I piani operatore con Open Gateway sono un attacco alla tua privacy

Quali operatori utilizzeranno Open Gateway?

In questo momento ci sono più di 20 aziende che si trovano all'interno di Open Gateway, con la capacità di raggiungere più di 3.8 miliardi di persone. Attualmente ci sono otto API standardizzate sotto il Progetto “CAMARA”. che è apertamente disponibile su GitHub e dove possiamo vedere il codice sorgente di ciascuna di queste API e qual è il loro scopo. Operatori come Movistar, Orange e Vodafone sono presenti e stanno sviluppando le diverse API di questo progetto.

Questa nuova combinazione di tecnologie ed evoluzione degli operatori dovrebbe offrire servizi e soluzioni innovativi, con usi e applicazioni reali come l'automazione industriale, le auto autonome, gli ambulatori remoti e i giochi interattivi. Inoltre, hanno posto particolare enfasi sul miglioramento della gestione delle emergenze, delle comunicazioni olografiche e dei mondi virtuali. Il presidente di Telefónica, Álvarez-Pallete, ha dichiarato che questi servizi rappresenteranno “la sfida definitiva per le reti delle società di telecomunicazioni”, e che “senza telecomunicazioni non c'è futuro digitale”.

Un altro aspetto molto importante è che questo progetto è stato supportato da grandi aziende Internet come Amazon AWS, Google Cloud e anche Microsoft Azure, e cioè che attraverso queste piattaforme l'accesso è garantito a migliaia di sviluppatori in modo che abbiano accesso facile e veloce a tutte le funzionalità delle API.

Sembra tutto molto bello e molto futuristico, tuttavia, Open Gateway è in conflitto diretto con la tua privacy come utente di Internet e potrebbe anche attaccare la neutralità della rete . Dobbiamo tenere presente che tutte le aziende che pagano gli operatori per accedere alle API avranno accesso a molti dati dei clienti degli operatori e ciò rappresenta un serio rischio per la nostra privacy.

Questo è il modo in cui Open Gateway attaccherà la tua privacy su Internet

Questo progetto ha attualmente più di 10 diverse API focalizzate sullo svolgimento di diverse azioni, alcune delle quali minacciano direttamente la tua privacy e consentiranno di tracciare completamente applicazioni, aziende e persino operatori in tempo reale (anche di più se possibile). Successivamente, spiegheremo quali sono le API più "pericolose" per la tua privacy.

Identificatore dell'abbonato anonimo

Questa API consente all'azienda che vi ha accesso di ottenere un file identità fissa anonimizzata di un cliente finale chi utilizza un determinato dispositivo mobile, inoltre, un aspetto molto importante è che avremo la stessa identità, indipendentemente dal fatto che cambiamo cellulare o scheda SIM. Ogni volta che un cliente finale tenta di accedere ai servizi Internet, avremo un'identità fissa a cui "associarci".

In questo momento l'ambito di questa API è limitato solo a 4G e 5G reti , tuttavia, nella documentazione ufficiale indicano che questa è solo la prima fase, quindi presumiamo che presto sarà disponibile anche nelle reti Internet fisse come la fibra ottica .

• In che modo questo ti influenza? Se fino ad ora, con cookie e supercookie, eravamo già abbastanza monitorati ed era difficile mantenere la nostra privacy, con questo non solo gli operatori sapranno tutto di noi, ma commercializzeranno queste informazioni, visto che le aziende pagheranno per accedere a questa API.
• Perché l'operatore è interessato a farlo? Per fare soldi scambiando i nostri dati, le aziende pagheranno per l'accesso all'API e quindi avranno accesso a tutti i nostri dati.

Gli operatori hanno recentemente lanciato TrustPid , che è un "supercookie" a livello di operatore, con l'obiettivo di tracciarci, poiché questo nuovo metodo è sostanzialmente lo stesso, ma con l'obiettivo che altre società possano accedere ai dati dei clienti per offrire loro pubblicità o qualche servizio.

Gestione dell'identità e del consenso

Questa API è responsabile di disciplinare la privacy dell'utente , le piattaforme degli operatori (Network NetPoulSafe as a Service) deve essere costruito con l'attenzione alla privacy per rispettare pienamente le normative sulla protezione dei dati, come il GDPR d'Europa . Grazie al GDPR, alcune API del progetto CAMARA richiederanno il consenso dell'utente per accedere ai dati. Pertanto, costringerà gli operatori a fornire mezzi e soluzioni per acquisire dati dai propri clienti, archiviare questi dati e gestire il consenso durante l'intero ciclo di vita.

Se ciò non è previsto, le API CAMARA non potranno essere implementate, poiché dovranno essere conformi al GDPR dell'Europa. Gli operatori dovranno costruire una soluzione per incorporare l'identità dell'utente finale e/o dell'abbonato al servizio, poiché entrambi potrebbero essere diversi, lo stesso titolare potrebbe avere numeri diversi utilizzati da persone diverse.

• In che modo questo ti influenza? Ciò che questa API farà è “garantire” la tua privacy, chiedendo il tuo permesso nei casi in cui la normativa vigente lo richieda.

Ora sarà più importante che mai leggere tutte le condizioni e i termini, sarà qualcosa di simile al "banner" dei cookie che abbiamo attualmente su tutti i siti web.

Posizione del dispositivo

Questa API fornisce all'azienda che contrae il servizio la possibilità di verificare la posizione del dispositivo. In una prima fase, è previsto solo per le reti 4G e 5G, come spiegato nella documentazione ufficiale, tuttavia, presumibilmente, seguiranno successivamente le reti fisse in fibra ottica. Nello specifico, ciò che fa è controllare se la posizione di un dispositivo si trova all'interno di un'area specificata dalle coordinate (latitudine e longitudine) fornite dal GPS se abilitato.

Attualmente questa API fornisce solo la verifica della posizione finale, per fare ciò il dispositivo mobile dovrà passare informazioni come il “ueld” che è sostanzialmente un identificatore esterno come l'indirizzo msisdn, IPv4 o IPv6, inoltre fornire la latitudine e la longitudine, nonché un valore previsto compreso tra 2 km e 200 km circa. Il cliente chiederà se la posizione del dispositivo è all'interno di questo "cerchio" creato, il motivo per avere un raggio compreso tra 2 km e 200 km è che, triangolando attraverso le antenne, abbiamo un raggio così ampio.

• In che modo questo ti influenza? In questo momento esistono metodi per falsificare la posizione fornita dal GPS, ad esempio possiamo indicare che siamo in Galizia quando siamo veramente a Madrid e le applicazioni crederanno che siamo in Galizia. Tuttavia, con questa API questo non sarà più possibile, perché l'operatore ci localizzerà in antenne mobili specifiche e i dati non corrisponderanno, quindi non saremo in grado di falsificare la posizione.
• Perché l'operatore è interessato a farlo? Se l'operatore vende la nostra posizione reale a diverse applicazioni, come le applicazioni di appuntamenti di tipo Tinder, saranno in grado di confermare che ci troviamo effettivamente nell'area in cui diciamo di essere. Attualmente esistono applicazioni che consentono di falsificare la posizione GPS.

Come puoi vedere, con questa API saranno in grado di localizzarci fisicamente ovunque e non ci sarà modo di impedirlo.

Identificatore dispositivo

Questa API offre la possibilità di ottenere l'identità del dispositivo finale che il client sta utilizzando, in pratica si tratta di ottenere il codice IMEI del terminale e di conoscere sia la marca che il modello del terminale. Questo è già fatto attualmente perché parte del codice IMEI identifica il marchio del produttore, questa non è una novità, ma è vero che ora le aziende esterne potranno accedere alle informazioni su cos'è il nostro cellulare, per inviarci pubblicità per i loro nuovi terminali o la competenza.

Questa API, se è correlata al file API AnonymizedSubscriberIdentifier , è la combinazione perfetta per sapere tutto di noi, compreso quale cellulare utilizziamo, ed estrapolare il potere d'acquisto dei clienti.

• In che modo questo ti influenza? Di per sé interessa solo che possano conoscere la marca e il modello del terminale mobile, cosa che è già nota perché lo dice l'IMEI. Il problema arriva se lo combinano con altre API e più informazioni, potrebbero sapere ancora di più su di noi. Se hai un iPhone, si può estrapolare che hai un alto potere d'acquisto e che puoi inviarti pubblicità per prodotti premium.
• Perché l'operatore è interessato a farlo? Se l'operatore vende la nostra posizione reale a diverse applicazioni, come le applicazioni di appuntamenti di tipo Tinder, saranno in grado di confermare che ci troviamo effettivamente nell'area in cui diciamo di essere. Attualmente esistono applicazioni che consentono di falsificare la posizione GPS.

Come puoi vedere, un'API in più per la raccolta dei dati e la sua vendita a chiunque voglia entrare in Open Gateway.

NumeroVerifica

Questa API ha lo scopo di verificare che il numero di telefono fornito sia quello effettivamente utilizzato sul dispositivo. In questo modo si verifica che l'utente stia utilizzando lo stesso numero di telefono dichiarato sul dispositivo. Naturalmente, consente a un fornitore di servizi di verificare il numero stesso, restituendo il numero di telefono associato a un token di accesso dell'utente autenticato.

Questa API ti consente di controllare in tempo reale il numero di telefono che viene utilizzato su un cellulare, questo è focalizzato esclusivamente sulle reti 4G e 5G, poiché le connessioni Wi-Fi saranno al di fuori di questa API. Ha due metodi per controllare il telefono, il primo è ottenere il risultato del confronto e il più preoccupante è che il cliente possa inviare il numero di telefono del dispositivo che utilizza, in modo che possa verificarlo da solo.

Un'altra caratteristica importante è che questa API utilizzerà direttamente le connessioni di rete mobile per verificare in background il possesso del numero di telefono , non è nemmeno richiesta alcuna interazione da parte dell'utente. Non ci sono password monouso ricevute tramite SMS o utilizzando app di autenticazione come Google Authenticator, è molto più semplice e trasparente. Questa API può essere utilizzata per registrarsi al servizio e anche per verificare successivamente che non abbiamo cambiato il nostro cellulare.

• In che modo questo ti influenza? Un'applicazione di terze parti può ricevere direttamente il tuo numero di cellulare, niente da autenticare tramite l'SMS ricevuto (indipendentemente dal numero di cellulare che hai indicato), ora le aziende riceveranno direttamente il tuo numero di telefono reale che stai utilizzando.
• Perché l'operatore è interessato a farlo? L'operatore può vendere il servizio di verifica del cellulare ad un'azienda esterna, non sarà più nemmeno necessario mettere il nostro cellulare e convalidarlo con un codice tramite SMS, ma l'azienda potrebbe ricevere direttamente il nostro numero di cellulare.

Immagina di voler mantenere segreto il tuo numero di cellulare "buono" per servizi come Twitter or Facebooke usa il tuo buon numero solo per operazioni bancarie e cose personali . Ora non sarai in grado di inserire il numero della tua linea secondaria per convalidare il codice con il messaggio SMS ricevuto o utilizzare i servizi di ricezione dei messaggi SMS su Internet. Direttamente le aziende sapranno si o si il tuo numero di cellulare.

Questo servizio non funzionerà se facciamo Tethering, se siamo su reti Wi-Fi o utilizziamo VPN connessioni.

CarrierBillingCheckOut

Questa API consente di fornire alle aziende un modo per pagare i propri servizi attraverso la bolletta del cliente dall'operatore di telecomunicazioni. Attualmente ci sono diversi servizi che possono essere pagati tramite la fattura dell'operatore, questo è un ulteriore passo in quanto chiunque abbia accesso a Open Gateway potrà addebitare gli acquisti effettuati o abbonarsi a contenuti digitali direttamente sulla fattura.

La parte positiva è che avremo un modo facile e veloce per pagare, direttamente in fattura. La parte negativa è che in passato ci sono stati molti problemi con gli abbonamenti che non sono stati effettivamente effettuati dai clienti, per errore o per ignoranza, quindi questo dovrebbe essere esaminato con molta attenzione d'ora in poi, perché molte più aziende potrebbero aderiscono a questa API per vendere i propri servizi attraverso la fattura dell'operatore.

Questa API non ci sembra male per chi vuole pagare i servizi tramite la bolletta della compagnia di telecomunicazioni, ma a patto che esista un metodo di disiscrizione efficiente e semplice.

Neutralità della rete sotto controllo

Esistono alcune API Open Gateway che si concentrano specificamente sulla priorità di alcuni servizi rispetto ad altri su Internet, quando si suppone che ci sia una certa "neutralità della rete". Ciò si scontra frontalmente con questo principio, poiché le aziende che pagano avranno una migliore connettività, e quelle che non lo fanno, funzioneranno semplicemente peggio perché quelle che hanno pagato si sono "rioccupate" di tutta la larghezza di banda disponibile.

Qualità su richiesta

Questa API consente alle aziende di richiedere una latenza stabile o un throughput minimo in termini di velocità, il tutto gestito dalle reti di telecomunicazioni, senza la necessità di una conoscenza avanzata dei sistemi 4G o 5G o della complessità globale dei sistemi. sistemi di telecomunicazione. In questo modo, se un'azienda come an IoT industria, giochi di realtà virtuale o trasmissione video in tempo reale, necessitano di una serie di requisiti specifici, possono “configurare” la rete per garantire la minima latenza e la minima velocità affinché questi servizi funzionino perfettamente.

Ciò che farà questa API è dare la priorità ai dati delle aziende che pagano per accedere a Open Gateway, il resto delle aziende che non pagano avranno quello che è noto come Best effort o “best effort”, senza garanzie di latenza o velocità minime.

• In che modo questo ti influenza? La neutralità della rete è sotto controllo, è possibile che utilizzi determinati servizi che funzioneranno molto male perché altre società stanno pagando per avere la massima priorità. Immagina di andare in macchina e di pagare il DGT per poter sorpassare a destra e sinistra alla velocità che desideri, e, in più, ti forniscono una sirena in macchina per saltare i semafori. Arriva un momento in cui, se molte aziende lo fanno, dovrai necessariamente rallentare, non puoi dare la massima priorità a tutti. Quando un servizio ha la priorità, avrà sempre un impatto su altri che non hanno la priorità.
• Perché l'operatore è interessato a farlo? L'operatore riceverà un reddito per dare la priorità al traffico delle aziende che pagano. Le aziende vedranno la latenza ridotta e la velocità garantita. Chi desidera una connessione perfettamente funzionante dovrà passare dalla “scatola” dell'operatore.

Il problema principale è che ci sarà un Internet di livello 1 e un Internet di livello 3. Mentre chi paga avrà latenza e velocità garantite, chi non lo fa avrà il massimo sforzo senza garanzie di nulla. In pratica potremmo vedere che certi servizi funzioneranno peggio (quelli che non pagano).

API che riteniamo utili

Ci sono alcune API Open Gateway che consideriamo interessanti e utili per migliorare la sicurezza degli utenti o la loro connettività. Spiegheremo cosa sono e cosa fanno esattamente di seguito.

Stato del dispositivo

Questa API è la meno "pericolosa" in termini di privacy, in pratica quello che fa è dire all'azienda o al cliente che contrae Open Gateway, se il dispositivo finale ha perso la connessione alla rete, si è riconnesso e anche se siamo in roaming. In questo momento, questa API sarà disponibile solo per le reti 4G e 5G, che è dove ha senso, dopotutto, anche se potrebbero aggiungere più funzionalità in futuro per le reti fisse.

Questo non intacca troppo la privacy, perché attualmente gli operatori sanno già se un cliente è in roaming, si è disconnesso dalla rete o si è riconnesso. Inoltre, riteniamo che sia una cosa positiva perché consentirà loro di rilevare possibili problemi a livello di rete in determinate località. Supportiamo l'uso di questa API con l'obiettivo di migliorare le reti, perché quando rileva una caduta, è possibile sapere esattamente qual è l'ultima torre cellulare che è stata utilizzata.

API di convalida OTP

Questa API può essere utilizzata per inviare password monouso (OTP) di breve durata a un numero di telefono tramite SMS e convalidarle automaticamente per fornire la prova del possesso del numero di telefono. Un'altra caratteristica importante è che può eseguire controlli in tempo reale per verificare che l'utente che possedeva il dispositivo abbia il numero di cellulare indicato. Ciò consente di fornire un OTP frequente per aggiungere un livello di sicurezza a diversi servizi.

Nella documentazione ufficiale, si afferma che le password monouso tramite SMS sono un metodo sicuro per fornire l'accesso a un'applicazione o condurre una transazione. Tuttavia, con il minaccia di Sim Swapping crediamo che questo non sia il massimo , infatti, per motivi di sicurezza, è la cosa migliore utilizzare un'applicazione di autenticazione locale e persino un'applicazione del servizio stesso . Ad esempio, la banca Caixabank non invia mai messaggi SMS, ma tutto viene fatto tramite la sua applicazione Caixabank Sign con la nostra password o impronta digitale.

Questo tipo di autenticazione esiste già, ma ora i produttori avranno accesso "nativo" per autenticare i clienti. A nostro avviso, questo al momento non porta nulla di nuovo, perché gli SMS attuali fanno già lo stesso, anche se è possibile che non dovremo più inserire il codice, ma lo farà automaticamente.

SimSwap

Questa API è la più interessante in assoluto per affrontare il SIM Swapping, uno dei principali attacchi agli utenti per rubare le proprie password via SMS (come consigliato dalla precedente API), e accedere a servizi bancari o online con autenticazione a due fattori. questo tipo. Come abbiamo spiegato in precedenza, utilizzare un metodo di verifica in due passaggi tramite SMS non è affatto sicuro, ma questa API chiamata SimSwap potrebbe migliorare la sicurezza.

Lo scopo di questa API è quello di richiedere l'ultima data di cambio SIM effettuato sulla linea mobile, oppure di verificare se è stato precedentemente effettuato un cambio SIM in un periodo precedente. Ciò consente la verifica in tempo reale della data di attivazione di una nuova SIM per un determinato numero. Questa funzione consente la prevenzione delle frodi e riduce notevolmente il rischio di frode.

Caso d'uso pratico:

Immaginiamo che una banca come BBVA (che invia messaggi SMS per determinate cose) acquisti l'accesso a questa API SimSwap, prima di inviare un messaggio SMS a un telefono per verificarne l'identità, può verificare se c'è stato un cambio SIM e decidere di non inviare alcun codice SMS. Esempio di utilizzo:

• Se c'è stato un cambio SIM nell'ultima settimana: non invia alcun codice SMS e invia un errore tramite l'applicazione o l'online banking.
• Se non c'è stato cambio SIM da 1 anno o più: invia il codice SMS perché hai verificato che il telefono (con grande certezza) appartiene al cliente, e che non ha effettuato un attacco SimSwap su di esso.

Sebbene questa API sia davvero interessante e migliori la sicurezza contro queste truffe, SimSwap è qualcosa che gli operatori devono controllare molto bene in modo che nessuno possa cambiare la carta SIM di un cliente e causare un buco nel suo conto bancario.

HomeDispositiviQoD

Questa API è simile a QualityOnDemand, ma è focalizzata sulle reti domestiche fisse in fibra ottica. Ciò consente di implementare politiche di gestione del traffico in aggiunta ai servizi di connettività Internet dell'operatore. L'API sarà in grado di configurare il router con il protocollo DSCP per dare la priorità a un determinato traffico di rete scaricato all'interno della rete domestica dell'utente per un determinato dispositivo domestico. Un aspetto molto importante è che il DSCP dà la priorità solo al traffico all'interno della rete, non nella rete dell'operatore, inoltre, è solo in grado di dare la priorità al download dei dati (dal router al client), solo il profilo di traffico si applica ai dispositivi domestici collegati da WiFi.

In pratica è come avere una QoS configurata sul router, ma configurata dall'applicazione o dal servizio che utilizzeremo. Possiamo vedere che questo servizio, come una videochiamata, funziona molto meglio e in modo più fluido perché ha configurato la QoS del nostro router in modo automatico e completamente trasparente.

• In che modo questo ti influenza? Questo ha i suoi punti forti e i suoi punti deboli. La parte positiva è che avremo una migliore esperienza utente durante le videochiamate o giocando online, a condizione che l'azienda paghi per l'accesso a Open Gateway. La parte negativa è che se stiamo utilizzando più servizi contemporaneamente, quando abbiamo "alta priorità" su molti dispositivi, ciò significa che continueranno ad avere tutti la stessa priorità perché non possono essere prioritizzati contemporaneamente.
• Perché l'operatore è interessato a farlo? L'operatore riceverà entrate per consentire all'azienda di configurare la QoS del router utilizzato dal cliente, e tutto questo in modo trasparente per l'utente.

Logicamente, se cambi router dell'operatore e ne acquisti uno tu stesso, non avrai questa funzionalità, sia nel bene che nel male. Ciò che questa API consente è migliorare la QoE (qualità dell'esperienza) dell'utente per quei servizi che lo richiedono, come le chiamate VoIP o le videochiamate tra gli altri usi.

EdgeCloud

Questa API consente di fornire il bordo router più vicino al dispositivo da cui è stata effettuata la richiesta, con l'obiettivo di ottimizzare il più possibile il percorso dall'origine alla destinazione. Questo permetterà di sapere quale piattaforma MEC è più vicina al client, in modo che abbia la minima latenza e la massima velocità possibile. Essendo fisicamente più vicini, la propagazione e la latenza di andata e ritorno dei dati vengono ridotte, causando una minore latenza e anche una maggiore velocità reale.

• In che modo questo ti influenza? L'applicazione o il servizio che utilizzi funzionerà meglio per te, con una latenza inferiore e una velocità maggiore perché ti connetterai direttamente al server più vicino e non dovrai connetterti a un server distante.
• Perché l'operatore è interessato a farlo? L'operatore riceverà entrate per fornire informazioni sul server più vicino per una determinata applicazione. Tuttavia, questo è qualcosa che viene già fatto oggi tramite protocolli di routing dinamico del gateway esterno come BGP, se BGP è ben configurato, verranno sempre forniti percorsi ottimali. Questo sembra fare un ulteriore passo avanti per migliorare l'esperienza dell'utente finale, poiché entrerà in gioco la geolocalizzazione e terrà conto del routing interno dell'AS degli operatori (che di solito utilizzano IS-IS o OSPF).

Riteniamo che questa API sia piuttosto interessante per fornire un servizio migliore e più veloce, ma che gli operatori debbano pagare per avere questi miglioramenti, crediamo che potrebbero farlo di default, perché questo migliorerà anche l'efficienza delle loro reti ed eviterà che certi nodi collassino perché tutto il traffico li attraversa, è vantaggioso per tutti, tuttavia, non ci sembra male che vogliano guadagnare di più fornendo "instradamento premium" a chi vuole pagarlo, ma purché non danneggino gli altri che non pagano

Conclusioni

Come abbiamo visto prima, ci sono API che lo sono specificamente incentrato sulla violazione della privacy degli utenti , raccogliendo ancora più dati di quelli già raccolti e scambiando i dati per venderli a chi paga per accedere a Open Gateway. Riteniamo che questa nuova tecnologia possa essere molto pericolosa per la privacy degli utenti, perché non potrai nemmeno sbarazzartene tutte utilizzando le reti VPN per mascherare il traffico, dato che sarà fatto nativamente sul tuo smartphone attraverso il antenne degli operatori .

Altre API sono specificamente progettate per migliorare l'esperienza dell'utente finale , Ma l' problema è che la neutralità della rete potrebbe risentirne notevolmente . Se aziende e marchi pagano per avere la massima priorità, cosa succederà a quelli che non pagano? In qualsiasi QoS, se ciò che viene fatto è dare la priorità all'80% del traffico (quelli che pagano), per cominciare quel traffico non sarà una priorità e quasi eguaglieremo la priorità se non applichiamo QoS ad esso, e il restante 20% potrebbe vedere aumentare la latenza della connessione e anche la velocità sarà nettamente inferiore. Ci sono alcuni API che consideriamo interessanti a questo proposito , come quello per HomeDispositiviQoD per attivare il QoS del router locale e fornire ottime prestazioni tramite WiFi, e vediamo anche quello per EdgeCloud abbastanza bene, ma fintanto che l'instradamento delle connessioni non ne risente. aziende che non pagheranno.

Infine ci sono delle API molto interessanti come SimSwap per prevenire le frodi, senza dubbio questa è la nostra preferita tra tutte, perché permetterà alle banche di verificare se c'è stato un cambio SIM recente, così da non inviare il codice OTP via SMS e inviare un avviso di avviso.