Per settimane, un piccolo team di ricercatori e sviluppatori di sicurezza ha dato gli ultimi ritocchi a una nuova app per la privacy, che secondo il suo fondatore può annullare alcune delle minacce nascoste che gli utenti di dispositivi mobili devono affrontare, spesso senza rendersene conto.
I telefoni tracciano la tua posizione, le app sifonano i nostri dati e annunci aggressivi cercano di attirare la tua attenzione. Il tuo telefono è stato a lungo un faro di dati, trasmesso a reti pubblicitarie e tracker di dati, cercando di creare profili su di te ovunque tu vada per venderti cose che non vorresti mai.
Will Strafach lo sa fin troppo bene. Un ricercatore di sicurezza ed ex jailbreaker di iPhone, Strafach ha spostato il suo tempo a scavare nelle app per comportamenti insicuri, sospetti e non etici. L'anno scorso ha scoperto che AccuWeather inviava segretamente dati sulla posizione precisi senza il permesso dell'utente. E solo pochi mesi fa, ha rivelato una lista di dozzine di app che stavano sottragliando subdolamente i dati di tracciamento dei loro utenti alle aziende di monetizzazione dei dati senza il consenso esplicito dei loro utenti.
Ora il suo team - incluso il co-fondatore Joshua Hill e il chief operating officer Chirayu Patel - farà presto quei risultati nella sua nuova app "smart firewall", che secondo lui filtrerà e bloccherà il traffico che invade la privacy di un utente.
"Siamo in un" selvaggio west "della raccolta di dati", ha detto, "dove i dati stanno volando fuori dal tuo telefono sotto il radar - non perché la gente non si cura, ma non c'è una vera visibilità e la gente non sa che è accadendo ", mi ha detto in una telefonata della scorsa settimana.
Al centro, il Guardian Mobile Firewall - attualmente in versione beta chiusa - canalizza tutto il traffico Internet di iPhone o iPad attraverso un tunnel VPN (Virtual Private Network) crittografato ai server di Guardian, esternalizzando tutto il filtraggio e l'applicazione al cloud per aiutare ridurre i problemi di prestazioni sulla batteria del dispositivo. Significa che l'app Guardian può individuare immediatamente se un'altra app invia segretamente i dati di tracciamento di un dispositivo a un'azienda di tracciamento, avvisando l'utente o dando l'opzione di interromperlo. L'obiettivo non è quello di impedire a un'applicazione potenzialmente dubbia di funzionare correttamente, ma di fornire agli utenti la consapevolezza e la scelta su quali dati lasciano il loro dispositivo.
Strafach ha descritto l'app come "come un filtro di posta indesiderata per il tuo traffico web" e puoi vedere dalle schede dedicate dell'app quali dati vengono bloccati e perché. Una versione futura prevede di consentire agli utenti di modificare o bloccare la loro precisa geolocalizzazione dall'invio ad alcuni server. Strafach ha detto che in seguito l'app dirà a un utente quante volte un'app accede ai dati del dispositivo, come i loro elenchi di contatti.
Tuttavia, a differenza di altri bloccanti di annunci e tracker, l'app non utilizza elenchi di terze parti eccessivi che impediscono il corretto funzionamento delle app. Invece, prendendo un approccio collaudato dalla ricerca del team stesso. Il team esegue periodicamente la scansione di una serie di app nell'App Store per aiutare a identificare i problemi problematici e invasivi per la privacy che vengono forniti all'app per migliorare nel tempo. Se un'app è nota per avere problemi di sicurezza, l'app Guardian può avvisare un utente della minaccia. Il team prevede di continuare a costruire modelli di apprendimento automatico che consentano di identificare nuove minacce, tra cui i cosiddetti "annunci aggressivi", che dirottano il browser mobile e reindirizzano a pagine o app dannose.
Strafach ha affermato che l'app "sbaglierà sul lato dell'usabilità" avvisando prima gli utenti, con la possibilità di bloccarli. Un'opzione futura prevista consentirà agli utenti di accedere a un livello di privacy più elevato e più restrittivo - "Modalità di blocco" - che negherà il traffico errato per impostazione predefinita fino all'intervento dell'utente.
Ciò che distingue l'app Guardian dai suoi concorrenti lontani è la sua raccolta anti-dati.
Ogni volta che utilizzi una VPN, per eludere la censura, i blocchi del sito o la sorveglianza, devi fidarti maggiormente del server VPN per mantenere tutto il tuo traffico Internet al sicuro rispetto al tuo provider Internet o al tuo gestore di telefonia mobile. Strafach ha detto che né lui né il team vogliono sapere chi usa l'app. Meno dati hanno, meno sanno, e più sicuri e privati sono i loro utenti.
"Non vogliamo raccogliere dati di cui non abbiamo bisogno", ha affermato Strafach. "Consideriamo i dati una responsabilità. La nostra regola è raccogliere il meno possibile. Non utilizziamo nemmeno Google Analytics o alcun tipo di tracciamento nell'app - o persino sul nostro sito, per principio ".
L'app funziona generando un set casuale di credenziali VPN per connettersi al cloud. La connessione utilizza IPSec (IKEv2) con una potente suite di crittografia, ha affermato. In altre parole, l'app Guardian non è una raccapricciante app VPN come l'Onavo di Facebook, che Apple ha prelevato dall'App Store per raccogliere dati che non avrebbe dovuto essere. "Sul lato server, vedremo solo un identificatore di dispositivo casuale, perché non abbiamo conti in modo da non poter essere attribuibili al tuo traffico", ha detto.
"Non vogliamo nemmeno dire 'puoi fidarti di noi per non fare nulla', perché non vogliamo essere in una posizione di cui ci si debba fidare", ha detto. "Vogliamo davvero gestire i nostri affari alla vecchia maniera. Vogliamo che le persone paghino per il nostro prodotto e forniamo loro un servizio, e noi non vogliamo i loro dati o non li inviamo al marketing ".
"È una linea molto dura", ha detto. "Avremmo chiuso prima ancora di dover affrontare questo tipo di decisione. Andrebbe contro i nostri principi fondamentali ".
Ho usato l'app per la scorsa settimana. È sorprendentemente facile da usare. Per un utente semi-avanzato, può sembrare innaturale capovolgere un interruttore virtuale sulla schermata principale dell'app e consentirgli di seguire il suo corso. Chiunque si preoccupi della loro sicurezza e privacy è spesso sempre consapevole del proprio "opsec" - una mossa sbagliata e può far esplodere il tuo scudo di anonimato. Nel complesso, l'app funziona bene. Non è intrusivo, non interferisce, ma con l'icona "VPN" illuminata nella parte superiore dello schermo, c'è un promemoria costante che l'app funziona in background.
È impressionante il modo in cui il team ha mantenuto la privacy e l'anonimato così in primo piano durante il processo di progettazione dell'app, fino a consentire agli utenti di pagare con Apple Pay e attraverso acquisti in-app in modo che non vengano mai scambiate informazioni di fatturazione.
L'app non sembra rallentare la connessione durante la navigazione sul Web o lo scorrimento di Twitter o Facebook, né su LTE né su una rete Wi-Fi. Anche lo streaming di video live di media qualità non ha causato alcun problema. Ma è ancora presto, e anche se la versione beta chiusa conta poche centinaia di utenti - me compreso - come con qualsiasi servizio cloud ad alta intensità di banda, la qualità potrebbe variare nel tempo. Strafach ha affermato che l'infrastruttura di back-end è scalabile e può essere plug-and-play con quasi tutti i servizi cloud in caso di interruzioni.
Nel suo stato di pre-lancio, la società è finanziariamente sana, segnando una serie di finanziamenti iniziali per sostenere il team, il lancio dell'app e il mantenimento dell'infrastruttura cloud. Steve Russell, un investitore esperto e membro del consiglio, ha detto di essere "impressionato" dalla visione e dalla tecnologia del team.
"Le soluzioni di qualità per la sicurezza mobile e la privacy sono disperatamente necessarie e Guardian si distingue sia per la sua unicità che per la sua efficacia", ha dichiarato Russell in una e-mail.
Ha aggiunto che la squadra è "di classe mondiale" e ha costruito un prodotto che è "fortemente necessario".
Strafach ha detto che il team sta funzionando economicamente in modo conservativo prima della sua rivelazione pubblica, ma che l'avvio sta cercando di innalzare una serie A per sostenere la sua crescita anticipata - ma anche la ricerca del team che alimenta l'app con nuovi dati. "C'è molto che vogliamo esaminare e vogliamo pubblicare più relazioni su diversi argomenti", ha detto.
Man mano che il team continua a trovare nuove minacce, migliore sarà l'app.
Il programma early adopter dell'app è aperto, incluse le opzioni premium. L'app è prevista per il lancio completo a dicembre.
