральная торговая комиссия США оштрафовала соцсеть на рекордные $5 млрд. Что будет с компанией, постоянно прослушивающей личные разговоры своих пользователей, представить нетрудно.
То есть это всё теории заговора?
В какой-то мере — да. Хотя в 2017 году журналисты The New York Times обнаружили, что 250 приложений из Google Play и некоторые сервисы из App Store всё же используют софт для прослушки от стартапа Alphonso. Он подключается к микрофону, анализирует фрагменты телепередач и определяет интересы аудитории, после чего делится данными с рекламодателями. В самом стартапе заявили, что пункт о сборе данных прописан в соглашении и не запрещён правилами.
Пример приложения, которое использовало софт Alphonso. Скриншот: nytimes.com
В 2018 году австралийский ABC провёл эксперимент по типу Vice: журналисты в течение недели обсуждали возле своих телефонов часы с кукушкой. Они подробно говорили о том, как эти часы работают, из чего сделаны и сколько весят, — и никакой рекламы не увидели. Приглашённый эксперт Клэр Рэйли, узнав о результатах эксперимента, по сути, повторила мнение коллег: корпорации следят за нами иначе, а держать на серверах записи речи — неэффективно.
Механизм сверхточной рекламы Рэйли объяснила на довольно шаблонной истории: парень поговорил с другом о его женитьбе и получил в ленту «Инстаграма» рекламу обручальных колец. В подобных ситуациях, как говорит Клэр, Facebook видит, что два аккаунта находятся рядом, пользуются одной точкой Wi-Fi, общаются и находятся в брачном возрасте. Поэтому алгоритмы, сопоставляя данные, могут удачно угадать с рекламой.
Всё это звучит логично, но едва ли убедит сторонников теорий заговора. Поэтому в 2017 году группа преподавателей из Северо-Восточного университета Бостона решила поставить точку в спорах и провела исследование, посвящённое конфиденциальности и прослушке смартфонов. Длилось оно около года, а его результаты обнародовали в 2018-м. Исследователи проанализировали библиотеки и трафик 17 260 популярных приложений из Google Play, а также из китайских маркетов. Выяснилось, что 9 100 приложений действительно имеют доступ к камере и микрофону на смартфоне, но ни один из них не прослушивает пользователей и не передаёт аудиозаписи третьим лицам.
В основном доступ запрашивают приложения из Google. Скриншот: recon.meddle.mobi
Зато они обнаружили, что некоторые приложения делают скриншоты и снимают короткие видео с экрана смартфонов. Так, например, спалился сервис доставки GoPuff, который записывал личные данные клиентов и передавал их аналитической компании Apsee — якобы для оптимизации приложения. Сам по себе подобный способ сбора информации хоть и неприятен, но легален. Исследователей обеспокоило только то, что политика конфиденциальности GoPuff недостаточно прозрачно оповещала пользователей об их методах работы с их данными.
На сегодня исследование Северо-Восточного университета является самым убедительным и масштабным в своём роде. Фактически оно опровергло теорию о массовой прослушке пользователей. Правда, и тут есть пара оговорок: во-первых, результатов по аналогичным экспериментам на iOS пока нет, а во-вторых, приложения вполне могут отправлять разработчикам не аудиозаписи с речью, а только их расшифровки. В целом же Дэвид Чофнес и Кристо Уилсон, руководившие исследованием, не считают вероятную прослушку смартфонов (даже если бы она была) какой-то серьёзной угрозой. Более того, они тоже продолжают тезисы Паракиласа и заверяют, что компании справляются со слежкой и без микрофонов.
—Данные легко добыть. <...> Было бы гораздо сложнее записывать аудио, а потом расшифровывать и анализировать его. Вы бы заметили, как быстро разряжается батарея и кончается трафик. Такие вещи трудно скрыть, и мне кажется, что оно того не стоит
профессор Дэвид Чофнес
Основатель DuckDuckGo Гэбриэл Вайнберг. Скриншот: youtube.com/Vivaldi Browser
Той же позиции придерживается Гэбриэл Вайнберг, создавший конфиденциальный поисковик DuckDuckGo. По мнению разработчика, рядовые пользователи попросту не догадываются, что на 76% сайтов установлены скрытые трекеры Google, передающие данные обо всех наших действиях прямиком в корпорацию. Ещё 24% используют трекеры от Facebook, а 12% — от Twitter. Имея такой охват, компании, как считает Вайнберг, создают на каждого пользователя цифровые профили — это что-то вроде личного досье, включающего в себя все наши привычки, интересы, покупки, посещаемые места и многое другое.
Получается, IT-компании за мной всё-таки следят?
Ещё как. В 2019 году мысли Вайнберга публично подтвердил Тристан Харрис, ранее работавший специалистом по этике дизайна в Google. Харрис заявил, что Google и Facebook используют наши данные для моделирования «цифровых аватаров» на своих серверах. С помощью машинного обучения их заставляют имитировать поведение конкретного пользователя и вести себя по его подобию — таким образом компании получают оцифрованные версии каждого человека. Алгоритмам остаётся лишь считать наше появление на сайте, подключиться к «аватару» и показать гипертаргетированную рекламу.
—Технологии прогнозирования уже обогнали [в развитии] человеческий вид
экс-специалист по этике дизайна в Google Тристан Харрис
Тристан Харрис. Фото: wired.com
И это — только верхушка айсберга. Незадолго до экспериментов Северо-Восточного университета австрийская организация Cracked Labs завершила многолетнее исследование о применении пользовательских данных и также указала на существование цифровых профилей. Эксперты отметили, что в мире давно сформировалась рекламная экосистема, в которой участвуют тысячи компаний, занимающиеся отслеживанием потребителей. Благодаря обмену данными любая из них может определить наши взгляды, психологическое состояние, удовлетворённость жизнью, социальные связи, ориентацию, зависимости и черты характера. Тот же Facebook сортирует своих пользователей не менее чем по 52 тысячам критериев.
Но ключевую роль в сложившейся экосистеме играют брокеры данных типа Acxiom, Epsilon и Oracle, которые собирают информацию о миллионах людей из всевозможных источников по всему миру. К ним могут относиться, например, медицинские организации, госучреждения, турагентства, банки, страховщики, телефонные справочники, приложения и много чего ещё. В ход идут даже микрорайоны и типы зданий, в которых мы живём. Все полученные данные брокеры классифицируют по тысячам параметров и создают на каждого пользователя максимально детализированный цифровой профиль с идентификационным номером.
Так человек выглядит в глазах Acxiom и Oracle. Скриншот: crackedlabs.org
Информация о пользователе никуда не исчезает из базы брокера, а постоянно обновляется и обрастает новыми деталями: от смены адресов и до самой смерти. Вышеупомянутый Oracle хранит в своём облаке цифровые профили не менее 3 миллиардов пользователей с 15 миллионов различных ресурсов. Также там есть данные о миллиардах покупок и по 700 миллионов ежедневных сообщений из соцсетей и блогов. Подобные объёмы информации позволяют брокерам просчитывать не только поведение человека, но и его планы на ближайшее будущее: маркетологи могут заранее узнать даже о вашем желании завести ребёнка или сменить работу.
Все эти массивы данных крайне охотно скупают Google, Facebook и Twitter, чтобы потом объединить их с собственной аналитикой и показать сверхточную рекламу. Разумеется, ими тремя дело не ограничивается. Так, в 2017 году сингапурская корпорация Sintgel приобрела платформу Turn, которая предоставляет маркетологам доступ к психологическим и демографическим характеристикам пользователей. А безобидный Spotify в открытую делится информацией о настроении, плей-листах и предпочтениях 100 млн своих пользователей с рекламной компанией WPP. В России тоже не без греха: год назад «Медуза» узнала, что московский оператор бесплатного Wi-Fi «Максима телеком» собирает данные горожан, фильтрует их по целевым аудиториям и продаёт кафе и магазинам. Обновление: Представители «Максима телеком» заявили «Базе», что компания не продаёт данные пользователей компаниям, а лишь показывает своим клиентам статистику просмотров и кликов.
Параметры, помогающие идентифицировать пользователя. Скриншот: crackedlabs.org
Столь масштабная слежка всех за всеми обеспечила индивидуальный подход к каждому пользователю. Теперь алгоритмы почти идеально подстраиваются под нас и пытаются подобрать что-нибудь интересное, обслуживая при этом интересы рекламодателей. Вроде бы все в плюсе. С другой стороны, цифровые профили и аналитика каждого клика привели к тому, что нынешние компании, совершенствуя интерфейсы, не улучшают сервисы, а откровенно стараются манипулировать нашим поведением.
Если верить Тристану Харрису, то 70% трафика на YouTube обеспечивают именно алгоритмы, которые удерживают внимание пользователей и предлагают персонализированный контент. Из-за этого люди сидят на сайте дольше, чем на самом деле хотели бы, — в среднем по 60 минут в сутки. Каждый день на YouTube заходят более миллиарда зрителей, и получается, что около 700 миллионов часов их времени предопределяет компьютер.
Гифка: imgur.com
В июле американский сенатор Джош Хоули представил законопроект, ограничивающий бесконечные прокрутки лент в соцсетях, разнообразные ачивки и автопроигрывание видео. Чиновник, как и Харрис, думает, что с помощью этих уловок компании создают зависимости и манипулируют аудиторией. Впрочем, кардинально законопроект Хоули всё равно ничего не изменит: компании несут ответственность за утечки данных, а вот торговля ими особо не регулируется.
И что нам теперь делать?
Смириться и ждать наступления киберпанка. Рекламная экосистема сложилась так, что производители устройств, сайты, приложения и маркеты сами ставят трекеры и обмениваются аналитикой. Можно попробовать уйти в TOR или DuckDuckGo, но что делать с приложениями и сервисами на смартфоне? А как пользоваться банковскими услугами? PayPal передаёт данные клиентов по меньшей мере 600 сторонним организациям, Google отслеживает 70% операций по кредитным и дебетовым картам в США.
—У людей становится всё меньше возможностей противостоять влиянию экосистемы данных. Отказ от повсеместного отслеживания и профилирования стал синонимом отказа от современной жизни
из исследования Cracked Labs
Гифка: nytimes.com
Можно допустить, что когда-нибудь технологические компании займутся саморегулированием и обеспечат полную прозрачность в вопросах конфиденциальности. Но надеяться на это несколько наивно: обычно изменениям предшествуют журналистские расследования или массовые утечки. Так же считает и Гэбриэл Вайнберг. Он убеждён, что без внешнего давления компании никогда не станут самостоятельно реформировать свои подходы к данным, поскольку это противоречит их бизнес-моделям.
По мнению Вайнберга, за регулирование рынка данных, напротив, должны взяться власти. В первую очередь чиновникам нужно сделать описываемые технологии прозрачными, чтобы люди могли на пальцах понять, как, кто и зачем собирает о них информацию.
Правда, этими проблемами пока никто не занимается. Скорее всего, в обозримом будущем мы окажемся в обществе, где конфиденциальность станет роскошью для избранных. Фундамент для этого уже заложен.