Simons Soffa

Hem | Blogg | Kontakt | RSS

<Tillbaka till listan med blogginlägg>

Vad för information samlar Google in om dig? 2021-07-29

Google har i allt större utsträckning blivit ett företag som tillhandahåller allt vi använder. Mest uppenbart när en nyfiken fråga väcks i vårt huvud, och vi reflexmässigt skriver in den i Google's sökfält, men alltmer i andra sammanhang; vi använder Google till att översätta meningar, till att se videor online (eftersom YouTube tillhör Google), till att hitta vägen till hotellet vi bor på. Många lagrar även filer, bilder, organiserar sina kalendrar, med mera i Google-tjänster. Och Google förekommer även ofta i osynliga sammanhang; som den tredjepart som samlar in användarstatistik på i princip alla plattformar, oavsett om det handlar om bloggar (inte den här bloggen dock), nyhetssidor, bostadssidor, välgörenhetsorganisationer, eller precis vad som helst. Om du är online, så interagerar du med Google, punkt slut. Om du använder en Androidtelefon så är även den helt genomsyrad av Googlemjukvara, och den kommunicerar konstant med Google.

Trots att de flesta av oss använder Google i princip varenda dag (vare sig vi vet om det eller inte), så har i princip ingen läst deras integritetspolicy. I rent utbildande syfte tänkte jag därför att vi tillsammans kan läsa den lite gemensamt i den här posten. Oroa er inte; jag tänker inte tvinga er läsa allt (vill ni göra det kan ni ju bara läsa den själva här. Men jag tänkte mig att vi kunde kika lite på några av de exempel de ger på data som de samlar in, och som många nog inte har koll på. Jag tänker lämna ut deras förklaringar till varför de samlar in data, då jag i den här bloggposten inte är ute efter att diskutera vad som är rätt och motiverat i vad Google samlar in, utan bara av att informera om vad de samlar in.

Jag kommer även försöka informera, i de lägen det för en lekman inte är uppenbart, hur viss data kan användas till att identifiera dig som person; jag menar att detta är nödvändigt för att faktiskt förstå vad integritetspolicyn faktiskt säger.

När du inte är inloggad på ett Google-konto lagrar vi den insamlade informationen med hjälp av unika identifierare som är kopplade till den webbläsare, app eller enhet du använder.

Jag tyckte det här var värt att notera, eftersom det innebär att allt det vi kommer se är oberoende om du är inloggad via ett Googlekonto eller inte. Om du har ett Google-konto innebär detta att de mycket väl skulle kunna knyta din aktivitet till det genom unika identifierare även om du inte är inloggad. Och har du inte ett Google-konto kan informationen fortfarande knytas till din person by proxy genom de unika identifierarer som används.

Mot det jag sagt kan invändas att de antyder att de inte knyter informationen till ditt konto om du inte är inloggad:

När du är inloggad samlar vi också in information som vi lagrar på ditt Google-konto

Men detta är bara just en antydan med språk som inte med nödvändighet garanterar att de inte kopplar informationen till ditt konto annars, och som sagt; det här blogginlägget handlar om vad Google samlar in för data och hur den kan användas för att identifiera dig. Och oavsett om det kopplas till ditt konto eller inte så är det kopplat till dig genom unika identifierare (mer om detta längre ner).

När du skapar ett Google-konto ger du oss personliga uppgifter som omfattar ditt namn och ett lösenord. Du kan också välja att lägga till telefonnummer eller betalningsuppgifter i kontot. Du kan välja att ge oss uppgifter även om du inte är inloggad på ett Google-konto, till exempel en e-postadress för att få uppdateringar om våra tjänster.

Det här är nog inte förvånande för någon, eftersom man aktivt lämnar över dessa uppgifter. Implikationerna är fortfarande ganska anmärkningsvärda, eftersom det innebär att Googles data är väldigt svårt att separera från dig som juridisk person.

Vi samlar även in innehåll som du skapar, laddar upp eller tar emot från andra när du använder våra tjänster. Det kan till exempel vara e-postmeddelanden som du skriver och tar emot, bilder och videor som du sparar, dokument och kalkylark som du skapar och kommentarer du skriver om YouTube-videor.

Alltså, Google kan läsa dina mail, se de bilder dokument, och andra filer du lagrar hos dem. Du kanske tycker det är självklart, men absolut inte; det är trivialt att lagra dessa saker på ett sätt som gör att endast du har tillgång till dem, och det är exempelvis det Apple gör med filer du lagrar i deras molntjänst, och det ProtonMail gör med de mail som du lagrar hos dem. Google är ett av de mest avancerade mjukvaruföretagen i världen, och att de inte kör med zero-access kryptering på det material du lagrar hos dem betyder att de inte vill göra det, för annars hade de gjort det. Att de har tillgång till exempelvis kommentarer du skriver på YouTube är såklart inte konstigt; de är ju publicerade av dig eftersom du vill ha dem publika, så den informationen är såklart trivialt att de har tillgång till.

Vi samlar in information om de appar, webbläsare och enheter som du använder vid åtkomst till tjänster från Google...

...

Informationen vi samlar in omfattar unika identifierare, webbläsartyp och inställningar, enhetstyp och inställningar, operativsystem, information om mobilnätverk som operatörens namn och telefonnummer samt appversion. Vi samlar också in information om hur dina appar, webbläsare och enheter interagerar med våra tjänster. Informationen omfattar bland annat IP-adress, felrapporter och systemaktivitet samt datum, tid och hänvisningsadress för din förfrågan...

...

Vi använder olika tekniker för att samla in och lagra information, till exempel cookies, pixeltaggar, lokal lagring som lagring i webbläsaren eller cachelagring för appar, databaser och serverloggar.

(Utelämnat är motivationerna Google ger för insamling; den här bloggposten ämnar ha fokus på vad Google har tillgång till, inte varför)

För lekmän låter det här oskyldigt, men den som har det minsta intresse för cybersäkerhet och integritet online vet precis vad det här kan användas till, nämligen att "fingerprinta" och identifiera dig (läs om device fingerprinting på Wikipedia). Sannolikheten att någon annan använder exakt samma webbläsare, samma webbläsarinställningar, samma mobil/datormodell, samma operativsystem, samma mobiloperatör, har exakt samma fönsterstorlek, etc. är extremt osannolikt. Kombinerar man all den här informationen så får man en kombination som är unik för just dig, ett så kallat fingeravtryck. De tekniker som används för att fingerprinta dig förefaller ofta oskyldiga om man inte vet hur de fungerar, och är ofta väldigt svåra att värja sig mot. Exempelvis kan en hemsida visa samma bild med olika filnamn för olika besökare. Om hemsidan märker att du redan har en viss kombination av filer cache:ade i din webbläsare blir det en till pusselbit i ditt fingeravtryck. Om du sen använder exempelvis en VPN för att dölja din IP-address är det lönlöst, för ditt fingeravtryck är fortfarande ditt.

Om du är skeptisk och själv vill testa ifall ditt enhets fingeravtryck verkligen är unikt (hint: det är det), så kan du testa på amiunique.org.

Sen är olika webbläsare olika bra på att dölja ditt fingeravtryck; en av de bästa "vanliga" webbläsarna för det ändamålet är Brave. Den som, med hästlängder, är allra bäst på det är dock Tor Browser, men den är inte särskilt praktisk att ha som vardagswebbläsar, och blockeras väldigt ofta av Google (som menar att det är nödvändigt för att skydda sig mot attacker, men betydligt mindre bemedlade hemsidor med jämförbar exponering klarar att värja sig mot det alldeles utmärkt, så det handlar snarare om att de inte vill göra sina tjänster tillgängliga för folk som använder bra integritetsskydd).

Vi samlar in information om aktivitet i våra tjänster, som vi sedan använder för sådant som att rekommendera YouTube-videor vi tror att du gillar. Aktivitetsinformationen vi samlar in kan omfatta följande:

• Ord du söker på.
• Videor du tittar på.

Vad är det hemligaste du har sökt efter på Google? Det mest privata? De vet. De lagrar den informationen. Som sagt tidigare, det finns gott om sätt att identifiera just dig, även om du är utloggad, använder privatsurf och VPN, och Google samlar enligt egen utsaga in den informationen. Vare sig de kopplar den här aktiviteten till ditt konto eller inte så är den kopplad till information som utgör ett unikt fingeravtryck som identifierar just dig - allt du någonsin sökt efter på Google har otvetydig koppling till din identitet (eller ett fingeravtryck som i sin tur är trivialt att koppla till din identitet). Google känner dig antagligen bättre än din närmsta vän i många avseenden - dina innersta och hemligaste farhågor, förhoppningar och fantasier, för när något dyker upp i huvudet söker vi efter något relaterat till det.

• Visningar och interaktion med innehåll och annonser.
• ...
• Köpaktivitet

Hur länge låter du en reklam spela innan du klickar bort den? Klickar du rentav på länken (vilket händer extremt sällan, så då kan du ge dig fasiken på att de noterar det)? Detta är signaler som i kombination med all annan information Google samlar in kan användas till att bygga modeller för hur du sannolikt reagerar på det de visar dig (vare sig det uppenbart är del av en annons eller inte). I viss mån kan datan användas till att manipulera just dig, men i första hand kan ditt beteende ge ledtrådar till hur man i genomsnitt kan bli bättre på att manipulera de som kanske är ännu mer mottagliga - i dina interaktioner med annonser, och ditt beteende efter att ha sett en annons (hur det därefter påverkar dina sökningar, etc) finns gott om information om hur effektiv manipulation är även om du inte köpt något.

• Röst- och ljudinformation när du använder ljudfunktioner.

Notera om du har en smart assistent (varför nu någon får för sig att använda en sådan, herregud?!) så samlas varje interaktion med den in. Detta gäller även alla de gånger den felaktigt reagerar på något ljud i ditt hem och spelar in något du faktiskt inte hade för avsikt att den skulle höra. Jag tänker inte gå in mer i detalj på detta - det låter creepy, men för mig som är säkerhetsnörd är metadata och fingeravtryck betydligt mer anmärkningsvärt eftersom det faktiskt går att använda på uppskalad och automatiserad nivå till att utnyttja folk.

• Människor du kommunicerar eller delar innehåll med

Metadata som sociala grafer (vem pratar med vem) låter oskyldigt och opersonligt, men är raka motsatsen. Vem du umgås med innebär att information om dem by proxy kan säga saker om dig. Betänk också att det är den här typen av data som ofta kan tala om vem som är med i ett kriminellt nätverk eller terroristnätverk - men tro inte att den säger mindre om den som är med i andra sammanhang. Om du exempelvis har regelbunden kontakt med 4 personer i ett nätverk för folk som brottas med beroende, kan det säga något om dig? Om du kontaktar en läkare på en klinik för könssjukdomar - är det oskyldig information att samla in, eller säger det något om dig som du helst skulle förbli dolt? Sociala grafer är inte oskyldig information.

• Aktiviteter på webbplatser och appar från tredjepart som använder våra tjänster

Kolla på integritetspolicyn hos någon sida eller app du nyligen använt. I princip oavsett vad det är för hemsida eller app (med väldigt få undantag) så samarbetar de antagligen med Google. Google har alltså information om nästan allt du gör på din smartphone eller på internet.

• Webbläsarhistorik från Chrome som du har synkroniserat med ditt Google-konto

Herregud, varför använder folk ens Chrome? Byt webbläsare för helvete.

Din plats kan fastställas med olika noggrannhet med hjälp av:

• GPS
• IP-adress
• Sensordata från din enhet
• Information om sådant som finns i närheten av enheten, såsom Wi-Fi-åtkomstpunkter, mobilmaster eller enheter med Bluetooth aktiverat

Det här är en av anledningarna till att jag inte vill äga en smartphone. Den noggrannhet som din position kan bestämmas med när man kombinerar de grejer som listas här är helt otrolig, särskilt i offentliga byggnader där många mobiler vistas, eftersom data från olika telefoner kan korreleras. Kort sagt: om du stannar framför ett skyltfönster i en publik Galleria i en storstad, och hade en Google-kopplad telefon i fickan, så vet Google om att det hände. Om du går in på ett kafé lite kort och ändrar dig innan du hinner beställa något, så vet Google om att det hände. Även i ditt privata rum kan dina rörelser spåras förvånansvärt noggrant, även om det inte sker med samma noggrannhet som i det offentliga rummet där triangulering mellan olika wifi-routrar, bluetooth-beacons, andra telefoner, med mera gör den potentiella noggranheten helt absurd. När du har en Google-kopplad smartphone i fickan (vilket gäller samtliga androidtelofoner som inte är flashade med alternativt operativsystem) så vet de exakt var du befinner dig i den fysiska världen, och potentiellt vilka du är där tillsammans med, 24/7.

Jag hoppas att det här har varit lite av en ögonöppnare för många om vad de faktiskt godkänner när de använder Googletjänster. Kontentan jag vill att du ska ta med dig är följande:

• det är nästan omöjligt att göra något på en tjänst kopplad till Google utan att det kan kopplas unikt till just dig.
• väldigt många hemsidor(t o m välgörenhetssidor, nyhetssidor, med mera) och appar samarbetar med Google, och ger dem således information om din aktivitet, så den information Google samlar in om onlineaktivitet omfattar en förvånansvärd merpart av allt alla gör.
• av det du gör i en Google-tjänst samlas det mesta in, oavsett om det handlar om filer, mailinnehåll, vem du kommunicerar med, hur du reagerar på annonser, etc.
• väldigt lite av det Google samlar in hade faktiskt behövt samlas in - de gör det för att de vill, inte för att det är svårt att undvika.
• om du har en smartphone kopplad till Google (vilket gäller alla androidtelefoner) så är det nästan omöjligt att göra något alls i den fysiska världen utan att det registreras av Google

Mitt syfte är inte att du idag ska kasta din androidtelefon i sjön, eller radera ditt Google-konto, utan helt enkelt att väcka ditt intresse för hur integritetssituationen idag faktist ser ut - många tenderar nämligen ofta att argumentera för att göra situationen ännu mer invasiv både på politisk nivå och på konsumentnivå, och jag tycker det saknas kunskap bland folk om hur långt vi redan har gått. Det är i Sverige knappt möjligt att fisa utan att det finns ett permanent bevis på att så skett idag, och det handlar alltid om att vanligt folk ska bli transparent gentemot företag och myndigheter - aldrig om att företag och myndigheter ska bli mer transparenta gentemot oss.