Конфіденційність розташування: навіщо нам це?
Смартфони зробили наше життя зручнішим, але водночас вони можуть забагато розповісти про нас. Ми отримуємо корисні функції в обмін на інформацію про наше місцеперебування.
Ми будуємо маршрут за допомогою навігатора, враховуючи завантаженість доріг. Дивимося по карті як далеко велосипедист із Glovo, що везе нам замовлення з McDonald’s. Можемо потрусити телефоном, щоб переказати гроші другові, що знаходиться поруч, замість того, щоб вводити картку вручну.
Здавалося б, передавати свої дані — невелика плата за вже звичні нам зручності. Проте нумо розберемося, що відбувається з нашими геоданими, як їх можуть використати шахраї та як убезпечити цю інформацію.
Послуги на основі розташування
Location Based Service або сервіс на основі розташування — це послуга, яку можна отримати завдяки інформації про місцеперебування. Послуги можливі завдяки поєднанню таких технологій як смартфон, Інтернет та геоінформаційна система GIS.
Це працює так: користувачі мають доступ до LBS зі свого смартфона через мобільний інтернет, під час обміну своїм розташуванням з постачальником послуг.
Якість послуги, яку ви отримуєте через такий сервіс, залежить від її типу, базової архітектури та точності зібраних даних.
Сервіси на основі розташування збирають дані про ваше місцеположення за допомогою одноразового оновлення локації або ж навпаки безперервно слідкують за вашим переміщенням. Наприклад, щоб переказати гроші другу, нам потрібно передати дані про своє місцеперебування один раз. А щоб користуватися навігатором — ці дані постійно оновлюються.
З одного боку, такі сервіси спрощують нам життя та надають корисні послуги. Але є й інша сторона. Якщо проаналізувати такі просторово-часові дані, зібрані за певний проміжок часу, можна ідентифікувати людину. Дізнатися куди і як часто вона ходить, визначити де працює та живе і зробити висновки з приводу її поведінки. Такі дані можуть дати інформацію про переконання, уподобання, релігію та стан здоров’я людини.
Наприклад, якщо визначити магазини чи торгові центри, у які ви ходите, можна дізнатися про частоту покупок, що саме ви купуєте та ваш соціально-економічний статус.
Тільки уявіть скільки всього про нас знає Google 🤯
Що відбувається з даними про розташування
Що відбувається з нашими даними у дата-центрах того ж Google? Вони проходять три етапи:
1. Збір даних
Дані про ваше місцеперебування збирає постачальник послуги або організація. Наприклад, якщо ви хочете побудувати маршрут, щоб кудись дістатися, ваша локація постійно оновлюється та передається провайдеру.
2. Аналіз даних
Оновлення вашого місцеперебування можуть збирати та аналізувати, щоб покращити та персоналізувати послугу. Наприклад, навігатор збирає дані про переміщення людини, щоб визначити поведінку водія та пропонувати йому персоналізовані маршрути в майбутньому.
3. Публікація даних
Зібрані дані або деякі статистичні дані можуть опублікувати, але це не повинно призвести до витоку особистої інформації користувача.
Що таке конфіденційність розташування?
Це концепція, за якої користувач може вирішувати як, коли та для чого може передаватися інформація про його розташування. Якщо захисту конфіденційності немає, то ваші дані можуть використати зловмисники.
Візьмемо таку ситуацію: ви хочете поділитися в телеграмі своїм пересуванням із другом. Так він знатиме, коли ви прийдете на зустріч і розраховуватиме свій час. Якщо ви не поставили в налаштуваннях дозвіл ділитися вашою локацією з програмою постійно, то вам доведеться щоразу давати дозвіл на це у налаштуваннях. Це менш зручно, але от що може бути, якщо ця інформація випадково потрапить в неправильні руки:
- Якщо проаналізувати інформацію про місцеперебування користувача, можна зробити висновки щодо його політичних поглядів, релігії, орієнтації, друзів і родини. Цю інформацію можна використати по-різному, наприклад, для впливу на вас та ваших близьких. А якщо визначити розташування будинку чи офісу, за користувачем можуть слідкувати чи надсилати особисті погрози.
- Інформацію про вашу локацію можуть використати, щоб визначити іншу конфіденційну інформацію. Наприклад, про стан здоров’я та ваші звички. Можна дізнатися як довго та як часто ви ходите до лікаря, що можуть використати страхові компанії, щоб більше на вас заробити.
- Ще один варіант — реклама на основі місцеперебування. Це розсилки спаму залежно від вашої локації. Отримуватимете небажану рекламу продуктів і послуг, що знаходяться поряд з вами.
Проблеми реалізації конфіденційності розташування
Першою проблемою є вимоги до конфіденційності місцеперебування. Ці вимоги можуть відрізнятися для окремих людей чи груп людей, а також можуть змінюватися для того самого користувача в різних місцях та в різний час.
Друга проблема — компроміс між конфіденційністю та користю: інформація про місцеперебування корисна, щоб отримувати послуги, а також для їх покращення. Водночас несанкціонований доступ до таких даних може надати багато конфіденційної інформації про людину.
Найкраща якість послуг, яку можна отримати для необхідного рівня конфіденційності, також залежить від програми. Як бачимо на схемі нижче, зависока конфіденційність знижує корисність програми.
Навіщо користувачам конфіденційність
Цілі конфіденційності можуть відрізнятися залежно від вибору моделі та техніки її впровадження.
Користувачі можуть вимагати:
- Конфіденційність свого місцеперебування: вони хочуть приховати інформацію про свою локацію та, у більшості випадків, вміст запиту.
- Конфіденційність запитів: користувачі хочуть приховати вміст свого запиту, але передавати інформацію про місцеперебування для них не проблема.
- Конфіденційність напрямку переміщення: користувачі хочуть уникати розкриття достатньої кількості інформації про їх переміщення, яку можна поєднати разом, щоб відстежити траєкторію.
Методи забезпечення конфіденційності розташування
Для цього є закони та політики конфіденційності. Але також є і деякі методи:
Анонімність
Суть методу в тому, що інформація про місцеперебування користувача передається відокремлено від особи користувача.
Псевдоанонімність
Найпростішим способом досягти анонімності є псевдоанонімність. У такому випадку ідентифікатор користувача замінюється на псевдонім. Так і відділяють користувача від даних про місцеперебування. Він залишається анонімним, але має постійну ідентичність. Проте у випадку даних про місцеперебування псевдоніми — не найкращий варіант, адже їх можна зв’язати для отримання інформації про геолокацію. Тобто є можливість визначити особу користувача.
Маскування
Важлива техніка анонімізації, може бути просторовим та просторово-часовим.
В першому випадку географічне положення передається як трохи більша область, що включає точну локацію користувача.
Просторово-часове маскування затримує запит та не передає дані про локацію, доки в цій області не буде достатньо користувачів.
Методи анонімності не підходять для програм, у яких потрібно автентифікуватися, або тих, що пропонують персоналізацію.
Обфускація
Це навмисне погіршення якості інформації про геолокацію. Інформація в такому випадку неточна або розпливчаста для того, щоб захистити конфіденційність розташування користувача.
Цей метод доповнює концепцію анонімності. Якщо за анонімності користувач невідомий і є одним із багатьох, то за обфускації все трішки інакше. Особистість користувача відома, але якість даних про локацію гірша.
Інформація за обфускації:
- Неточна, адже включає більший радіус, а не точне місцеперебування користувача.
- Неакуратна. Це означає, що реальне геоположення може відрізнятися від даних, що передаються постачальнику послуг. Чим більша відстань від реального положення користувача, тим вищий рівень конфіденційності.
- Невиразна. Опис місцеперебування користувача розпливчастий, тому точні межі не можна визначити. Такі дані можна описати як «близько» та «в межах п’яти хвилин ходьби».
Системні архітектури для конфіденційності розташування
Щоб реалізувати сервіси на основі місцеперебування і зберегти конфіденційність, використовують різні системи архітектури разом із методами, описаними вище.
Розгляньмо такі архітектури.
Архітектура клієнт-сервер
Це централізована архітектура, за якої користувачі взаємодіють безпосередньо з сервером. Тут є неточні підходи або такі, що засновані на хибному місцеперебуванні.
Наприклад, підхід на основі помилкових даних. Користувач надсилає такі дані разом з правдивою інформацією про свою локацію. Сервер повертає відповідь, яка містить також ту, що відповідає справжньому місцеперебуванню. Потім користувач вираховує необхідну відповідь з усіх відповідей сервера. Може бути ще такий варіант: користувач надсилає на сервер розташування свого найближчого орієнтира.
Така архітектура має свої недоліки. По-перше, низька якість обслуговування через неточну локацію. По-друге, завелике навантаження на сервер через те, що він відповідає користувачу не на одну конкретну локацію, а на кілька можливих.
Централізована довірена стороння архітектура (TTP)
За такої архітектури є централізована довірена третя сторона, яка відповідає за конфіденційність. Її також називають анонімайзером розташування. Анонімайзер знаходиться між користувачами та постачальником LBS.
Точне місцеперебування користувачі надсилають цій третій стороні. Вона анонімізує дані та надсилає запит на відповідний сервер. Відповідь із сервера повертається до анонімайзера, який передає її користувачеві.
Зв’язок користувача з анонімайзером проходить захищеними каналами, водночас між ним та сервером дані можуть проходити загальнодоступними каналами.
На базі цієї архітектури розробили багато підходів, заснованих на маскуванні, k-анонімності та обфускації.
* k-анонімність — це властивість, якою володіють певні анонімні дані. Її сенс в тому, щоб надати дані так, щоб вони залишались корисними, але не можна було дізнатись, кому вони належать.
Проте ця, як і інші централізовані системи, має недолік. Анонімайзер розташування є єдиною точкою збою та потенційно може не мати можливості обробити велику кількість запитів. А якщо третю сторону скомпрометують, то конфіденційність системи стане нульовою.
Однорангова архітектура
Одноранговий зв’язок Peer-To-Peer, або P2P — це децентралізована архітектура, за якої, щоб досягти конфіденційності, централізований посередник не потрібен.
Користувачі взаємодіють безпосередньо один з одним за допомогою технологій зв’язку P2P, таких як 802.11 і Bluetooth. Це забезпечує спільну роботу з іншими користувачами, за якої вони формують замасковані просторові області.
Користувач, який надсилає запит, виявляє однорангові вузли за допомогою одно- або багатоетапного зв’язку, щоб створити замасковану область. Це забезпечить k-анонімність або вимоги до зони конфіденційності.
Така архітектура немає недоліків попередньої архітектури TTP. Проте має проблеми з проєктуванням та впровадженням. Проблеми під час пошуку однорангових пристроїв в тому, щоб визначити відстані переходу для однорангових вузлів та оцінити їх надійність.
Також є проблема у формуванні просторової замаскованої області через невизначеність руху, оскільки користувачі не стоять на одному місці. Тому приховану область потрібно відповідним чином налаштувати. Не виключаємо також обмеження мобільного середовища, такі як заряд акумулятора та відключення мережі.
Соціальна дилема
Ми обмінюємо інформацію про своє місцеперебування на дійсно корисні послуги.
Ми можемо подивитися, наскільки заповнений конкретний заклад протягом доби. Ми викликаємо таксі, де вводимо лише куди ми їдемо, адже наша локація визначається автоматично. Можемо відстежити, де наш телефон, якщо загубили його. А щоразу як ми перетинаємо кордон, наш оператор одразу пропонує послуги роумінгу.
Можливості таких сервісів оцінила і держава: пригадайте, як під час пандемії працював сервіс «Дій вдома».
Проте наскільки етично збирати такі дані? Навіть якщо ці дані захищені та не потраплять у руки зловмисників. Корпорації та компанії, що отримують цю інформацію, за бажання можуть дізнатися про нас все. Де ми працюємо, чим живемо, де буваємо, на що витрачаємо гроші та інше. Тобто дослідити нашу поведінку.
Тут в гру вступають комерційні цілі. Знаючи поведінку користувачів, компанії розуміють, які програми випускати, в який час краще взаємодіяти з користувачами та як їх заохочувати до потрібних дій.
Що б ви обрали:
- отримувати зручні послуги, проте добровільно передавати інформацію, яку можна використати проти нас,
- відмовитись від звичних послуг, проте «зникнути з радарів» і захистити приватність свого життя?
Пишіть 1 чи 2 у коментарях.