av Mikael Winterkvist | sep 3, 2023 | Mastodon, Nätfrihet
X vill nu samla in biometrics och information in dina jobb och dina tidigare arbetsplatser – i ett försök att utmana Linkedin. Elon Musk vill också riva upp en tidigare överenskommelse med den amerikanska tillsynsmyndigheten FTC.
X planerar att samla in ännu mer användardata enligt ändringar i regler och policy. X kommer att samla in biometrisk information, anställningshistorik och utbildningshistorik.
”Baserat på ditt samtycke kan vi samla in och använda din biometriska information för säkerhet, säkerhet och identifieringsändamål”, står i de nya reglerna.
Policy
X nya policy kommer att träda i kraft den 29 september. Den nuvarande integritetspolicyn som inte inkluderar insamling av biometrisk data och anställningshistorik kommer att gälla fram till dess.
Det nya regelverket ingår i planer på att försöka att utmana affärsnätverket Linkedin (ägt av Microsoft). Den nya policyn säger att X ”får samla in och använda din personliga information (såsom din anställningshistorik, utbildningshistorik, anställningspreferenser, färdigheter och förmågor, jobbsökningsaktivitet och engagemang och så vidare) för att rekommendera potentiella jobb för dig, för att dela med potentiella arbetsgivare när du söker ett jobb, för att göra det möjligt för arbetsgivare att hitta potentiella kandidater och visa dig mer relevant reklam.”
Samla in
Sedan Elon Musk köpte och tog över X (tidigare Twitter) så har den sociala plattformen ändrat sina regler och börjat att samla in alltmer information om sina användare. Data som tydligt ska användas för att lansera nya tjänster och funktioner i Musks ambition att skapa en superapp – likt kinesiska WeChat.
Sekretesspolicyändringarna också då X planerar att erbjuda video- och ljudsamtal. ”Video- och ljudsamtal kommer till X”, skrev ägaren Elon Musk nyligen. Samtalsfunktionen kommer att fungera på iOS, Android, Mac och PC och kommer inte att kräva ett telefonnummer, enligt Musk.
FTC
Ändringarna kan resultera i en granskning av den amerikanska tillsynsynsmyndigheten FTC, Federal Trade Commission. Det finns nämligen två uppgörelser med FTC där X förbinds att göra noggranna bedömningar av risker för integritet, säkerhet och konfidentialitet innan Twitter lanserar nya eller modifierade produkter och tjänster. Sedan Elon Musk sparkade stora delar av personalen efter övertagandet så har FTC inlett ett nytt tillsynsärende då myndigheter befarar att X inte kan uppfylla och efterleva uppgörelsen som gjordes så sent som 2022.
Det finns också uppgifter om att flera av nyckelpersonerna som hade som uppgift att bevaka den här typen av frågor, inom dåvarande Twitter, hoppade av och lämnade Musks sociala tjänst i november 2022. Anledningen ska vara att de ansvariga befarade att den snabba utrullningen av nya funktioner stod i strid med överenskommelsen med FTC.
Elon Musk och X har begärt att uppgörelsen ska hävas eller ändras och i somras, i mitten av juli så fick Musks X Corp. in med en begäran till en federal domare att avsluta eller ändra uppgörelsen från 2022 med FTC. I inklagan hävdades att FTC:s pågående utredning av X ”har kommit utom kontroll och blivit befläckad av partiskhet.” En förhandling i ärendet är planerat till den 16 november.
av Mikael Winterkvist | aug 27, 2023 | Mastodon, Nätfrihet
Meta använder flera olika tekniska lösningar för att samla in data om användare ute på nätet – en av dem är Facebook Pixel, en liten bild som skickas över via din webbläsare och som sedan används för att kartlägga allt det du gör – i detalj.
I en relativt färsk dom så har den svenska tillsynsmyndigheten slagit fast att Google Analytics inte är laglig att använda i Sverige (inom EU) – det finns ett liknande utslag av Österrikes motsvarighet till Integritetsskyddsmyndigheten (IMY) gällande Facebook Pixel vilket innebär att båda strider mot GDPR, som gäller inom hela EU.
Google Analytics strider mot GDPR – IMY utfärdar sanktionsavgifter mot företag
Har du en webbplats inom EU så bör du med andra ord se till att plocka bort Google Analytics och Facebook Pixel.
Detta samlas in
Facebook Pixel samlar in mycket detaljerad data om användarna och vad vi gör ute på nätet,
HTTP-rubriker – Allt som finns i HTTP-huvuden. HTTP-rubriker är ett standardwebbprotokoll som skickas mellan valfri webbläsarförfrågan och vilken server som helst på Internet. HTTP-rubriker inkluderar IP-adresser, information om webbläsaren, sidplats, dokument, hänvisare och person som använder webbplatsen.
Pixelspecifik data – Detta inkluderar pixel-ID och cookien.
Knappklickdata – Detta inkluderar alla knappar som besökarna klickar på, etiketterna för dessa knappar och alla sidor som besöks som ett resultat av knappklicken.
Valfria värden – Utvecklare och marknadsförare kan valfritt välja att skicka ytterligare information om besöket genom anpassade datahändelser. Exempel på anpassade datahändelser är konverteringsvärde, sidtyp och mer.
Formulärfältnamn – Detta inkluderar webbplatsfältsnamn som ”e-post”, ”adress” och ”antal” när en person köper en produkt eller tjänst. Pixeln fångar inte fältvärden om inte en annonsör inkluderar dem som en del av avancerad matchning eller valfria värden.
Notera att utvecklare och marknadsförare enkelt kan konfigurera (ställa in) så att Facebook Pixel samlar in exakt den data de är ute efter.
Meta
Nu är det inte så att all denna data, enorma mängder, samlas in och sortera supp på individnivå. Det är Meta och Facebook inte riktigt intresserade av.
‘never share information from your website with your competitors or third parties. All information we use is aggregated with millions of other signals before being read by our optimisation systems. Facebook uses information obtained from websites that install pixels to improve its ads. This data is aggregated before it’s used.’
Orden är Metas egna för att beskriva hur Facebook Pixel fungerar och hur den insamlade informationen hanteras. Informationen som samlas in bearbetas av Metas system, analyseras och sedan används den för att skapa ännu mer riktade annonser som skickas till oss. Meta skapar en slags mycket pricksäkra stereotyper där vad vi gör på nätet leder till en viss typ av annonser. De skräddarsys utifrån var vi bor, vilka inkomster som finns i ett större område, vilka intressen som vi kan antas ha och vad vi alltså sannolikt är intresserade av. Då informationen som samlas in är mycket detaljerad så är också annonserna också det – pricksäkra.
Avlyssnad
Denna datainsamling är så effektiv att den gett upphov till myten att våra telefoner, datorer och surfplattor avlyssnar oss.Tror du det så är det bara ett bevis på hur effektiva datatrålarna – Google, Meta, Amazon och de övriga faktiskt är.
Så vad kan du göra?
Sluta att använda deras appar och tjänster är det enkla raka svaret.
Sluta att använda Google, Google Documents, Facebook, Instagram och Youtube för att plocka några exempel – och måste du använda dem – använd inte de här bolagens appar och program. Använd webbläsaren istället, det minskar deras möjligheter att samla in data om dig, men inte helt.
Ps. Magasin Macken använder en översättningstjänst, Googles, men inte Google Analytics och inte Facebook Pixel.
av Mikael Winterkvist | aug 5, 2023 | Mastodon, Nätfrihet
Google skapades på det nät vi ser idag. Den globala, multinationella jätten skapades med principer om nätneutralitet, efterlevnad av beslutade standarder som nu Google vill ta kontroll över. Sökjätten vill kontrollera vilka användare och enheter som är godkända och vilka som inte är det. Google vill ta kontroll över hur du, jag och alla andra surfar runt på nätets alla miljarder webbplatser.
Än så länge så handlar det bara om ett förslag men det är ett förslag, som om det genomförs, om det blir verklighet, kommer att ge Google stort inflytande, kontroll, över vem och vilka som får surfa på nätet – och med vilka enheter.
Web Environment Integrity (WEI) är ett nytt API-förslag som introducerar en webbplatsförtroende-mekanism som tillåter webbplatser att utvärdera äktheten hos enheter och nätverkstrafik via klienter (webbläsare bland andra). Falska besökare, botar, kriminella och potentiellt farlig, skadlig trafik ska kunna stoppas och blockeras är tanken.
Företaget som skapades på ett öppet nät vill nu skaffa sig makt och kontroll över detsamma – och skaffa sig möjligheten att stänga ned det öppna nät som var en grundförutsättning för uppbyggnaden av Google.
Token
Letar du runt bland Googles officiella webbplatser och bland uttalanden och officiella förslag så hittar du lite eller ingenting om Web Environment Integrity (WEI). På GitHub däremot så finns ett projekt och en text som författats av en rad utvecklare – från Google:
- Ben Wiser (Google)
- Borbala Benko (Google)
- Philipp Pfeiffenberger (Google)
- Sergey Kataev (Google)
Notera att kvartetten anger att de är utvecklare inom Google.
Förslaget går ut på att webbplatser ska begära en så kallad token, låt oss kalla det för en digital nyckel, utan denna nyckel så blockeras tillgången till webbplatser:
Med webbmiljöns integritets-API kommer webbplatser att kunna begära en token som intygar nyckelfakta om miljön som deras klientkod körs i. Till exempel kommer detta API att visa att en användare använder en webbklient på en säker Android-enhet. Ändring av intyget kommer att förhindras genom att signera tokens kryptografiskt.
Problemet är inte att kontrollera trafiken ute på nätet med digitala nycklar – problemet är att i princip ett enda företag, Google, kommer att få kontroll och makt över stora delar av Internet-trafiken via sin webbläsare Google Chrome och dessa tokens.
Protester
Utvecklare från Brave, Vivaldi, Firefox (Mozilla) har protesterat och bland utvecklare inom området så har det brutit ut en intensiv debatt – och utvecklare av andra webbläsare har tagit ställning mot förslaget.
”Om en enhet har makten att bestämma vilka webbläsare som är pålitliga och vilka som inte är det, finns det ingen garanti för att de kommer att lita på någon given webbläsare”, skriver Julien Picalausa, utvecklare av Vivaldi.
Braves besked i frågan om Web Environment Integrity (WEI) är enkel och tydlig – Brave kommer inte att implementera WEI, Googles förslag med kod som tillhör funktionen kommer aldrig att tas med i webbläsaren.
Mozilla, utvecklare av Firefox, har officiellt och formellt inte uttalat sig men Brian Grinstead, utvecklare inom stiftelsen (Mozilla) har sagt att Firefox inte kommer att implementera WEI.
Frid och fröjd
Apple och Microsoft har inte gjort några uttalanden gällande WEI men det är högst osannolikt att Safari och Edge kommer att lägga in stöd för WEI och därmed ge Google full kontroll över trafiken ute på nätet.
Så då är väl allt bra då, frid och fröjd – WEI kommer inte att implementeras och finnas med i andra webbläsare?
Inte riktigt – det är så här Google ofta gör. Skickar upp en testballong, inget formellt förslag, utan något som ska se ut som att det kommer underifrån vilket ger sökjätten en möjlighet att lägga undan förslaget, tillsvidare, om kritiken blir för hård. Googles AMP, Accelerated Mobile Pages, föddes och lanserades på snarlikt sätt. AMP-sidor är sidor som anpassats för mobilt bruk – problemet är att all trafik styrs via Google.
Google AMP är bara bra för Google
AMP är en standard men AMP kräver också att webbplatsen stöder AMP och använder AMP. Det finns många och stora webbplatser som valt AMP därför att de också använder flera av Googles annonslösningar, lösningar för att samla in data om sina besökare. Det finns också webbplatser som öppet tagit avstånd från AMP.
Web Environment Integrity (WEI) är en testballong från företaget som byggdes upp på ett öppet nät men som nu vill ta kontrollen över det.
PS. Magasin Macken stöder inte AMP
av Mikael Winterkvist | jul 29, 2023 | Mastodon, Nätfrihet
Apple kräver nu att utvecklare redovisar vilka API-anrop som görs och varför anropen görs. Detta som ett led i att försöka att komma tillrätta med det som kallas ”fingerprinting”.
Det är en teknik som många datatrålare använder för att skapa vad som enklast kan liknas vid ett digital fingeravtryck. Genom att samla in information om vilken enhet som används, var och mär den används tillsammans med informatorn om vilka appar som är installerade så skapas en unik profil för en användare – ett fingeravtryck.
Från och med i höst, samtidigt med lanseringen av iOS 17, tvOS 17, watchOS 10 och macOS Sonoma, kommer utvecklare att få redovisa vila anrop som gös, varför de görs och vilken information som samlas in. Från våren 2024 kommer appar som använder dessa API:er utan giltig anledning att stoppas.
”För att förhindra missbruk av vissa API:er som kan användas för att samla in data om användarnas enheter genom fingeravtryck, måste du deklarera skälen för att använda dessa API:er i din apps sekretessmanifest. Detta kommer att hjälpa till att säkerställa att appar endast använder dessa API:er för det avsedda syftet”
Apple
Apples nya regler har tillkommit för att skydda användarna och användarnas information men utvecklare befarar att detta kan komma att leda till att ler appar stoppas och inte släpps in i App Store. Som ett exempel så kommer Apple att kräva att utvecklare redovisar varför UserDefaults används då den klassats som en ”Required Reason APIs.” Detta ett grundläggande anrop och ganska vanligt API som lagrar användarpreferenser för en app, vilket innebär att många appar använder den.
Detta kan resultera i att utvecklare får sina appar avvisade därför att de glömmer att lägga till en förklaring för att använda API:et.
Apple kommer att låta utvecklare överklaga ett avslag och skicka in en begäran om att godkänna en situation som inte täcks av de nuvarande riktlinjerna.
Apples webbplats för utvecklare
Utmärkt
Utvecklarnas farhågor till trots så är detta ett viktigt steg i rätt riktning för att stoppa den kanske mest använda metoden för att stjäla vår information – det vi gör ute på nätet. Digitala fingeravtryck, fingerprinting, är den metod som Meta, Google och alla andra av de stora datatrålarna använder för att skapa våra digitala profiler.
Därför är alla steg och försök för att stoppa datatrålandet ute på nätet är välkomna ur ett användarperspektiv.
av Mikael Winterkvist | jul 22, 2023 | Mastodon, Nätfrihet
När FBI försökte tvinga Apple till att bygga in en bakdörr i iOS så var Apples inställning – ”det enda säkra sättet att se till att det inte finns bakdörrar i ett operativsystem är att aldrig bygga in en”. Nu vill Storbritannien gör ändringar i the Investigatory Powers Act 2016, IPA, vilka i praktiken kommer att tvinga Apple och andra att bygga in bakdörrar i sina operativsystem och sina krypterings-lösningar.
Det finns inget lagligt krav på bakdörrar specifikt men kravet att Apple ska kunna plocka fram okrypterad information, ifall myndigheterna begär det, kommer att få sådana konsekvenser. Ska Apple kunna lämna ut okrypterad information, som krypterats med ”end-to-end” kryptering (exempelvis) så tvingas Apple att bygga in en bakdörr – precis det som alla säkerhetsexperter och krypteringsexperter varnar för. Finns det en bakdörr så kommer den förr eller senare att missbrukas eller ännu värre, läcka ut.
De föreslagna ändringarna innebär också att Apple inte får berätta eller meddela att en sådan funktion finns. Apple och andra leverantörer tvingas till tystnad.
End-to-End
Den kryptering som berörs här är kryptering där informationen krypteras och skyddas på den sändande enheten, en iPhone för att ta ett exempel. Informationen kan inte dekrypteras, göras läslig igen förrän på den mottagande enheten – vilket är hela poängen med end-to-end. Informationen ska inte gå att läsa medan den skickas och inte ens tillverkaren och utvecklaren av lösningen ska kunna återställa informationen i klartext. Detsamma gäller information som skickas för att lagras, i Apple iCloud eller någon annan molntjänst. Informationen skyddas med kryptering, skickas iväg för lagring och kan då inte läsas av den som tillhandahållet lagringen. Informationen kan bara fås tillbaka i läsbart skick, i klartext, med den enhet som skickade informationen.
Det gör att lagändringarna i praktiken ställer krav på att en bakdörr måste läggas in i iOS, iPadOS och macOS.
Apples svar
Apple påtalar det faktum att lagändringen, som genomförs i tron att tillvaron ska bli säkrare, mycket väl kan få rakt motsatt effekt – landets egna medborgare kan utsättas för ökade risker:
”De nya befogenheter som Home Office söker – utökade befogenheter för att reglera utländska företag och möjligheten att förhandsgranska och blockera innovativ säkerhetsteknik – kan dramatiskt störa den globala marknaden för säkerhetsteknik, vilket gör att användare i Storbritannien och runt om i världen utsätts för större risker.”
Apple invänder även mot kravet att de företag som kan komma att omfattas av lagen inte ska tillåtas att berätta att funktionen finns:
”Genom att kräva att teknikföretag utanför Storbritannien upprätthåller förmågan att producera okrypterad data för alla sina användare över hela världen – utan att meddela sina användare om den förmågan – skulle IPA inkludera en världsomspännande gag-order.”
”Det är djupt problematiskt, särskilt med tanke på att rättssystemen i de flesta nationer behandlar yttrandefrihet som en grundläggande individuell rättighet.”
iMessage och FaceTime
I en intervju med brittiska BBC så meddelar Apple att om lagen blir verklighet och om ändringarna genomförs så kommer Apple att dra tillbaka iMessage och FaceTime från Storbritannien. I klartext betyder det att iPhone, iPad och Mac-datorer som säljs på den brittiska marknaden kommer att sakna dessa funktioner.
Räkna med att andra leverantörer av meddelandetjänster kommer att följa efter vilket kan resultera i att brittiska användare då måste ladda ned iMessage och FaceTime utanför Storbritannien – vilket i princip innebär att tjänster som inte förses med en bakdörr sannolikt är olagliga i Storbritannien. Det betyder att WhatsApp, Signal och en lång rad andra tjänster antingen måste bygga in en bakdörr i sina system, eller dra tillbaka appar, program och tjänster från Storbritannien. Signal har redan deklarerat att de lämnar Storbritannien om lagen blir verklighet.
Brittiska medborgare kommer alltså inte att kunna skicka meddelanden längre på ett säkert sätt.
Självklarheter
Apple har även påtalat invändningar som kan te sig som självklarheter:
- Apple kommer inte att göra ändringar i säkerhetsfunktioner specifikt för ett land, som skulle försvaga en produkt för alla användare.
- Vissa ändringar skulle kräva att det skickas ut en uppdatering av mjukvaran och det är omöjligt att göra det i hemlighet.
- Förslagen ”utgör ett allvarligt och direkt hot mot datasäkerhet och informationsintegritet” som skulle påverka människor utanför Storbritannien
Storbritanniens och EUs försök att övervaka sina egna medborgare kan visa sig bli lika verkningslösa som USAs försök att blockera användandet av långa och avancerade krypteringsnycklar på 1990-talet. De som ville kryptera sin information laddade ned längre och bättre nycklar oavsett vad de amerikanska myndigheterna tyckte om saken.
Ladda ned
Lagändringarna, de föreslagna, i IPA, kan resultera i att enheter i Storbritannien säljs utan en rad meddelande-tjänster – som sedan kan laddas ned från platser utanför landet. Frågan är då hur de brittiska myndigheterna ska agera?
Tänker brittiska myndigheter börja att kontrollera innehållet i miljoner medborgares telefoner och beslagta enheter som innehåller iMessage, FaceTime och Signal så lär brittisk polis ha att göra. Det lär också bli svårt, för att inte säga närmast omöjligt för brittiska operatörer att försöka att stoppa trafik till och från de webbplatser som tillhandahåller lösningar och funktioner utan bakdörrar.
Storbritannien har ju som bekant försökt filtrera trafiken på nätet med ett porrfilter som alla operatörer skulle tvingas att ansluta sig till. Miljoner med pund plöjdes ned i projektet som försenades flera gånger. Porrfiltret skulle enligt planerna ha varit på plats i april 2018 men då det visat sig vara ineffektivt, lätt att runda så sköts lanseringen framåt tills porrfiltret skrotades i oktober 2019.
Källor
av Mikael Winterkvist | jul 16, 2023 | Mastodon, Nätfrihet
Över 300 säkerhetsforskare och akademiker varnar för åtgärderna i EU:s föreslagna förordning (Chat Control 2.0) om sexuella övergrepp mot barn (CSAR) i ett öppet brev som skickats till lagstiftare inom EU.
Tre huvudskäl anges för att inte gå vidare i den juridiska processen utan stoppa förslaget i sin nuvarande form:
- Detektionstekniker som kan användas för att skanna onlinekommunikation är bristfälliga och sårbara för attacker
- De farliga konsekvenserna av att försvaga end-to-end-kryptering, vilket är det enda verktyg vi har för att skydda vår data i digitala miljöer
- Allvarliga tvivel om effektiviteten av de tekniker som införs genom denna förordning, vilket kan göra det möjligt för gärningsmän att undvika upptäckt och flytta till en annan plattform
Det här är Chat Control 2.0 – och därför måste förslaget stoppas
Undergräver
Undertecknarna anser att om lagen antas så undergräver det till stora delar allt det arbete som europeiska forskare har lagt ned inom cybersäkerhet och integritet, inklusive bidrag till utvecklingen av globala krypteringsstandarder.
Sådan undergrävning kommer att försvaga miljön för säkerhets- och integritetsarbete i Europa, vilket minskar vår förmåga att bygga ett säkert digitalt samhälle. Den föreslagna förordningen skulle också skapa ett globalt prejudikat för att filtrera Internet, kontrollera vem som kan komma åt det och ta bort några av de få verktyg som finns tillgängliga för människor att skydda sin rätt till ett privatliv i det digitala rummet. Detta kommer att ha en kylande effekt på samhället och kommer sannolikt att påverka demokratier över hela världen negativt. Vi varnar därför starkt för att genomföra dessa eller liknande åtgärder eftersom deras framgång inte är möjlig med nuvarande och förutsebar teknik, samtidigt som deras potential för skada är betydande.
Det skriver de 300 säkerhetsforskarna och akademikerna i sitt öppna brev som är öppet att underteckna för den som vill protestera mot Chat Control 2.0.
Länkar