Din mobiltelefon er en spion!
Sporing og overvågning er ikke længere noget, der hører de gamle spionagefilm til – den lille sorte boks, som skjules under en bil, eller en agent, der spionerer fra taget på den anden side af gaden. Vi afgiver i dag helt frivilligt mængder af informationer, som ville forbløffe tidligere tiders hemmelige agenter. Her taler vi om den allestedsnærværende enhed, som du sjældent forlader hjemmet uden – nemlig din mobiltelefon – den elektroniske gadget, som konstant giver digitale placeringsdata om dine daglige bevægelser og rejser.
Det skriver dommer Herbert B. Dixon Jr. i en artikel i American Bar Association den 29. juli 2020.
Afhængighed af mobilen contra vores privatliv
Dixon stillede for nogle år siden spørgsmålet: “Spionerer din internetenhed dig?” (1) Men svaret kommer i dag helt entydigt: “Din mobiltelefon er en spion!” Mobiltelefonen er en sporingsenhed, der logger alle oplysninger om dine placeringer og bevægelser i løbet af dagen og rapporterer disse oplysninger til tredje parter. Mange af os ved det godt, men vi har byttet tabet af vores privatliv ud med vores stadigt stigende afhængighed af de mobile enheder.
Men hvad er konsekvenserne?
En undersøgelse af mobiltelefoners lokationsdata, der bl.a. resulterede i en række artikler i New York Times, herunder “How to Track President Trump”, satte nogle af disse implikationer i skarp relief. Artiklen rapporterer, hvordan The Times via et tilfældigt stikprøvedatasæt fik over 50 milliarder placeringspings, fra årene 2016 og 2017 fra over 12 millioner mennesker i Washington, New York, San Francisco, Los Angeles og andre større byer i USA. (2)
Pings, data fra mobilmaster og lokationsdatafirmaer
Udtrykket “ping” bruges til at beskrive en af flere måder, hvorpå en mobiltelefon giver elektroniske spor eller beskrivelser af dens placering. Disse lokationssoplysninger benævnes også GPS-data (Global Positioning System). Når en telefon er i standby tilstand og skal til at foretage eller modtage et opkald, starter den et utal af søgninger i minuttet for at finde det stærkeste netværkssignal fra de nærliggende mobilmaster, hvilket som oftest er den nærmeste. Mobiltelefonen identificerer sin omtrentlige placering ved at oprette forbindelse til en bestemt mobilmast. Derudover tillader GPS-funktionen på telefonen sporing inden for få meter fra dens nøjagtige placering. Endelig kan et netværk ved at “pinge” en mobiltelefon afsløre dens placering som en del af standardnetværksprotokollen. En eller flere enheder, herunder mobiloperatøren, selve telefonen eller et lokationsdatafirma, vedligeholder en tidsstemplet log for hver af disse kontakter.
Afhængigt af antallet af installerede apps kan en mobiltelefon sende data om dens placering tusindvis af gange om dagen. Nogle mobilapps deler op til 200 individuelt tidsstemplede lokationsdatapunkter inden for et interval på 12 timer. (3) Disse data sendes i realtid til flere virksomheder, som hver især kan spore telefonen i realtid eller spore telefonens sti ved at analysere de loggede historiske data. Ifølge The Times, logger snesevis af virksomheder, stort set ureguleret, hvert minut hver eneste dag, overalt på planeten, bevægelsen fra titusinder af mennesker med mobiltelefoner og gemmer oplysningerne i massive datafiler.
Lokationsdata indsamles af virksomheder sammen med millioner af andre datapunkter, som almindeligvis pakkes og sælges som marketingsanalyse til annoncører, finansielle institutioner, ejendomsinvestorer og andre tredje parter. Disse data er særligt lukrative for annoncører, der bruger dem til at bestemme de steder, folk besøger, og de tidspunkter, hvor de tilgår disse placeringer. Formidling af datene kan også foregå gennem uautoriserede lækager, såsom det datasæt, der blev modtaget af The Times, eller hacking fra ondsindede aktører der stjæle de historiske oplysninger fra lokationsdatavirksomhederne eller mobiloperatørerne.
De data, der blev leveret til The Times, kom fra et lokationsdatafirma, der indsamler digitale oplysninger fra mobiltelefonapps. (4)
Analyse af datasættet der blev modtaget af The Times
De data, der blev leveret til Times, omfattede placering, dato og unikke identifikations oplysninger for enheden, men ingen oplysninger, der identificerede den enkelte persons tilknytning til enheden. Det beskrives ofte som anonymiserede data. Deanonymisering af de anonymiserede data var imidlertid en enkel opgave for forskerne. Lokationspings, som er knyttet til den enkelte enhed, afslørede arbejds- og livsmønstre. Det gjorde det muligt for forskerne at bestemme placeringen af en brugers ansættelsessted, brugerens hjem og andre steder, som brugeren besøger. Når adressen på et hjem var placeret, var der adgang til de offentlige registre for hjemmet og dermed navnet på personen og ofte navnet på hans eller hendes ægtefælle eller de øvrige personer, som bor på ejendommen. (5)
Forskerne var i stand til at spore de føderale medarbejdere i næsten alle de større regeringsbygninger i Washington, DC. Det omfattede kongresrådgivere, embedsmænd i forsvarsministeriet og højesterets juridiske personale. Observationerne omfattede også tusindvis af pings inde i Pentagon, på militærbaser, i FBI’s hovedkvarter og i Secret Service-faciliteter over hele landet. Forskerne var endda i stand til at spore en efterretningsagent, som var tildelt præsident Trump. Med en fuldmagt var forskerne i stand til at spore placeringen af præsidenten selv samt opfange bevægelsesmønstre med få meters nøjagtighed på en dag, hvor præsidenten rejste mellem Mar-a-Lago og nærliggende golfklubber, hvilket også omfattede en golfudflugt med Japans premierminister.
Telefonsporing på offentlige faciliteter
Det har vist sig vanskeligt for offentlige institutioner at håndtere de risici, der er forbundet med lokationssporing. Politikker, som begrænser medarbejdernes brug af apps med deling af placering, er vanskelige at håndhæve, især når det vedrører de personlige enheder. Overholdelsen af sådanne regler af kompliceres af, at brugerne ofte ikke kan gennemskue, hvilke apps der faktisk sporer dem. Da mobiltelefoner i dag er allestedsnærværende og stadig mere nødvendige, må offentlige arbejdsgivere til en vis grad acceptere deres medarbejderes brug af disse enheder. Selv når brug mobiltelefonen er forbudt i en offentlig bygning, eksisterer der stadig risici. Central Intelligence Agency, National Security Agency og andre efterretningstjenester forbyder de fleste personlige telefoner inden for deres faciliteter. Agenturerne råder også deres medarbejdere til at slukke for deres personlige enheder, før de ankommer til deres arbejdssted. Forskere fandt dog stadig tusindvis af lokationspings på parkeringspladserne uden for bygningerne, hvor yderligere pings skabte stier, som kunne føre tilbage til medarbejdernes eller de besøgendes hjem.
Risici for domstole, dommere og advokater
Mange af de risici, som findes på offentlige faciliteter, udgør også trusler mod domstolene. Hvert eneste sted, som dommerne besøger, kan spores. Følsomme lokationsoplysninger, som offentliggøres med det formål at anfægte en dommers eller retsembedsmands upartiskhed, kan tjene til at underminere offentlighedens tillid til retsvæsenet. Derudover giver det også bekymringer vedrørende både domstolenes sikkerhed samt dommernes personlige sikkerhed. Forskerne var i stand til at spore snesevis af telefoner inden for flere retsbygninger i Washington, DC. En person, hvis bevægelser forskere sporede, havde en funktion i teknologiafdelingen, som kontrollerer serverne, der indeholder data til Højesteret. (6) Lignende taktikker kan bruges til at underminere og genere anklager- og offentlige forsvarskontorer, fremtrædende advokatfirmaer, embedsmænd og ledende medarbejdere i større virksomheder.
Mobiltelefoner i retsbygningen
Domstolene i USA har vedtaget en række politikker vedrørende mobiltelefoner, hvoraf mange tillader dem inden for retsbygningen. Mens telefonbrug generelt er forbudt i retssalene, er retsbygningens gange ofte fyldt med procesdeltagere og deres enheder. Nogle domstole har forbudt offentligheden at bringe telefoner ind i retsbygningen. Disse forbud er støder dog i stigende grad på modstand fra offentligheden og retssamfundet, der hævder, at sådanne forbud er alt for voldsomme for sagens parter, navnlig dem, som kan være afhængige af at kunne være i forbindelse med omverdenen som hjælp til deres sager (7) samt nævninge, der gerne vil kunne udføre personlige forretninger, når de ikke er indgår i juryudvælgelsen, retssagen eller skal votere. Domstole, der forbyder offentligheden og besøgende i at bringe deres telefoner med ind i retsbygningen, har ofte undtagelser for personalet. Derfor er selv disse domstole ikke signalfrie.
Et par specifikke observationer efter gennemgang af placeringsdata
I et tilfælde noterede forskere de registrerede bevægelser af en Microsoft-ingeniør, da han besøgte campus hos Microsoft-konkurrenten, Amazon. Oplysninger, der kom frem den følgende måned afslørede, at ingeniøren var startet i et nyt job hos Amazon som leder af en af Amazons dronetjenester. (8) Et andet sæt pings som forskerne noterede var en person, der tilbragte hverdagene i Pentagon, men som besøgte en facilitet for mental sundhed og stofmisbrug flere gange. (9) Forskerne fandt også mobiltelefoner, der blev lokaliseret ved en af Scientology kirkes butiksfacader og et sent natte stop på en massageklinik. Disse rejse- og lokationsoplysninger registreres i en database og er ofte knyttet direkte til en hjemmeadresse, der kan ses af alle med adgang til dataene. (10)
Det er ikke let at beskytte din telefon mod at blive sporet
Den primære sårbarhed, der gør det muligt at omdanne vores telefoner til sporingsenheder, findes i telefonens apps. Mange af de apps vi bruger, indsamler og deler vores data med annoncører eller andre tredjeparter. Dette omfatter ikke kun de apps, der kræver vores lokationsoplysninger for funktionalitet, såsom kortlægningsapps, men kan omfatte apps, som vi ikke forventet vil bruge lokationsdata, som en kupon eller voucher app, der giver indehaveren ret til rabat på et bestemt produkt.
De engangsanmodninger om tilladelse og fortrolighedserklæringer, vi støder på, når vi downloader apps, læser vi ofte ikke eller de forstås ikke fuldt ud, før vi accepterer dem. Når du installerer en ny app, klikker vi næsten altid på “Accepter” eller “Enig” som svar på slutbrugerlicensaftalen (EULA) (vores kontrakt med softwareleverandøren), fordi vi af erfaring ved, at appen ikke kan installeres på vores enhed, hvis vi afviser.
Selv hvis vi læser det med småt garanterer det muligvis ikke, at din mobil-app’en ikke sender flere oplysninger, end du har aftalt at dele. Forskere i sikkerhed har opdaget mange apps, der deler data ud over, hvad brugerne har givet samtykke til i henhold til tilladelsesanmodningerne og privatlivspolitikkerne. For eksempel fandt forskere over 1.000 apps, der delte data, selv efter at tilladelsen var blevet tilbagekaldt eller nægtet af brugeren. I et tilfælde sendte den populære vejr app AccuWeather lokationsdata, selv efter at brugerne havde slået placeringsdeling fra. (11) Fortalere for privatlivets fred har udtrykt bekymring for, at flere apps i fremtiden vil indeholde sporingsteknologi for at forbedre indsamlingsmetoderne for forretningsdata, hvilket vil øge truslerne.
Fordelagtig brug af mobilsporing kan give anledning til bekymring
Forskerne kan bruge lokationsdata fra mobiltelefoner til at få indsigt til transportstudier og til offentlig planlægning. Byrådet i Portland, Oregon, godkendte en overvågning af millioner af mobiltelefoner til en trafik- og transitundersøgelse. Unicef annoncerede en plan om at bruge lignende data til at studere epidemier, naturkatastrofer og demografi. (12)
Under corona pandemien har private teknologivirksomheder brugt mobiltelefoners lokationsdata til at oprette varmekort, der viser den potentielle indvirkning, som tilsidesættelse af social afstand og rejseretningslinjer kan have på spredningen af COVID-19. Et af disse kort viste mobiltelefoner, der var aktive på en strand i Florida i løbet af foråret, samt deres efterfølgende bevægelser i hele landet, da ejerne af disse enheder vendte tilbage til skole eller hjem. På trods af den indsigt, som brugen af lokationsdata kan give, har kritikere påpeget, at denne teknologi udgør den samme risici som er forbundet med andre former for lokationssporing. Selvom brugerdata er anonymiserede, kan brugernes identitet ikke desto mindre bestemmes ved at følge deres bevægelser tilbage til deres hjem og andre steder. (13)
Apple og Google har i fællesskab udviklet teknologier, der bruger mobiltelefondata til kontaktsporing som en reaktion på pandemien. Den planlagte software er ikke streng lokationssporing, da den ikke indsamler individuelle placeringspings eller følger en telefons bevægelser. I stedet, når brugerne af mobiler med den aktiverede teknologi kommer i nærheden af hinanden, indsamler deres telefoner et randomiseret identifikationsnummer, der er knyttet til den anden person. Disse identifikationsnumre ændres ca. hvert 15. minut. Oplysninger fra disse person-til-person-kontakter indsamles og gemmes på individuelle telefoner i stedet for en centraliseret database.
Selvom kontaktsporing ser ud til at være mere beskyttende i forhold til brugernes oplysninger end andre former for lokationssporing, har kritikere udtrykt bekymring om privatlivets fred, herunder hacking. På den anden side af debatten har nogle hævdet, at Apple og Googles indrømmelser vedr. privatlivets fred vil gøre teknologien mindre effektiv end mere stive versioner, der er foreslået eller allerede implementeret i andre lande. For eksempel vil muligheden for at kunne fravælge kontaktsporing resultere i en lavere udnyttelse. (14)
Og endelig er der brugen af lokationsping til støtte for retshåndhævelse og vidneundersøgelser samt til at hjælpe forældre med at holde styr på hvor deres børn opholder sig. Men med hver af disse anvendelsesmuligheder fører også til en debat om fordele og bekvemmelighed, i forhold til det resulterende tab af privatliv.
Afsluttende betragtninger
I Carpenter mod USA, (15) ugyldiggjorde Højesteret den uberettigede erhvervelse af lagrede mobildata, et resultat, der bør være en klar opfordring til offentligheden. Mobiltelefonen har nu opnået beskyttelsesstatus som en privat bolig eller kropsvedhæng, fordi den gemmer på så mange oplysninger om ejeren, at den fortjener en forfatningsmæssig beskyttelse, som kræver, at regeringen indhenter dit samtykke eller en ransagningskendelse baseret på sandsynlig årsag. Som The Times skrev, den private sektor behøver ikke en ransagningskendelse for at anmode om dine data, og intet forhindrer virksomheder i at spore de nøjagtige bevægelser af hundreder af millioner af amerikanere og sælge kopier af dette datasæt til alle, der kan betale for det. (16)
Husk, at hvis din mobiltelefon er tændt, indsamler nogen et eller andet sted oplysninger om dig.
Note:
Dommer Dixon takker James L. Anderson, Esquire, Superior Court of DC Senior Judges ‘Law Clerk, for hans hjælp til at undersøge emnet om mobilsporingsteknologi samt forberede denne artikel.
Kilder:
- Herbert B. Dixon Jr., Is Your Internet Device Spying on You?, 56 Judges’ J., no. 2, Spring 2017, at 36, https://bit.ly/2VBmVFq
- Stuart A. Thompson & Charlie Warzel, The Privacy Project: Twelve Million Phones, One Dataset, Zero Privacy, N.Y. Times (Dec. 19, 2019)
https://nyti.ms/3geMYu4 - Alfred Ng, Your Phone Talks About You Behind Your Back. These Researchers Are Listening In, CNET (Feb. 13, 2020), https://cnet.co/3ik4xKW
- Thompson & Warzel, jf. note 2.
- Stuart A. Thompson & Charlie Warzel, The Privacy Project: How to Track President Trump, N.Y. Times (Dec. 20, 2019),
https://nyti.ms/2NIFO59 - Thompson & Warzel, jf. note 5.
- Amanda Robert, ABA Asks Courthouses to Reconsider Cellphone Bans, ABA J. (Nov. 1, 2019),
https://bit.ly/3dUb8s1 - Thompson & Warzel, jf. note 2.
- Thompson & Warzel, jf. note 5.
- Charlie Warzel & Suart A. Thompson, The Privacy Project: Where Even the Children Are Being Tracked, N.Y. Times (Dec. 21, 2019),
https://nyti.ms/2ZpVTSx - Ng, jf. note 3.
- Thompson & Warzel, jf. note 2.
- Jason Murdock, Mobile Phone Location Data of Florida Beachgoers During Spring Break Tracked to Show Potential Coronavirus Spread, Newsweek (Mar. 27, 2020),
https://bit.ly/3inLUpt - Bill Duberstein, How Apple and Google Are Turning Your Cell Phone into a COVID-19 Tracker, Motley Fool (Apr. 12, 2020),
https://bit.ly/2BqCDwc - 138, 2206 L. Udg. 201d 2 (507).
- The Editorial Board, Total Surveillance Is Not What America Signed Up For, N.Y. Times (Dec. 21, 2019), https://nyti.ms/2BW6PPX