Kommentar: Derfor er Pokémon Go ikke masseovervågning

Pokémon Go er sommerens store dille, og frygten for overvågning er overdrevet - i hvert fald for dette spil.
Pokémon Go er sommerens store fænomen, og det har også skabt røre blandt dem, der er bekymrede for overvågning.

Jeg blev i DR P1 Debat onsdag flere gange spurgt om, hvorvidt Pokémon Go var overvågning fra storkapitalen. Nu sidder der så straks en flok af jer kære læsere og tænker 'jeg vidste det! DR er en marxistisk femte kolonne!' - men helt så alvorligt er det næppe. Nu er jeg heller ikke den store konspirationsteoretiker, og derfor synes jeg, det er på sin plads, at jeg lige uddyber mine pointer fra programmet.

Disclaimer: Undertegnede er halvvejs gennem level 9 i skrivende stund.

Fik Niantic fuld adgang til min Google-konto?

Spilfirmaet Niantic, der har udviklet spillet, begik en alvorlig brøler ved lanceringen af iOS-versionen af Pokémon Go. Hvis man benyttede en Google-konto til login i spillet, så bad spillet om ubegrænset adgang til kontoen. Eller i hvert fald noget, der blev beskrevet som fuld adgang - hvor meget der reelt var adgang til er lidt mere kompliceret.

Læs også: Pokemon Go kan have fuld adgang til din Google-konto

Niantic opdaterede hurtigt spillet, så det kun bad om et brugernavn og en mailadresse fra kontoen, og altså ikke fuld adgang til mails, kontaktpersoner og en masse andre data, der ligger i Google-kontoen. Firmaet udtalte, at det var en fejl, og at der aldrig var indsamlet andet end brugernavn og mailadresse.

Har man sølvpapirshatten på - og det er ikke nødvendigvis dumt, medmindre det bogstaveligt er en hat af sølvpapir - så tænker man, at Niantic måske kun ændrede spillet, fordi firmaet blev afsløret i at indsamle oplysninger, de ikke havde nogen grund til at indsamle.

Det, der taler i mod, er blandt andet, at det kun var iOS-udgaven, der bad om fuld adgang, mens Android-versionen blev lanceret med den begrænsede adgang. Fuld adgang er da også lige rigeligt, hvis man blot ønsker at overvåge og ikke ligefrem fuldstændigt overtage kontoen. Der er ikke rigtigt gode argumenter for, at formålet var at få fuld adgang.

Står CIA bag?

Der blev peget på, at spillet havde forbindelse til CIA, hvis man fulgte pengesporet og så på, hvordan Niantic havde rejst kapital. Det er blot lidt misvisende, for den pågældende investeringsfond, In-Q-Tel investerer i snesevis af teknologiselskaber. Det er heller ikke hemmeligt, at den har forbindelse til CIA. Det står på forsiden af fondens hjemmeside.

In-Q-Tel investerede desuden ikke i Niantic, men i John Hankes tidligere projekt, Keyhole, der udviklede forgængeren for Google Earth. Det passer godt ind i In-Q-Tels øvrige portefølje, hvor der er flere firmaer, der arbejder med visualisering af geodata.

Det var dette blogindlæg, der startede dén debat, og læser man indlægget står det ret hurtigt klart, at der skal mere end en enkelt rulle sølvpapir til at hamle op med skribentens imponerende hat. Det er ikke objektivt fremstillet research, men mestendels spekulationer på baggrund af oplysningen om, at hovedmanden i Niantic fik penge fra en CIA-teknologifond i sit tidligere projekt, der endte med at blive opkøbt af Google.

Men hvad indsamler Niantic så?

Pokémon Go benytter sig af din geografiske position. Det er hele kernen i spillet, at du skal bevæge dig rundt i den virkelige verden. Derfor er app'en nødt til at registrere, hvor du befinder dig ved hjælp af GPS.

Vi ved også, at det er meningen, at app'en skal gemme din færden. Funktionen virker ikke særlig godt, men hver pokémon, du fanger, bliver registreret med tidspunkt og position i din samling.

På den måde indsamler spillet altså, hvor du har færdedes på hvilke tidspunkter.

Men problemet er, at spillet opfordrer dig til at bevæge dig nye steder hen for at besøge et nyt pokéstop og udruge dine æg. Du bevæger dig altså i nogle mønstre, der er usædvanlige. Det er svært for både efterretningstjenester og reklamedistributører at få noget meningsfyldt ud af, at du i en time har bevæget dig rundt i den lokale park mellem to statuer og et springvand.

Hvis du vil indsamle information om, hvor folk bor og arbejder, så er en vejr-app en mere effektiv og diskret løsning.

Men er der ikke et problem i at blive sporet?

Det mest problematiske er, at det er muligt at registrere, hvem der har været på samme sted på samme tid. Det kan afsløre nogle forbindelser mellem personer, som du ikke ville kunne opdage med en vejr-app, du kun åbnede, når du var på vej til eller fra arbejde.

Når det er en dårlig idé for terrorister at være på Facebook, så skyldes det, at et socialt netværk i sagens natur gør det muligt at se, hvem der kender hinanden eventuelt gennem andet eller tredje led.

Men igen gør selve spillets gameplay, at du risikerer at få en masse falske positiver, hvis du leder efter forbindelser mellem personer. Du får formentligt først og fremmest den ubrugelige information om, at disse mennesker bor i samme område og besøger derfor de samme pokéstop.

Det er her værd at bemærke, at spillet ikke kører, når skærmen er låst. Dermed bliver data ikke meget bedre, end dem Google eksempelvis indsamler, hvis man ikke har slået Google Maps-historik fra.

Læs også: Nu lader Google Maps dig se, hvor du var for et år siden

Men er det ikke kommerciel overvågning?

Man skal ikke lade sig narre. Google skabte Android for at sikre sig markedet for at vise reklamer i internetsøgninger på mobiltelefonen. Google kontrollerer også en stor del af de reklamer, der vises i apps.

Googles reklameforretning bygger på at kunne vise reklamer, der ikke bare vises til tilfældige besøgende, men målrettes de kunder mest størst potentiale for at gennemføre et køb. Derfor vil Google gerne vide, hvem du er - eller rettere, Google vil gerne vide, om du ligner nogen, Google gætter på vil købe et produkt.

Det er nemlig ikke dig som individ, der er interessant. Vi er endnu ikke dér, hvor målgrupperne er så granulerede, at den enkelte får målrettede reklamer. Jo mere reklamefirmaerne ved om dig, jo bedre kan de placere dig i den rigtige målgruppe.

Det er klart, at et spil som Pokémon Go kan indsamle data, der kan være interessant. Hvis din rute mellem pokéstops går forbi to dagligvarebutikker, så kan der være en forretning i at sælge reklameplads for de to butikker, der kan informere dig om aktuelle tilbud.

Forgængeren til Pokémon Go hed Ingress. Her havde Niantic en aftale med den amerikanske juicebarkæde Jamba Juice, hvor kædens butikker var dét, der svarede til pokéstop. Det er formentligt en forretningsmodel, der er på bordet for Pokémon Go. Spørgsmålet er, om Niantic vil sælge information til de firmaer, der betaler for at få pokéstop i spillet, om de brugere, der færdes i området.

Jeg er mere bekymret for næste bølge

Alle vil nu koble sig på fænomenet. Det betyder, at der vil komme en masse efterligninger. Det kan føre til to problemer: For det første kan der være firmaer med mere skumle hensigter end Niantic, som trods alt har hægtet sig sammen med Nintendo og Pokémon, hvor en reel overvågningsskandale vil koste mere på bundlinjen end dataene er værd. Disse firmaer kan lave apps, der rammer den samme fascination, men mere kynisk vil bruge de indsamlede data.

Der kan også være firmaer med alle gode intentioner om at behandle de indsamlede data hensigtsmæssigt og kun bruge dem til at forbedre deres spil. Men hvis sådan et firma, der kan være placeret hvor som helst på kloden, går konkurs, så er det ikke sikkert, at konkursboet varetager de indsamlede data med nogen anden hensigt end at få flest penge ud af dem.

Endelig er der risikoen for, at sådanne firmaer kan blive hacket. Det er måske lettere at få brugernes positionshistorik fra et lille spilfirma end fra Google.

Læs også: Pokemon Go-mani kan gøre Android-telefoner sårbare for malware-angreb

En anden lektie fra udrulningen af Pokémon Go har været, at folk var villige til at omgå en grundlæggende sikkerhedsforanstaltning på deres telefoner for at komme til at spille spillet. Hvis man arbejder med sikkerhed er det næppe overraskende, men understreger, at der altid er potentiale for brud på sikkerheden, hvis brugerne har muligheden for det - og ønsker at gøre det.

Konklusionen er altså, at jeg ikke er nervøs for overvågning gennem lige netop Pokémon Go - men at spillet tydeliggør nogle centrale udfordringer, vi har med at sikre privatliv i en tid, hvor en stor del af klodens befolkning har en tændt smartphone på sig hele tiden, som kan misbruges af dem med kyniske bagtanker.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
René Nielsen

Hvis jeg tager sølvpapirhatten på, så kan jeg ikke give dig dig ret i, at der ikke er tale om overvågning.

Hvis jeg var en efterretningstjeneste ville jeg være ligeglad med 99,999 % af spillet, det som ville interesser mig er den sidste mikro/milli procent, for det er den målrettede overvågning som er interessant. Selskabet bag pokemon må for min skyld gerne sælge reklamer - for det vil være det perfekte skalkeskjul

Via dette spil kan jeg som efterretningstjeneste indhente foto rekognoscering af steder som normalt ville påkalde sig mistanke hvis jeg stillede mig op og begyndte at fotografer plus selvfølgelig risikoen for opdagelse med tilhørende arrestation, hvis jeg fotografer en regeringsbygning i et fremmed land.

Det er lidt banalt, men der er mange steder hvor Google Earth ikke har legal adgang ligesom opdateringsfrekvensen er et par år. Hvis jeg smider de rette pokemons får jeg hurtigt og ufilteret adgang til noget som ligner real-time billeder af de steder som interesser mig og det helt uden om den stedlige lovgivning og de risici dette ville medfører.

Som efterretnings-agent kunne jeg bruge spillet til at kortlægge centrale embedsmænds færden med henblik på f.eks. afpresning.

Via den centrale server og ansigtgenkendelse ville jeg lade serveren lokke spillere til embedsmandens aktuelle position i en måneds tid. Via geotagning på billederne ville der ikke gå lang tid før jeg har et nøjagtigt billede af embedsmandens geografiske færden og skulle han (ofte) gå på casino, på luderbar, besøge en elskerinde eller lignende – så er jeg klar til næste skridt.

Finn Aarup Nielsen

Er der nogen der har undersøgt om dette billede data overhovedet bliver sendt ud af telefonen?

Hvis det er normalt at den sender, bør man vel kunne detektere det, men hvis det kun er ved speciel instruktion fra serveren ("for debugging purposes" kunne det være) så er det vel langt sværere.

Der er forøvrigt et billede af 0.29.0 android permissions her: https://techcrunch.com/2016/07/11/pokemon-go-wants-to-catch-almost-all-y...

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017

Affecto has the solution and the tools you need

According to GDPR, you are required to be in control of all of your personally identifiable and sensitive data. There are only a few software tools on the market to support this requirement today.
13. sep 2017