Angry
Birds and 'leaky' phone apps targeted by NSA and GCHQ for user data
- Các cơ quan gián điệp Mỹ và Anh do thám các dữ liệu thương mại
- Các chi tiết có thể bao gồm tuổi tác, địa điểm và khuynh hướng tình dục
- Các tài liệu cũng tiết lộ các công cụ ngắm đích chống lại các điện thoại cá nhân
•
US and UK spy agencies piggyback on commercial data
•
Details can include age, location and sexual orientation
•
Documents also reveal targeted tools against individual phones
by James
Ball, theguardian.com,
Tuesday 28 January 2014 07.51 GMT
Theo:
http://www.theguardian.com/world/2014/jan/27/nsa-gchq-smartphone-app-angry-birds-personal-data
Bài được đưa lên
Internet ngày: 28/01/2014
Lời
người dịch: Các cơ quan tình báo Mỹ và Anh - NSA và
GCHQ, đã sử dụng các công ty, các ứng dụng, kể cả
các ứng dụng trò chơi trên các điện thoại di động
cầm tay để thu thập ồ ạt các dữ liệu của người
sử dụng trên thế giới. Vài trích đoạn: “Trong thực
tế, hầu hết các site mạng xã
hội chính, như Facebook và Twitter,
dải các hình chụp xác định siêu dữ liệu về địa
điểm (được biết tới như là các dữ liệu EXIF) trước
khi xuất bản. Tuy nhiên, việc phụ thuộc vào khi nào điều
này được thực hiện trong khi tải lên, các dữ liệu đó
có thể vẫn còn, ngắn gọn, sẵn sàng cho sự thu thập
từ các cơ quan khi nó du lịch khắp các mạng... một tài
liệu năm 2008 đã lưu ý rằng “nó có ý nghĩa một cách
có hiệu quả rằng bất kỳ ai
sử dụng Google Maps trên một điện thoại thông minh đang
làm việc trong sự hỗ trợ của một hệ thống của
GCHQ... Các công cụ có chủ
đích của GCHQ chống lại các điện thoại thông tin của
các cá nhân được đặt tên sau các ký tự trong loạt
The Smurfs trên TV. Một khả năng làm cho các micro của điện
thoại là 'nóng', để nghe các cuộc hội thoại, được
đặt tên là “Nosey Smurt”. Vị trí địa lý với độ
chính xác cao được gọi lày “Tracker Smurf”, quản lý
năng lượng - một khả năng để
kích hoạt giấu giếm một điện thoại mà rõ ràng đã
tắt - là “Dreamy Smurf”,
trong khi các khả năng tự dấu
mình của phần mềm gián điệp có tên hiệu là “Paranoid
Smurg”... Một tiết lộ riêng
biệt hôm thứ tư, được Glenn
Greenwald và NBC News xuất bản, đã
đưa ra những ví dụ về cách mà GCHQ từng sử dụng các
khả năng nghe lén của nó để giám
sát giao thông các phương tiện xã hội và YouTube theo thời
gian thực”. Phân biệt giữa
người Mỹ và người nước ngoài: “Những
tiết lộ mới nhất đó cũng có thể bổ sung thêm cho
việc làm dấy lên mối quan ngại của công chúng về cách
mà lĩnh vực công nghệ này thu thập và sử dụng thông
tin, đặc biệt cho những ai bên ngoài nước Mỹ, những
người hưởng ít hơn sự bảo vệ tính riêng tư so với
những người Mỹ”. Xem
thêm: 'Chương
trình gián điệp PRISM trên không gian mạng'.
Cơ quan An ninh Quốc
gia - NSA (National
Security Agency) và đối tác GCHQ
nước Anh của nó đã và đang phát triển các khả năng
để lợi dụng các ứng dụng các ứng dụng điện thoại
thông minh “không cẩn thận”, như trò chơi Những con
chim Cáu kỉnh (Angry Birds) rất phổ biến, mà truyền các
thông tin riêng tư của người sử dụng khắp Internet,
theo các tài liệu tuyệt mật.
Các dữ liệu đang đổ
vào các mạng truyền thông từ thế hệ mới các ứng
dụng của iPhone và Android, trải từ mô hình điện thoại
và kích cỡ màn hình cho tới các chi tiết cá nhân như
tuổi tác, nam hay nữ và địa điểm. Một số ứng dụng,
các tài liệu nêu, có thể chia sẻ hầu hết các thông
tin nhạy cảm của những người sử dụng như khuynh hướng
tình dục - và một ứng dụng đã ghi lại trong tư liệu
thậm chí gửi đi các ưu tiên tình dục đặc biệt như
liệu có hay không người sử dụng có thể là một người
thay đổi bạn tình (swinger).
Nhiều người sử
dụng điện thoại thông minh sẽ không nhận thức được
về mức độ đầy đủ những thông tin này đang được
chia sẻ khắp Internet, và thậm chí phức tạp nhất có
thể không có khả năng để nhận thức được rằng tất
cả điều đó là sẵn sàng cho các cơ quan gián điệp để
thu thập.
Hàng tá các tài liệu
bí mật, được tờ Guardian cung cấp từ người thổi còi
Edward Snowden và được nêu trong mối quan hệ đối tác
với các tờ New
York Times và ProPublica,
chi tiết hóa các nỗ lực của NSA và GCHQ vơ lấy các bộ
sưu tập các dữ liệu thương mại này cho các mục đích
riêng của họ.
Việc rình mò thông
tin mà các ứng dụng đang gửi đi về những người sử
dụng của họ cho phép các cơ quan đó thu thập số lượng
lớn các dữ liệu điện thoại di động từ các công cụ
giám sát ồ ạt đang tồn tại của họ - như các nút
cáp, hoặc từ các mạng di động quốc tế - hơn là chỉ
từ việc đột nhập vào các máy cầm tay di động của
từng cá nhân.
Việc khai thác thông
tin và địa điểm của điện thoại là một nỗ lực có
ưu tiên cao cho các cơ quan tình báo, khi mà bọn khủng bố
và các mục tiêu tình báo khác sử dụng nhiều điện
thoại trong việc lên kế hoạch và triển khai các hoạt
động của chúng, ví dụ bằng việc sử dụng các điện
thoại khi kích hoạt các thiết bị ở các vùng xung đột.
NSA đã bỏ ra tổng cộng hơn 1 tỷ USD trong các nỗ lực
nhằm vào các điện thoại của nó.
Trên slide từ một
trình chiếu của NSA vào tháng 05/2010 về việc lấy dữ
liệu từ các điện thoại thông minh - không kịp thở với
đầu đề “Cục vàng tự nhiên trong đất!” (Golden
Nugget!) - đặt ra “kịch bản tuyệt vời” của cơ quan
này: “Nhằm vào các ảnh chụp tải lên vào một site
mạng xã hội với một thiết bị di động. Chúng ta có
được gì?”
Câu
hỏi được trả lời trong các lưu ý cho slide: từ chỉ
riêng sự việc đó, cơ quan này nói nó có thể có được
một “bức tranh có khả năng”, người lựa chọn thư
điện tử, điện thoại, các danh sách người quen, và
“một đống các dữ liệu làm việc trên mạng xã hội
khác cũng như địa điểm”.
Trong
thực tế, hầu hết các site mạng xã hội chính, như
Facebook và Twitter, dải các hình chụp xác định siêu dữ
liệu về địa điểm (được biết tới như là các dữ
liệu EXIF) trước khi xuất bản. Tuy nhiên, việc phụ
thuộc vào khi nào điều này được thực hiện trong khi
tải lên, các dữ liệu đó có thể vẫn còn, ngắn gọn,
sẵn sàng cho sự thu thập từ các cơ quan khi nó du lịch
khắp các mạng.
Phụ thuộc vào thông
tin nào một người sử dụng đã cung cấp, các tài liệu
đã gợi ý, cơ quan đó có thể có khả năng thu thập hầu
như mọi chi tiết chính cuộc sống của một người: bao
gồm nước, địa điểm hiện hành (thông qua vị trí địa
lý), tuổi, nam hay nữ, mã zip, tình trạng hôn nhân - các
lựa chọn bao gồm “đơn độc”, “có vợ/chồng”,
“đã li dị”, “người thay đổi bạn tình – swinger”
và hơn thế nữa - thu nhập, dân tộc, khuynh hướng tình
dục, mức độ giáo dục, và số lượng con cái.
Các cơ quan đó cũng
sử dụng các khả năng can thiệp di động của họ để
thu thập các thông tin vị trí theo đống, từ các ứng
dụng bản đồ của Google và khác. Một nỗ lực cơ bản
từ GCHQ và NSA từng để xây dựng một cơ sở dữ liệu
vị trí địa lý đối với từng điện thoại di động
trên thế giới - nghĩa là chỉ bằng việc lấy ID của
tháp di động từ một thiết bị cầm tay, thông tin địa
điểm có thể lượm được.
Dù, nỗ lực phức
tạp hơn dựa vào việc sử dụng Google Maps đòi hỏi thực
hiện trên các điện thoại thông minh, và việc sử dụng
chúng để thu thập số lượng lớn các thông tin về vị
trí.
Nỗ
lực này từng thành công lớn khi trong một tài liệu năm
2008 đã lưu ý rằng “nó có ý nghĩa một cách có hiệu
quả rằng bất kỳ ai sử dụng Google Maps trên một điện
thoại thông minh đang làm việc trong sự hỗ trợ của một
hệ thống của GCHQ”.
Thông tin đó được
tạo ra từ từng ứng dụng được chọn của các lập
trình viên của nó, hoặc từ công ty mà phân phối các
quảng cáo cho một ứng dụng. Các tài liệu không chi tiết
hóa liệu các cơ quan đó có thực sự thu thập các chi
tiết nhạy cảm tiềm tảng mà một số ứng dụng có khả
năng lưu trữ hoặc truyền đi hay không, nhưng bất kỳ
thông tin nào như vậy cũng có khả năng định tính như
là nội dung, hơn là siêu dữ liệu.
Các dữ liệu được
thu thập từ các ứng dụng điện thoại thông minh tuân
theo cùng y hệt các luật và các thủ tục hành chính như
tất cả các hoạt động khác của NSA - các thủ tục mà
tổng thống Mỹ, Barack Obama, đã gợi ý có thể phải cải
cách trong một bài
phát biểu 10 ngày trước. Nhưng tổng thống chủ yếu
tập trung vào sự thu thập của NSA các siêu dữ liệu từ
các cuộc gọi điện thoại Mỹ và đã không nhắc tới
trong bài của ông số lượng lớn các dữ liệu mà cơ
quan đó thu thập từ các ứng dụng điện thoại thông
minh.
Những
tiết lộ mới nhất đó cũng có thể bổ sung thêm cho
việc làm dấy lên mối quan ngại của công chúng về cách
mà lĩnh vực công nghệ này thu thập và sử dụng thông
tin, đặc biệt cho những ai bên ngoài nước Mỹ, những
người hưởng ít hơn sự bảo vệ tính riêng tư so với
những người Mỹ. Một thăm dò ý kiến hồi tháng
01 của tờ Washington Post đã chỉ ra 69% những người lớn
ở Mỹ đã lo ngại về cách mà các công ty công nghệ như
Google đã sử dụng và lưu giữ các thông tin của họ.
Các
tài liệu không làm rõ có bao nhiêu thông tin mà có thể
được lấy từ các ứng dụng được thu thập, được
lưu trữ hoặc được tìm kiếm hàng ngày, cũng không nêu
có bao nhiêu người sử dụng có thể bị ảnh hưởng.
NSA nói nó không nhằm vào những người Mỹ và các khả
năng của nó được triển khai chỉ để chống lại “các
mục tiêu tình báo nước ngoài hợp lệ”.
Các tài liệu đó đã
đặt ra rất chi tiết chính xác có bao nhiêu thông tin có
thể được thu thập từ các ứng dụng phổ biến rộng
rãi. Một tài liệu được nêu trong chỉ dẫn dạng
Wikipedia nội bộ của GCHQ cho các nhân viên chi tiết hóa
những gì có thể được thu thập từ các ứng dụng khác
nhau. Dù nó sử dụng các ứng dụng Android cho hầu hết
các ví dụ của mình, thì nó gợi ý nhiều dữ liệu y
hệt có thể được lấy từ các ứng dụng tương tự
trên iPhone và các nền tảng khác.
Các tài liệu của
GCHQ đưa ra các ví dụ thông tin nào có thể được trích
từ các nền tảng quảng cáo khác nhau, bằng việc sử
dụng có lẽ trò chơi trên điện thoại di động phổ
biến nhất mọi thời, Các con chim Cáu giận - Angry Birds -
mà nó được cho là được tải về hơn 1.7 tỷ lần -
như một trường hợp điển hình.
Từ một số nền
tảng ứng dụng, khá hạn chế, nhưng xác định, thông
tin như chính xác loại thiết bị cầm tay, ID duy nhất của
thiết bị cầm tay đó, phiên bản phần mềm, và các chi
tiết tương tự là tất cả những thứ được truyền
đi.
Các ứng dụng khác
chọn để truyền nhiều dữ liệu hơn, nghĩa là cơ quan
đó có thể tiềm tàng về mạng nhiều hơn. Một nền
tảng quảng cáo di động, Millennial Media, đã xuất hiện
để chào các thông tin đặc biệt giàu thuộc tính.
Website của Millennial Media nói nó đã đối tác với Rovio
trong một xuất bản phẩm đặc biệt của Angry Birds; với
Farmville maker Zynga; với Call của Duty developer Activision, và
nhiều chi nhánh khác nữa.
Rovio, nhà sản xuất
Angry Birds, nói hãng đã không biết về bất kỳ chương
trình nào của NSA hoặc GCHQ tìm cách lấy các dữ liệu
từ những người sử dụng các ứng dụng của hãng.
“Rovio không có được
bất kỳ sự hiểu biết nào trước đó về vấn đề
này, và đã không nhận thức được về hoạt động như
vậy trong các mạng quảng cáo của các bên thứ 3”,
Saara Bergström, Phó chủ tịch của Rovio về marketing và
truyền thông, nói. “Chúng tôi không có sự liên can nào
với các tổ chức mà bạn nhắc tới [NSA và GCHQ]”.
Millennial Media đã
không trả lời một yêu cầu bình luận.
Vào tháng 12, tờ
Washington
Post đã nêu về cách mà NSA có thể sử dụng các tệp
theo dõi quảng cáo được tạo ra thông qua việc duyệt
Internet thông thường - được biết tới như là cookies -
từ Google và các hãng khác để lấy thông tin về các mục
tiêu tiềm tàng.
Tuy
nhiên, các dữ liệu cá nhân giàu hơn có sẵn cho nhiều
ứng dụng, đi với vị trí địa lý theo thời gian thực,
và nhiều ứng dụng cho việc nhận diện độc nhất các
thông tin máy cầm tay trao cho các cơ quan đó một nguồn
dữ liệu giàu hơn nhiều so với các cookies theo dõi web
thông thường.
Hầu hết từng
website chủ chốt đều sử dụng các cookies để phục vụ
cho việc quảng cáo và nội dung có chủ đích, cũng như
sắp xếp kinh nghiệm đối với người sử dụng, ví dụ
bằng việc quản lý các đăng nhập. Một tài liệu của
GCHQ từ năm 2010 lưu ý rằng các dữ liệu cookies - nó
thường định tính như là các siêu dữ liệu - đã trở
thành quan trọng cho việc gián điệp. Trên thực tế, các
cơ quan đó từng quét nó theo số lượng cao và vật lộn
để lưu trữ nó.
“Chúng được thu
thập theo đống, và hiện là dạng lớn nhất duy nhất
của chúng tôi về các sự kiện đó”, tài liệu nêu.
Khả năng để có được tình báo có chủ đích bằng
việc đột nhập vào các thiết bị cầm tay cá nhân từng
được ghi chép tốt thành tài liệu, cả thông qua vài năm
các hội nghị của các tin tặc và những tiết lộ trước
đó của NSA trên Der
Spiegel, và cả NSA và GCHQ đều có các công cụ tăng
cường sẵn sàng để triển khai chống lại iPhone, Android
và các nền tảng điện thoại khác.
Các
công cụ có chủ đích của GCHQ chống lại các điện
thoại thông tin của các cá nhân được đặt tên sau các
ký tự trong loạt The Smurfs trên TV. Một khả năng làm cho
các micro của điện thoại là 'nóng', để nghe các cuộc
hội thoại, được đặt tên là “Nosey Smurt”. Vị trí
địa lý với độ chính xác cao được gọi lày “Tracker
Smurf”, quản lý năng lượng - một khả năng để kích
hoạt giấu giếm một điện thoại mà rõ ràng đã tắt -
là “Dreamy Smurf”, trong khi các khả năng tự dấu mình
của phần mềm gián điệp có tên hiệu là “Paranoid
Smurg”.
Các tên khả năng đó
được đặt ra trong một trình chiếu rộng rãi hơn nhiều
trong năm 2010 mà rọi ánh sáng vào những mong muốn của
các cơ quan gián điệp về sự can thiệp vào điện thoại
di động, và các khả năng thu thập ồ ạt ít được ghi
thành tài liệu hơn.
Tờ bìa của tài liệu
đưa ra những mong muốn của đội đó:
Một slide khác chi
tiết hóa các điểm yếu ở những nơi mà các dữ liệu
chảy từ các nhà cung cấp mạng điện thoại di động
tới Internet rộng lớn hơn, nơi mà các ý định của cơ
quan này can thiệp vào các giao tiếp truyền thông. Chúng
là các địa điểm hoặc bên trong một mạng cụ thể,
hoặc những trao đổi chuyển vùng (roaming) quốc tế (được
biết tới như là GRX), nơi mà các dữ liệu từ các nhà
du lịch chuyển vùng bên ngoài nước họ được định
tuyến.
Đặc
biệt hữu dụng đối với cơ quan là các dữ liệu thường
chỉ được mã hóa yếu trên các mạng như vậy, và bao
gồm các thông tin bổ sung thêm như ID của thiết bị cầm
tay hoặc số máy di động - các mã định danh đích mạnh
hơn nhiều so với các địa chỉ IP thông thường hoặc
các thông tin tương tự để đằng sau khi các máy tính cá
nhân PC và các máy tính xách tay duyệt Internet.
NSA nói các kỹ thuật
can thiệp điện thoại của nó chỉ được sử dụng để
chống lại các mục tiêu hợp lệ, và tuân theo các bảo
vệ pháp lý khắt khe.
“Các giao tiếp
truyền thông của mọi người mà không phải là các mục
tiêu tình báo nước ngoài hợp lệ không phải là sự
quan tâm cho NSA”, một người phát ngôn nói trong một
tuyên bố.
“Bất kỳ tác động
nào mà sự thu thập tình báo nước ngoài của NSA được
tập trung vào các giao tiếp truyền thông các phương tiện
xã hội hoặc điện thoại thông minh của các công dân Mỹ
hàng ngày là không đúng. Hơn nữa, NSA không nhằm vào
những người Mỹ mỗi ngày khi nó triển khai nhiệm vụ
tình báo nước ngoài của nó. Chúng tôi chỉ thu thập các
giao tiếp truyền thông mà chúng tôi được pháp luật
trao quyền để thu thập vì các mục tiêu phản gián và
tình báo nước ngoài hợp lệ - bất chấp các biện pháp
kỹ thuật được các mục tiêu đó sử dụng”.
“Vì một số dữ
liệu của những người Mỹ có thể khi đó được thu
thập ngẫu nhiên trong các nhiệm vụ tình báo nước ngoài
hợp pháp của NSA, các bảo vệ tính riêng tư đối với
những người Mỹ đang tồn tại khắp toàn bộ qui trình
có liên quan tới sử dụng, điều khiển, gìn giữ và phổ
biến dữ liệu. Hơn nữa, hoạt động của NSA làm việc
để loại bỏ các dữ liệu thừa, bao gồm các dữ liệu
của các công dân nước ngoài vô tội, càng sớm càng tốt
trong qui trình đó”.
“Xuất bản liên tục
và có lựa chọn các kỹ thuật và công cụ đặc biệt
được NSA sử dụng hợp pháp để theo đuổi các mục
tiêu tình báo nước ngoài hợp pháp là có hại cho an ninh
của nước Mỹ và các đồng minh của chúng ta - và đặt
họ vào rủi ro mà chúng ta đã thề bảo vệ”.
NSA
đã từ chối trả lời một loạt các câu hỏi về các
khả năng thường ngày đó làm thế nào chống lại các
ứng dụng đã được triển khai, hoặc về các thủ tục
tối thiểu đặc biệt được sử dụng để bảo vệ
thông tin của các công dân Mỹ đang được lưu trữ thông
qua các biện pháp như vậy.
GCHQ đã từ chối
bình luận về bất kỳ chương trình đặc biệt nào của
nó, nhưng đã nhấn mạnh tất cả các hoạt động của
nó là tương xứng và tuân thủ với luật của nước
Anh.
“Đây là một chính
sách từ lâu là chúng tôi không bình luận về các vấn
đề tình báo”, một người phát ngôn nói.
“Hơn nữa, tất cả
công việc của GCHQ được triển khai tuân thủ với một
khung pháp lý và chính sách khắt khe mà đảm bảo rằng
các hoạt động của chúng tôi là được phép, cần thiết
và tương xứng, và rằng có sự giám quản khắt khe, bao
gồm cả từ Bộ trưởng Ngoại giao, các Ủy viên ủy ban
các Dịch vụ Tình báo và Can thiệp và Ủy ban Tình báo
và An ninh của Quốc hội. Tất cả các qui trình hoạt
động của chúng tôi hỗ trợ mạnh mẽ cho quan điểm
này”.
- Một tiết lộ riêng biệt hôm thứ tư, được Glenn Greenwald và NBC News xuất bản, đã đưa ra những ví dụ về cách mà GCHQ từng sử dụng các khả năng nghe lén của nó để giám sát giao thông các phương tiện xã hội và YouTube theo thời gian thực.
Các khả năng nghe lén
cáp và bộ nhớ tạm Internet của GCHQ, có tên là Tempora,
đã
được tờ Guardian tiết lộ vào tháng 06, nhưng các
tài liệu mới do NBC đã xuất bản từ một trình chiếu
của GCHQ có tên “Tâm lý học: Một dạng mới của
SIGDEV (Tình báo dấu hiệu) đặt ra một chương trình có
tên hiệu là Squeaky Dolphin mà đã trao cho các gián điệp
Anh “việc giám sát rộng lớn theo thời gian thực” đối
với “Việc xem các Video trên YouTube”, “các URL 'Thích
– Like' trên Facebook” và “các viếng thăm trên
Blogspot/Blogger””.
Một slide tiếp theo
đã lưu ý rằng “thụ động – passive” - một khái
niệm cho sự giám sát phạm vi rộng thông qua can thiệp
cáp - đã trao cho cơ quan đó “khả năng mở rộng phạm
vi”.
Ý nghĩa của sự can
thiệp có nghĩa là GCHQ và NSA có thể có được các dữ
liệu mà không cần bất kỳ tri thức nào hoặc sự hợp
tác nào từ các công ty công nghệ. Người phát ngôn cho
NSA và GCHQ đã nói cho NBC tất cả các chương trình từng
được triển khai tuân theo với luật của Mỹ và Anh.
- Bài báo này từng được sửa đổi vào ngày 28/01/2014. Nó đã tham chiếu tới tình trạng chiến tranh, thay vì tình trạng hôn nhân. Điều này đã được sửa cho đúng.
The
National
Security Agency and its UK counterpart GCHQ
have been developing capabilities to take advantage of "leaky"
smartphone apps, such as the wildly popular Angry Birds game, that
transmit users' private information across the internet, according to
top secret documents.
The
data pouring onto communication networks from the new generation of
iPhone and Android apps ranges from phone model and screen size to
personal details such as age, gender and location. Some apps, the
documents state, can share users' most sensitive information such as
sexual orientation – and one app recorded in the material even
sends specific sexual preferences such as whether or not the user may
be a swinger.
Many
smartphone owners will be unaware of the full extent this information
is being shared across the internet, and even the most sophisticated
would be unlikely to realise that all of it is available for the spy
agencies to collect.
Dozens
of classified documents, provided to the Guardian by whistleblower
Edward Snowden and reported in partnership with the
New York Times and ProPublica,
detail the NSA and GCHQ efforts to piggyback on this commercial data
collection for their own purposes.
Scooping
up information the apps are sending about their users allows the
agencies to collect large quantities of mobile phone data from their
existing mass surveillance tools – such as cable taps, or from
international mobile networks – rather than solely from hacking
into individual mobile handsets.
Exploiting
phone information and location is a high-priority effort for the
intelligence agencies, as terrorists and other intelligence targets
make substantial use of phones in planning and carrying out their
activities, for example by using phones as triggering devices in
conflict zones. The NSA has cumulatively spent more than $1bn in its
phone targeting efforts.
The
disclosures also reveal how much the shift towards smartphone
browsing could benefit spy agencies' collection efforts.
One
slide from a May 2010 NSA presentation on getting data from
smartphones – breathlessly titled "Golden Nugget!" –
sets out the agency's "perfect scenario": "Target
uploading photo to a social media site taken with a mobile device.
What can we get?"
The
question is answered in the notes to the slide: from that event
alone, the agency said it could obtain a "possible image",
email selector, phone, buddy lists, and "a host of other social
working data as well as location".
In
practice, most major social media sites, such as Facebook and
Twitter, strip photos of identifying location metadata (known as EXIF
data) before publication. However, depending on when this is done
during upload, such data may still, briefly, be available for
collection by the agencies as it travels across the networks.
Depending
on what profile information a user had supplied, the documents
suggested, the agency would be able to collect almost every key
detail of a user's life: including home country, current location
(through geolocation), age, gender, zip code, marital status –
options included "single", "married", "divorced",
"swinger" and more – income, ethnicity, sexual
orientation, education level, and number of children.
The
agencies also made use of their mobile interception capabilities to
collect location information in bulk, from Google and other mapping
apps. One basic effort by GCHQ and the NSA was to build a database
geolocating every mobile phone mast in the world – meaning that
just by taking tower ID from a handset, location information could be
gleaned.
A
more sophisticated effort, though, relied on intercepting Google Maps
queries made on smartphones, and using them to collect large volumes
of location information.
So
successful was this effort that one 2008 document noted that "[i]t
effectively means that anyone using Google Maps on a smartphone is
working in support of a GCHQ system."
The
information generated by each app is chosen by its developers, or by
the company that delivers an app's adverts. The documents do not
detail whether the agencies actually collect the potentially
sensitive details some apps are capable of storing or transmitting,
but any such information would likely qualify as content, rather than
metadata.
Data
collected from smartphone apps is subject to the same laws and
minimisation procedures as all other NSA activity – procedures that
the US president, Barack Obama, suggested may be subject to reform
in a speech 10 days ago. But the president focused largely on the
NSA's collection of the metadata from US phone calls and made no
mention in his address of the large amounts of data the agency
collects from smartphone apps.
The
latest disclosures could also add to mounting public concern about
how the technology sector collects and uses information, especially
for those outside the US, who enjoy fewer privacy protections than
Americans. A January poll for the Washington Post showed 69% of US
adults were already concerned about how tech companies such as Google
used and stored their information.
The
documents do not make it clear how much of the information that can
be taken from apps is routinely collected, stored or searched, nor
how many users may be affected. The NSA says it does not target
Americans and its capabilities are deployed only against "valid
foreign intelligence targets".
The
documents do set out in great detail exactly how much information can
be collected from widely popular apps. One document held on GCHQ's
internal Wikipedia-style guide for staff details what can be
collected from different apps. Though it uses Android apps for most
of its examples, it suggests much of the same data could be taken
from equivalent apps on iPhone or other platforms.
The
GCHQ documents set out examples of what information can be extracted
from different ad platforms, using perhaps the most popular mobile
phone game of all time, Angry Birds – which has reportedly been
downloaded more than 1.7bn times – as a case study.
From
some app platforms, relatively limited, but identifying, information
such as exact handset model, the unique ID of the handset, software
version, and similar details are all that are transmitted.
Other
apps choose to transmit much more data, meaning the agency could
potentially net far more. One mobile ad platform, Millennial Media,
appeared to offer particularly rich information. Millennial Media's
website states it has partnered with Rovio on a special edition of
Angry Birds; with Farmville maker Zynga; with Call of Duty developer
Activision, and many other major franchises.
Rovio,
the maker of Angry Birds, said it had no knowledge of any NSA or GCHQ
programs looking to extract data from its apps users.
"Rovio
doesn't have any previous knowledge of this matter, and have not been
aware of such activity in 3rd party advertising networks," said
Saara Bergström, Rovio's VP of marketing and communications. "Nor
do we have any involvement with the organizations you mentioned [NSA
and GCHQ]."
Millennial
Media did not respond to a request for comment.
In
December, the
Washington Post reported on how the NSA could make use of
advertising tracking files generated through normal internet browsing
– known as cookies – from Google and others to get information on
potential targets.
However,
the richer personal data available to many apps, coupled with
real-time geolocation, and the uniquely identifying handset
information many apps transmit give the agencies a far richer data
source than conventional web-tracking cookies.
Almost
every major website uses cookies to serve targeted advertising and
content, as well as streamline the experience for the user, for
example by managing logins. One GCHQ document from 2010 notes that
cookie data – which generally qualifies as metadata – has become
just as important to the spies. In fact, the agencies were sweeping
it up in such high volumes that their were struggling to store it.
"They
are gathered in bulk, and are currently our single largest type of
events," the document stated.
The
ability to obtain targeted intelligence by hacking individual
handsets has been well documented, both through several years of
hacker conferences and previous NSA disclosures in
Der Spiegel, and both the NSA and GCHQ have extensive tools ready
to deploy against iPhone, Android and other phone platforms.
GCHQ's
targeted tools against individual smartphones are named after
characters in the TV series The Smurfs. An ability to make the
phone's microphone 'hot', to listen in to conversations, is named
"Nosey Smurf". High-precision geolocation is called
"Tracker Smurf", power management – an ability to
stealthily activate an a phone that is apparently turned off – is
"Dreamy Smurf", while the spyware's self-hiding
capabilities are codenamed "Paranoid Smurf".
Those
capability names are set out in a much broader 2010 presentation that
sheds light on spy agencies' aspirations for mobile phone
interception, and that less-documented mass-collection abilities.
The
cover sheet of the document sets out the team's aspirations:
Another
slide details weak spots in where data flows from mobile phone
network providers to the wider internet, where the agency attempts to
intercept communications. These are locations either within a
particular network, or international roaming exchanges (known as
GRXs), where data from travellers roaming outside their home country
is routed.
These
are particularly useful to the agency as data is often only weakly
encrypted on such networks, and includes extra information such as
handset ID or mobile number – much stronger target identifiers than
usual IP addresses or similar information left behind when PCs and
laptops browse the internet.
The
NSA said its phone interception techniques are only used against
valid targets, and are subject to stringent legal safeguards.
"The
communications of people who are not valid foreign intelligence
targets are not of interest to the National Security Agency,"
said a spokeswoman in a statement.
"Any
implication that NSA's foreign intelligence collection is focused on
the smartphone or social media communications of everyday Americans
is not true. Moreover, NSA does not profile everyday Americans as it
carries out its foreign intelligence mission. We collect only those
communications that we are authorized by law to collect for valid
foreign intelligence and counterintelligence purposes – regardless
of the technical means used by the targets.
"Because
some data of US persons may at times be incidentally collected in
NSA's lawful foreign intelligence mission, privacy protections for US
persons exist across the entire process concerning the use, handling,
retention, and dissemination of data. In addition, NSA actively works
to remove extraneous data, to include that of innocent foreign
citizens, as early as possible in the process.
"Continuous
and selective publication of specific techniques and tools lawfully
used by NSA to pursue legitimate foreign intelligence targets is
detrimental to the security of the United States and our allies –
and places at risk those we are sworn to protect."
The
NSA declined to respond to a series of queries on how routinely
capabilities against apps were deployed, or on the specific
minimisation procedures used to prevent US citizens' information
being stored through such measures.
GCHQ
declined to comment on any of its specific programs, but stressed all
of its activities were proportional and complied with UK law.
"It
is a longstanding policy that we do not comment on intelligence
matters," said a spokesman.
"Furthermore,
all of GCHQ's work is carried out in accordance with a strict legal
and policy framework that ensures that our activities are authorised,
necessary and proportionate, and that there is rigorous oversight,
including from the Secretary of State, the Interception and
Intelligence Services Commissioners and the Parliamentary
Intelligence and Security Committee. All our operational processes
rigorously support this position."
•
A separate disclosure on Wednesday, published by
Glenn Greenwald and NBC News, gave examples of how GCHQ was
making use of its cable-tapping capabilities to monitor YouTube and
social media traffic in real-time.
GCHQ’s
cable-tapping and internet buffering capabilities , codenamed
Tempora, were disclosed
by the Guardian in June, but the new documents published by NBC
from a GCHQ presentation titled “Psychology: A New Kind of SIGDEV"
set out a program codenamed Squeaky Dolphin which gave the British
spies “broad real-time monitoring” of “YouTube Video Views”,
“URLs ‘Liked’ on Facebook” and “Blogspot/Blogger Visits”.
A
further slide noted that “passive” – a term for large-scale
surveillance through cable intercepts – give the agency
“scalability”.
The
means of interception mean GCHQ and NSA could obtain data without any
knowledge or co-operation from the technology companies. Spokespeople
for the NSA and GCHQ told NBC all programs were carried out in
accordance with US and UK law.
•
This article was amended on 28 January 2014. It referred to martial
status, instead of marital status. This has been corrected.
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.