Jeg blev i DR P1 Debat onsdag flere gange spurgt om, hvorvidt Pokémon Go var overvågning fra storkapitalen. Nu sidder der så straks en flok af jer kære læsere og tænker 'jeg vidste det! DR er en marxistisk femte kolonne!' - men helt så alvorligt er det næppe. Nu er jeg heller ikke den store konspirationsteoretiker, og derfor synes jeg, det er på sin plads, at jeg lige uddyber mine pointer fra programmet.
Disclaimer: Undertegnede er halvvejs gennem level 9 i skrivende stund.
Fik Niantic fuld adgang til min Google-konto?
Spilfirmaet Niantic, der har udviklet spillet, begik en alvorlig brøler ved lanceringen af iOS-versionen af Pokémon Go. Hvis man benyttede en Google-konto til login i spillet, så bad spillet om ubegrænset adgang til kontoen. Eller i hvert fald noget, der blev beskrevet som fuld adgang - hvor meget der reelt var adgang til er lidt mere kompliceret.
Niantic opdaterede hurtigt spillet, så det kun bad om et brugernavn og en mailadresse fra kontoen, og altså ikke fuld adgang til mails, kontaktpersoner og en masse andre data, der ligger i Google-kontoen. Firmaet udtalte, at det var en fejl, og at der aldrig var indsamlet andet end brugernavn og mailadresse.
Har man sølvpapirshatten på - og det er ikke nødvendigvis dumt, medmindre det bogstaveligt er en hat af sølvpapir - så tænker man, at Niantic måske kun ændrede spillet, fordi firmaet blev afsløret i at indsamle oplysninger, de ikke havde nogen grund til at indsamle.
Det, der taler i mod, er blandt andet, at det kun var iOS-udgaven, der bad om fuld adgang, mens Android-versionen blev lanceret med den begrænsede adgang. Fuld adgang er da også lige rigeligt, hvis man blot ønsker at overvåge og ikke ligefrem fuldstændigt overtage kontoen. Der er ikke rigtigt gode argumenter for, at formålet var at få fuld adgang.
Står CIA bag?
Der blev peget på, at spillet havde forbindelse til CIA, hvis man fulgte pengesporet og så på, hvordan Niantic havde rejst kapital. Det er blot lidt misvisende, for den pågældende investeringsfond, In-Q-Tel investerer i snesevis af teknologiselskaber. Det er heller ikke hemmeligt, at den har forbindelse til CIA. Det står på forsiden af fondens hjemmeside.
In-Q-Tel investerede desuden ikke i Niantic, men i John Hankes tidligere projekt, Keyhole, der udviklede forgængeren for Google Earth. Det passer godt ind i In-Q-Tels øvrige portefølje, hvor der er flere firmaer, der arbejder med visualisering af geodata.
Det var dette blogindlæg, der startede dén debat, og læser man indlægget står det ret hurtigt klart, at der skal mere end en enkelt rulle sølvpapir til at hamle op med skribentens imponerende hat. Det er ikke objektivt fremstillet research, men mestendels spekulationer på baggrund af oplysningen om, at hovedmanden i Niantic fik penge fra en CIA-teknologifond i sit tidligere projekt, der endte med at blive opkøbt af Google.
Men hvad indsamler Niantic så?
Pokémon Go benytter sig af din geografiske position. Det er hele kernen i spillet, at du skal bevæge dig rundt i den virkelige verden. Derfor er app'en nødt til at registrere, hvor du befinder dig ved hjælp af GPS.
Vi ved også, at det er meningen, at app'en skal gemme din færden. Funktionen virker ikke særlig godt, men hver pokémon, du fanger, bliver registreret med tidspunkt og position i din samling.
På den måde indsamler spillet altså, hvor du har færdedes på hvilke tidspunkter.
Men problemet er, at spillet opfordrer dig til at bevæge dig nye steder hen for at besøge et nyt pokéstop og udruge dine æg. Du bevæger dig altså i nogle mønstre, der er usædvanlige. Det er svært for både efterretningstjenester og reklamedistributører at få noget meningsfyldt ud af, at du i en time har bevæget dig rundt i den lokale park mellem to statuer og et springvand.
Hvis du vil indsamle information om, hvor folk bor og arbejder, så er en vejr-app en mere effektiv og diskret løsning.
Men er der ikke et problem i at blive sporet?
Det mest problematiske er, at det er muligt at registrere, hvem der har været på samme sted på samme tid. Det kan afsløre nogle forbindelser mellem personer, som du ikke ville kunne opdage med en vejr-app, du kun åbnede, når du var på vej til eller fra arbejde.
Når det er en dårlig idé for terrorister at være på Facebook, så skyldes det, at et socialt netværk i sagens natur gør det muligt at se, hvem der kender hinanden eventuelt gennem andet eller tredje led.
Men igen gør selve spillets gameplay, at du risikerer at få en masse falske positiver, hvis du leder efter forbindelser mellem personer. Du får formentligt først og fremmest den ubrugelige information om, at disse mennesker bor i samme område og besøger derfor de samme pokéstop.
Det er her værd at bemærke, at spillet ikke kører, når skærmen er låst. Dermed bliver data ikke meget bedre, end dem Google eksempelvis indsamler, hvis man ikke har slået Google Maps-historik fra.
Men er det ikke kommerciel overvågning?
Man skal ikke lade sig narre. Google skabte Android for at sikre sig markedet for at vise reklamer i internetsøgninger på mobiltelefonen. Google kontrollerer også en stor del af de reklamer, der vises i apps.
Googles reklameforretning bygger på at kunne vise reklamer, der ikke bare vises til tilfældige besøgende, men målrettes de kunder mest størst potentiale for at gennemføre et køb. Derfor vil Google gerne vide, hvem du er - eller rettere, Google vil gerne vide, om du ligner nogen, Google gætter på vil købe et produkt.
Det er nemlig ikke dig som individ, der er interessant. Vi er endnu ikke dér, hvor målgrupperne er så granulerede, at den enkelte får målrettede reklamer. Jo mere reklamefirmaerne ved om dig, jo bedre kan de placere dig i den rigtige målgruppe.
Det er klart, at et spil som Pokémon Go kan indsamle data, der kan være interessant. Hvis din rute mellem pokéstops går forbi to dagligvarebutikker, så kan der være en forretning i at sælge reklameplads for de to butikker, der kan informere dig om aktuelle tilbud.
Forgængeren til Pokémon Go hed Ingress. Her havde Niantic en aftale med den amerikanske juicebarkæde Jamba Juice, hvor kædens butikker var dét, der svarede til pokéstop. Det er formentligt en forretningsmodel, der er på bordet for Pokémon Go. Spørgsmålet er, om Niantic vil sælge information til de firmaer, der betaler for at få pokéstop i spillet, om de brugere, der færdes i området.
Jeg er mere bekymret for næste bølge
Alle vil nu koble sig på fænomenet. Det betyder, at der vil komme en masse efterligninger. Det kan føre til to problemer: For det første kan der være firmaer med mere skumle hensigter end Niantic, som trods alt har hægtet sig sammen med Nintendo og Pokémon, hvor en reel overvågningsskandale vil koste mere på bundlinjen end dataene er værd. Disse firmaer kan lave apps, der rammer den samme fascination, men mere kynisk vil bruge de indsamlede data.
Der kan også være firmaer med alle gode intentioner om at behandle de indsamlede data hensigtsmæssigt og kun bruge dem til at forbedre deres spil. Men hvis sådan et firma, der kan være placeret hvor som helst på kloden, går konkurs, så er det ikke sikkert, at konkursboet varetager de indsamlede data med nogen anden hensigt end at få flest penge ud af dem.
Endelig er der risikoen for, at sådanne firmaer kan blive hacket. Det er måske lettere at få brugernes positionshistorik fra et lille spilfirma end fra Google.
En anden lektie fra udrulningen af Pokémon Go har været, at folk var villige til at omgå en grundlæggende sikkerhedsforanstaltning på deres telefoner for at komme til at spille spillet. Hvis man arbejder med sikkerhed er det næppe overraskende, men understreger, at der altid er potentiale for brud på sikkerheden, hvis brugerne har muligheden for det - og ønsker at gøre det.
Konklusionen er altså, at jeg ikke er nervøs for overvågning gennem lige netop Pokémon Go - men at spillet tydeliggør nogle centrale udfordringer, vi har med at sikre privatliv i en tid, hvor en stor del af klodens befolkning har en tændt smartphone på sig hele tiden, som kan misbruges af dem med kyniske bagtanker.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.
