שירותים מבוססי מיקום: הרוצח השקט

0. אקדמא
שירותים מבוססי מיקום לטלפון הסלולרי נמצאים בחודשים האחרונים במחלוקת סוערת בין היתר בעקבות הפוטנציאל ההרסני שיכול להיות שלשימוש לא מורשה באותן תוכנות, החל מרשת החוקרים הפרטיים שנחשפו כאשר מכרו תוכנות מעקב לבני זוג, דרך שירותים מבוססי מיקום כמו ShopRooster הישראלית שמאפשרת קבלת מבצעים בבתי עסק אשר נמצאים באיזורך, שירותי עבר כמו InirU שהושקו ברשת Orange ואפשרו לאדם לגלות האם הוא קרוב לחבריו, שירותי ניווט כמו Waze שמאפשרים למשתמש גם לקבל דיווחי תנועה בזמן אמת וניווט ועד שירותים כמו Facebook אשר מאפשרים לי גם להרשם (check out) במקום בו אני נמצא.

במאמר קצר זה אסקור כיצד עובדים שירותים מבוססי מיקום, מהן הבעיות המשפטיות בהן וכיצד, לדעתי, צריך לטפל בבעיות אלה.

1. ראשית, על שירותים מבוססי מיקום.
את השירותים מבוססי המיקום יש לחלק לשני סוגים; הסוג הראשון הוא שירות אשר מבוסס על שבב הGPS במכשיר הנייד. באמת בקצרה, GPS הוא שירות מבוסס לווינים שמחשב, לפי עצמת האות ממספר לווינים, את המיקום הגיאוגרפי של המשתמש. מנגד, ישנו שירות aGPS, בו הטלפון משתמש באנטנות הסלולריות על מנת לספק את המיקום. בשיטה הזו, לכל טלפון יש את הידיעה מהן האנטנות הסלולריות בקרבו ומה המיקום המקורב שלהן, ולכן ניתן להגיע למיקום זה גם על ידי האנטנות וללא שימוש ברכיב הGPS. ההבדל בין שתי הגישות הוא לא רק במהירות קבלת הנתונים, אלא בסוג המידע שמועבר: מידע GPS הוא איכותי יותר ויכול לתת מיקום בקירוב של מספר מטרים, בעוד aGPS מספק מידע בקירוב של כמה עשרות או מאות.

אבל זה לא ההבדל היחיד בין סוגים של שירותי מיקום. הבדל נוסף הוא בין שירותים מבוססי שרת לשירותי לקוח. ההבדל בין השניים הוא מי שולט במידע ומי הבעלים שלו. לדוגמא, שירות GPS יכול להיות אחד משניים: או שהוא ידווח לשרת מה המיקום של המשתמש ולפי זה יקבל את השירותים, או שהוא לא יעביר לשרת את המידע, ורק ימשוך ממנו מידע (כמו מפות) על פי דרישה. הדרך הקלה להבדיל בין שני השירותים הוא לראות האם דרוש חיבור לאינטרנט בזמן השימוש. לדוגמא, שירות Ovi Maps של נוקיה, לפחות בדגמים הישנים, לא חייב חיבור אינטרנט לצורך ניווט, אלא מפות של כל עיר\מדינה הורדו למכשיר הסלולרי ונשמרו בו.

2. הבעיה בשירותים מבוססי מיקום
אז בקצרה, הבעיה בשירותים מבוססי מיקום הוא המיקום, או ליתר דיוק השימוש בו. בעוד שזה ככל הנראה רצוי על ידי רוב האנשים לחלוק את המידע הזה עם חבריהם, הם לא תמיד יודעים למי בדיוק יש גישה כאשר מדובר על מידע התנהגותי או מעקבי. לדוגמא, תוכנת Friday מאפשרת לך לצפות במסלול אותו הלכת ובמקומות בהם ביקרת במהלך היום. אלא, שאם תוכנה לגיטימית יכולה לקבל את המידע הזה, גם כך תוכנה זדונית.

חלק ניכר מהתוכנות בשוק התוכנה מבקשות את רשות המשתמש לצורך קבלת מיקומו; חלק עושות זאת למרות שהדבר ממש אינו נחוץ, ובחלק אחר הדבר נחוץ, אך המידע גם מועבר לצדדים שלישיים. המטרה שלנו, כמובן, היא להסביר ולהכיר מה אפשרי לעשות, ולדון כיצד החוק מתייחס לכך.

כפי שעלה בדיון שהחל בועדת המדע בכנסת בחודש שעבר ובמחקר של מרכז המחקר והמידע של הכנסת יש שוק נפרד של מוצרים, שורה של סכנות ולא מעט דרכים להשתמש במידע. לצורך הדיון נשתמש רק בטלפוני Android, אך אין שוני רב בין טלפוני אנדרואיד לטלפונים אחרים כמו iOS.

3. הבעיה בהגדרת שירותי מיקום.
כאשר משתמש מתקין אפליקציה, הוא מקבל לידו גרסא מקוצרת של מדיניות הפרטיות של אותה האפליקיציה אשר מפרטת בדיוק אלו סוגי הרשאות נדרשות ממנו.

אלא, שבאמצעות ההתקנה לא ניתן להגדיר הפסקה או הסרה של הרשאות מסוימות. כלומר, אם התקנתי את Waze, ברור שארצה לתת להם את הגישה לGPS, אבל אם מדובר באפליקציה כמו משחק מסוים, והסיבה היחידה למתן שירותי מיקום הוא פילוח של פרסומות, הרי שאין מקום לא לתת לי את ההסכמה.

כמו כן, הבעיה היא לאו דווקא באיתור המיקום, אלא דווקא ביצירת שירותים מבוססי מיקום שאינם aGPS. לדוגמא, חברת Skyhook השקיעה לא מעט כסף על מנת למפות רשתות WiFi על סמך כתובת הMAC שלהן כך שאם הטלפון הסלולרי שלך (או המחשב שלך) מחובר לרשת אלחוטית מסוימת, אותה חברה יכולה למפות אותך בצורה לא רעה. כך גם עם שירותי מיקום מבוססי HTML5 (בערך) שלאחר איסוף המידע מאפשרים זיהוי אדם על פי כתובת הIP שלו או הרשת האלחוטית שלו; אפשר גם לראות איך לממש את הAPI של Skyhook בקישור הבא אם ממש בא לכם.

כלומר, יש לנו שתי בעיות: הראשונה היא שאדם לא בהכרח מסכים למדיניות פרטיות או אינו מסוגל להודיע שהוא לא מסכים לסעיף כזה או אחר, והשניה היא שגם אם הוא מכבה את כל שירותי המיקום שלו, עדיין במקרים מסוימים ניתן לקבל את המיקום שלו בצורה כזו או אחרת.

כעת, בו נסתכל על הבעיה מצורה אחרת: יש לנו לא מעט מידע שיכול לזהות את המיקום של אדם: כתובת MAC, שם הרשת האלחוטית, כתובת הIP [בקירוב], aGPS וGPS. המידע הזה מועבר, לפחות בחלקו, על ידי גלישה רגילה. לדוגמא, אתר MapXSS מאפשר לנו לנצל פרצה בשיטת ההרשאות על ידי XSS; וההסבר הפשוט:

אתה מבקר באתר זדוני. האתר מנסה מספר פרצות על הראוטר שלך [או לחלופין, מודע לכך שהדפדפן שלך מאפשר גישה למידע גיאוגרפי, מה שנמצא כברירת מחדל בחלק מהדפדפנים. הXSS (או הדפדפן) מעבירים את כתובת הMAC באמצעות AJAX וזה נשלח לשירות הצד השלישי. כך, שומרים במהרה את המידע ללא בעיה ועוקבים אחרייך.

4. הבעיה בשיטת ההרשאות
הבעיה בשיטת ההרשאות היא כפולה; קודם כל נניח שיש אפליקציה שרוצה לתת לי שני שירותים מבוססי מיקום, הראשון הוא דיווחי תנועה והשני הוא פרסום מפולח היטב. אני רוצה לתת לה רק את ההרשאה הראשונה; האם אני יכול לעשות זאת? די ברור שלא. עכשיו, כדי להתגבר על בעיית ההרשאות צצו שתי אפליקציות לAndroid אשר מאפשרות שליטה חלקית: Privacy Blocker וPermission Denied. כל אחת מאפליקציות אלה מאפשרות לי, בצורה טובה פחות או יותר, לשנות את ההרשאות שהטלפון שלי מונע מהאפליקציה את הגישה לתחום הרלוונטי. כך גם אפליקציה נוספת בשם Fake GPS Location שמאפשרת זיוף של נתוני GPS. עכשיו, נניח לרגע שאני באמת רוצה שירותים מבוססי מיקום, אבל רק בחלק מהשירותים: כיצד אני יכול להגן על עצמי?

האם כל משתמש צריך לטפל בכל אפליקציה לחוד? דמיינו את המצב הבא. בטלפון שלי רצה אפליקציית WaveSecure שמאפשרת לי לאתר את הטלפון לכשאשכח אותו במקומות מסוימים. אני רוצה שלאפליקציה הזו, ורק לאפליקציה הזו, תהיה גישה לכל מידע אפשרי למקרה שאני מאבד את הטלפון. מנגד, אני לא רוצה של Angry Birds תהיה בכלל אפשרות לעקוב אחריי. תחת השימוש בPrivacy Blocker או בPermission Denied אני יכול לעשות זאת. אלא, שמנסיון שלי, חלק מהאפליקציות (אהם, אהם Twitter) סרבו פשוט לפעול אחרי שסגרו להם את רכיב המיקום.

5. הבעיה המשפטית.
עכשיו, אחרי שהצגנו פתרון חלקי למדי לבעיית ההרשאות, יש לנו את חוק המחשבים האכזר. סעיף 3 לחוק המחשבים קובע כי מי ש"משבש את פעולתו התקינה של מחשב או מפריע לשימוש בו" דינו מאסר שלוש שנים ומי ש"מעביר לאחר או מאחסן במחשב מידע כוזב או עושה פעולה לגבי מידע כדי שתוצאתה תהיה מידע כוזב או פלט כוזב" או "כותב תוכנה, מעביר תוכנה לאחר או מאחסן תוכנה במחשב, כדי שתוצאת השימוש בה תהיה מידע כוזב או פלט כוזב, או מפעיל מחשב תוך כדי שימוש בתוכנה כאמור" דינו מאסר חמש שנים. כלומר, על ידי העברת מיקום מזויף לאחר כאילו הוא פלט הGPS שלי, אני חשוף למאסר של חמש שנים בפועל, ועל ידי כתיבת תוכנה אשר תשבש את פעילות המחשב (שרת הלקוח שמטפל בשירותי המיקום) אני עשוי למצוא עצמי במאסר של שלוש שנים.

כעת, ברור לנו שהפרשנות הזו היא אבסורדית. בתי המשפט נטו לבסס את יסוד ההסכמה כמחייב בעבירות של חדירה לחומר מחשב (תפ 9497/08 מדינת ישראל נ' משה הלוי) וכאן ברור שכבעל המכשיר אתה נותן את הסכמתך. אבל, יש כאן סיכון שאינו מבוטל בהתחשב בפליליות ההליך.

כלומר, אתה מקבל תוכנה ואין ממש הבדל בין לפרוץ אותה ולא לשלם עבורה (שהיא שיבוש או גרימה לפלט כוזב) לבין לגרום לה לא לרגל אחרייך.

5. איסור התניית שירותים, הבעיה המוחשית.

בעיה נוספת היא התניית השירותים. כלומר, איני יכול להשתמש בAngry Birds ללא מתן המיקום הגיאוגרפי שלי. איסור זה אינו הגיוני ואינו הולם את דוקטרית ה"הסכמה מדעת" שגובשה לפי חוק הגנת הפרטיות, הרי שצריך לתת את הסכמתי ויש מקרים שבהם אני יכול לשלול אותה. אלא, שברור לנו שבעת השימוש באפליקציות שאוגרות את המידע הפרטי שלנו אנחנו המוצר ולא הלקוח. כלומר, לא נוכל לפנות לספק השירות על מנת למחוק את המידע או להפסיק לאגור אותו, גם כאשר מדובר במידע שהוא לא נדרש לשירות.

6. דרכים אפשריות לפתרון:

הדרכים לפתרון מתחלקות לשתיים; הראשונה היא טכנולוגית: על ידי יצירת מיקומים מזויפים או על ידי החלפת כתובת הMAC בנתב הביתי. אלא, שבמקרים כאלה עשויה לקום אחריות פלילית שלא תטיב עם המשתמש ותסבך אותו במקום לפתור לו את הבעיות. עוד בעיה שיכולה לצוץ מפתרון מבוסס טכנולוגיה היא שהמשתמש עצמו לא יהיה מודע לשימושים נוספים בגלל העדר ידע טכנולוגי (לדוגמא, הוא ביטל את הGPS אבל לא את כתובת הMAC בנתב הביתי).

הפתרון השני הוא יצירת רגולציה שתבדיל בין שירותי מיקום (essential location services) לבין שירותים שדורשים את המיקום. שירותי מיקום יהיו כפופים לרגולציה מסוג אחד, כזה שיאפשר להם לקבל את המיקום בהסכמה שהיא Opt-Out (כלומר, לאחר התקנת התוכנה ניתן לשלול את שירותי המיקום מתוכה, אבל אין צורך לאשר בנפרד את ההסכמה לשירותי מיקום). מנגד, שירותים שרק צורכים מיקום והשירות שמסופק למשתמש הקצה אינו תלוי מיקום או יכול שלא יהיה תלוי מיקום (non-essential location services) לא יוכלו לקבל את המיקום אלא באחד משניים: (1) הסכמה מפורשת בהתקנת התוכנה (opt-in) או; (2) בקשה בכל פעם שיש פניה לשירות המיקום בנפרד.

במצב כזה, ספקי שירות non-essential לא יוכלו להתנות את פעילות התוכנה בשירות מיקום או שיאפשרו הזנת מיקום ידנית; לדוגמא, אם אני רוצה להפעיל את אפליקציית עכבר העיר לאייפון, אבל לא רוצה לתת לה את כתובתי או מיקומי, אני עדיין אוכל להשתמש בה ולהזין כתובת אשר לידה אני רוצה לקבל בתי עסק.

על מנת להטמיע את השיטה, אין צורך בחקיקה אלא דווקא הסדרה של חנויות האפליקציה; הרעיון הוא שתקום קטגוריה של Location Based Services בהן ההרשאות יהיו מסוג אחד, ובכל שאר הקטגוריות, אפליקציות שיבקשו גישה לנתוני מיקום ידרשו לקבל אותה בצורה מפורשת.

7. לסיכום

עם הבעיה של LBS אנו יכולים לחיות. לא מדובר ברעה חולה שצריך להפטר ממנה בכל מחיר או במוצר שהציבור לא רוצה. להפך: רוב הציבור כנראה רוצה LBS ורוצה להתמודד איתם בצורה חכמה; רוב הציבור גם יעדיף, ככל הנראה, להשתמש בשירותים האלה ולא תהיה לו בעיה עם השימוש בנתוני המידע שלו. מנגד, אוכלוסיות רבות, ובמיוחד קטינים, אינן מסוגלות להבין את המשמעות של שימוש בנתוני המיקום שלהן. לכן, כדי להגן עליהן, יש לייצר את ההגנה באמצעות התוכנה וארכיטקטורת מידע ולהכפיף את יצרני התוכנות לרגולציה (עצמית, או שלא עצמית) שתמנע שימושים לרעה במידע.

[פורסם בגליון דצמבר של דיגיטל ויספר]

8 thoughts on “שירותים מבוססי מיקום: הרוצח השקט

  1. aGPS זה עדיין GPS… רק עם ASSISTANCE
    ההבדל הוא בזמני הביצוע. AGPS מקבל יקום ראשוני הרבה יותר מהר, אבל בתמורה, דורש גישה לרשת תקשורת

  2. שאלה ממשתמש ממש לא מתוחכם-

    יש לי בבית ראטר אלחוטי, וממה שאני מבין ממך (וממה שקראתי עכשיו על SKYHOOK) בעצם כל אתר שאני גולש אליו יכול לזהות את הכתובת שלי בבית?

    כמו כן יש לי גם אייפון שאני גולש איתו דרך הראוטר בבית. האם חברות כלשהן מקליטות את הGPS של האייפון יחד עם הMAC של הראוטר ומפיצות את זה? (מלבד SKYHOOK שמכתתת רגליים (או רכבים) על מנת ליצור את מאגר המידע שלה).

    ומה בכלל עלי לעשות?

    תודה.

  3. שאלה יקרה,

    ראשית, לגבי SkyHook: לא, לא כל אתר יכול לזהות את הMAC, רק אתרים שמנצלים פרצות אבטחה בדפדפן או אתרים שנתת להם הסכמה.

    לגבי הראוטר, אני לא יכול לתת לך תשובה חד משמעית לפני שבדקתי את התוכנות שמוקלטות ואת קוד המקור. אם אתה חושד שמשהו כזה קורה, אני מציע שתבדוק את התעבורה של המכשיר עם מערכת שיושבת באמצע.

  4. לא יכול לתרום לדין המשפטי. אבל בכל הנוגע לפגיעה בפטריות חברות הסרולור איפלו אומר בר' גלה שמוצרים שלהם פוגעים בפטריות שלך.

    פרוסמות לגלקאסי מיני שמדגימה איך אדם המנסה להתבודד לא מצליח לעשות זה כי המכשיר שלו מדוח אכין הוא נמצא.
    http://www.youtube.com/watch?NR=1&feature=endscreen&v=TXigDVKuZ6I

  5. תודה יהונתן,
    בדיקת מכשיר עם מערכת שיושבת באמצע זה לא משהו שאני יודע לעשות, אבל כרגע אני לא חושד באייפון שלי (בעצם לא יודע אילו תסמינים יכולים להיות שיגרמו לחשוד בדבר כזה…). השאלה שלי הייתה יותר תיאורטית.

    לגבי זיהוי MAC ע"י אתרים- אוקיי קצת הרגעת אותי, חשבתי שכל אתר יכול לעשות זאת. כלומר חוץ מהדרך של להיות אתר זדוני.

    השאלה של מה לעשות, כוונה למה לעשות אם אתר זדוני כלשהו כן יצליח להיכנס אלי?
    לפי מה שאני קורא ברשת, החלפת הMAC נעשית לרכיבים הפנימיים. כגון כרטיס רשת. הMAC של הנתב עצמו צרוב אצלו בROM ולכן אין לי מה לעשות…

    תודה.

  6. פלי,
    מתנצל מראש אם יש לך דיסלקציה, אבל בנתיים הפטריות שלי בסדר גמור ;).

  7. אפליקציית אנדרואיד נוספת לענייני הרשאות, שפרט לעובדה שהיא ממקור סיני ולכן אולי trojan בעצמה, עושה כמעט כל מה שצריך:

    https://market.android.com/details?id=com.lbe.security.lite

    בפרט, היא יודעת לדווח IMEI או מס' טלפון שקרי, חוסמת גישה לרשת, חוסמת גישה לcontacts ועוד.

  8. היי יהונתן,

    דרך נוספת שבה מרגלים אחרי המיקום שלי, היא באמצעות ה-imei של המכשיר.
    האם יש איסור חוקי לשנות אותו?
    (אני יודע שיש למפעיל סמכות לחשום גישה ל-imei ספציפי כחלק מההגנות על גניבת מכשירים סלולריים, אבל אם זה אני מוכן להתמודד.
    השאלה היא האם מבחינה חוקית יש בעיה)

Comments are closed.