Os planos da operadora com Open Gateway são um ataque à sua privacidade

A GSMA no MWC 2023 que está sendo realizado na cidade de Barcelona, ​​tornou pública uma iniciativa que permitirá que APIs abertas e padronizadas sejam compartilhadas e federadas, com o objetivo de “fornecer acesso interoperável às redes das operadoras para desenvolvedores e empresas ». Como eles indicam, “este projeto será um catalisador para todos esses serviços avançados para desenvolver seu potencial .” Na verdade, o que eles pretendem fazer é obter informações sobre a linha utilizada pelo usuário, informações sobre o próprio usuário e modificar o acesso à Internet se você pagar pelo acesso à API. Em outras palavras, os planos Open Gateway vai colidir frontalmente com a nossa privacidade na Internet e com o suposta neutralidade da rede.

Quais operadoras usarão o Open Gateway?

Os planos da operadora com Open Gateway são um ataque à sua privacidade

Neste momento são mais de 20 empresas que estão dentro do Open Gateway, com capacidade para atingir mais de 3.8 bilhões de pessoas. Existem atualmente oito APIs padronizadas sob o Projeto “CÂMARA” que está disponível abertamente no GitHub, e onde podemos ver o código-fonte de cada uma dessas APIs e qual é a finalidade delas. Operadores como Movistar, Orange e Vodafone estão presentes e desenvolvendo as diferentes APIs deste projeto.

Esta nova combinação de tecnologias e evolução das operadoras deve oferecer serviços e soluções inovadoras, com usos e aplicações reais, como automação industrial, carros autônomos, cirurgias remotas e jogos interativos. Além disso, eles também colocaram ênfase especial na melhoria do gerenciamento de emergência, comunicações holográficas e mundos virtuais. O presidente da Telefónica, Álvarez-Pallete, declarou que estes serviços representarão “o desafio definitivo para as redes das empresas de telecomunicações” e que “sem telcos não há futuro digital”.

Outro aspecto muito importante é que este projeto tem o apoio de grandes empresas de Internet como Amazon AWS, Google Na nuvem e também Microsoft Azure, e é que através destas plataformas o acesso é garantido a milhares de programadores para que tenham acesso fácil e rápido a todas as funcionalidades da API.

Isso tudo soa muito legal e muito futurista, no entanto, O Open Gateway está em conflito direto com sua privacidade como usuário da Internet e também poderia atacar a neutralidade da rede . Devemos ter em mente que todas as empresas que pagam operadoras para acessar as APIs terão acesso a muitos dados dos clientes das operadoras, e isso representa um sério risco à nossa privacidade.

É assim que o Open Gateway vai atacar a sua privacidade na Internet

Atualmente, este projeto conta com mais de 10 APIs diferentes que estão focadas em realizar diferentes ações, algumas das quais ameaçam diretamente sua privacidade e permitirão que aplicativos, empresas e até operadores sejam totalmente rastreados em tempo real (ainda mais se possível). A seguir, explicaremos quais são as APIs mais “perigosas” para sua privacidade.

Identificador de assinante anônimo

Esta API permite que a empresa que tenha acesso a ela, obtenha uma identidade fixa anonimizada de um cliente final quem usa um determinado dispositivo móvel, além disso, um aspecto muito importante é que teremos a mesma identidade, independentemente de trocarmos de celular ou cartão SIM. Sempre que um cliente final tentar acessar serviços de Internet, teremos uma identidade fixa para “associar”.

No momento, o escopo desta API é limitado apenas a 4G e 5G redes , no entanto, na documentação oficial, eles indicam que esta é apenas a primeira etapa, então assumimos que em breve também estará disponível em redes fixas de Internet, como fibra óptica .

  • Como isso afeta você? Se até agora, com cookies e supercookies, já estávamos sendo bastante monitorados e era difícil manter nossa privacidade, com isso, não só as operadoras saberão tudo sobre nós, como comercializarão essa informação, já que as empresas pagarão para acessar esta API.
  • Por que a operadora está interessada em fazer isso? Para ganhar dinheiro negociando nossos dados, as empresas pagarão pelo acesso à API e terão acesso a todos os nossos dados.

As operadoras lançaram recentemente TrustPid , que é um “supercookie” no nível da operadora, com o objetivo de nos rastrear, pois esse novo método é basicamente o mesmo, mas com o objetivo de que outras empresas possam acessar os dados do cliente para oferecer publicidade ou algum serviço.

Como espiar o Chrome com extensões

Gerenciamento de identidade e consentimento

Esta API é responsável por regulando a privacidade do usuário , as plataformas das operadoras (Network as a Service) deve ser construído com foco na privacidade para cumprir integralmente os regulamentos de proteção de dados, como o RGPD da Europa . Graças ao GDPR, algumas APIs do projeto CAMARA exigirão o consentimento do usuário para acessar os dados. Assim, obrigará os operadores a disponibilizar meios e soluções para captar dados dos seus clientes, armazenar esses dados e gerir o consentimento ao longo de todo o ciclo de vida.

Se isso não for contemplado, as APIs da CAMARA não poderão ser implementadas, pois terão que cumprir o GDPR da Europa. As operadoras terão que construir uma solução que incorpore a identidade do usuário final e/ou assinante do serviço, já que ambos podem ser diferentes, um mesmo titular pode ter números diferentes usados ​​por pessoas diferentes.

  • Como isso afeta você? O que esta API vai fazer é “garantir” a sua privacidade, pedindo a sua autorização nos casos em que a legislação em vigor o exija.

Agora será mais importante do que nunca ler todas as condições e termos, será algo semelhante ao “banner” de cookies que temos atualmente em todos os sites.

Localização do dispositivo

Essa API oferece à empresa que contrata o serviço a possibilidade de verificar a localização do dispositivo. Numa primeira fase, está prevista apenas para redes 4G e 5G, conforme explicado na documentação oficial, no entanto, supostamente, seguir-se-ão posteriormente as redes fixas de fibra ótica. Especificamente, o que isso faz é verificar se a localização de um dispositivo está dentro de uma área especificada pelas coordenadas (latitude e longitude) fornecidas pelo GPS, se ativado.

Atualmente, esta API apenas fornece a verificação da localização final, para isso, o dispositivo móvel terá que passar informações como o “ueld” que é basicamente um identificador externo como o endereço msisdn, IPv4 ou IPv6, ele também fornecer a latitude e longitude, bem como um valor esperado entre 2 km e 200 km ao redor. O cliente vai perguntar se a localização do aparelho está dentro desse “círculo” criado, o motivo de ter um alcance entre 2km e 200km é que, triangulando pelas antenas, temos um alcance tão grande.

geofencing

  • Como isso afeta você? Neste momento existem métodos para falsificar a localização fornecida pelo GPS, por exemplo, podemos indicar que estamos na Galiza quando na realidade estamos em Madrid, e as aplicações acreditarão que estamos na Galiza. Porém, com esta API isso não será mais possível, pois a operadora irá nos localizar em antenas móveis específicas, e os dados não coincidirão, portanto, não poderemos falsificar a localização.
  • Por que a operadora está interessada em fazer isso? Se o operador vender nossa localização real para diferentes aplicativos, como aplicativos de namoro do tipo Tinder, eles poderão confirmar que realmente estamos localizados na área onde dizemos que estamos. Atualmente, existem aplicativos que permitem falsificar a posição do GPS.

Como você pode ver, com esta API eles poderão nos localizar fisicamente em qualquer lugar e não haverá como impedir.

Identificador de dispositivo

Esta API oferece a possibilidade de obter a identidade do dispositivo final que o cliente está usando, é basicamente obter o código IMEI do terminal e conhecer tanto a marca quanto o modelo do terminal. Isso já é feito atualmente porque parte do código IMEI identifica a marca do fabricante, isso não é novidade, mas é verdade que agora empresas externas poderão acessar informações sobre o que é nosso celular, para nos enviar publicidade de seus novos terminais ou a competência.

Esta API, se estiver relacionada com o API AnonymizedSubscriberIdentifier , é a combinação perfeita para saber tudo sobre nós, inclusive qual celular utilizamos, e extrapolar o poder de compra dos clientes.

  • Como isso afeta você? Por si só afeta que vão poder saber a marca e modelo do terminal móvel, algo que já se sabe porque o IMEI o diz. O problema surge se eles combinarem com outras APIs e mais informações, eles podem saber ainda mais sobre nós. Se você tem um iPhone, pode-se extrapolar que você tem um alto poder aquisitivo e pode enviar publicidade para produtos premium.
  • Por que a operadora está interessada em fazer isso? Se o operador vender nossa localização real para diferentes aplicativos, como aplicativos de namoro do tipo Tinder, eles poderão confirmar que realmente estamos localizados na área onde dizemos que estamos. Atualmente, existem aplicativos que permitem falsificar a posição do GPS.

Como podem ver, mais uma API para coleta de dados e sua venda para quem quiser entrar no Open Gateway.

Verificação de número

Esta API destina-se a verificar se o número de telefone fornecido é o realmente usado no dispositivo. Dessa forma, verifica-se que o usuário está utilizando o mesmo número de telefone declarado no dispositivo. Obviamente, permite que um provedor de serviços verifique o próprio número, retornando o número de telefone associado a um token de acesso do usuário autenticado.

Esta API permite que você verifique em tempo real o número de telefone que está sendo usado em um celular, isso é focado exclusivamente em redes 4G e 5G, pois as conexões Wi-Fi estarão fora desta API. Ele possui dois métodos para verificar o telefone, o primeiro é obtendo o resultado da comparação, e o mais preocupante é que o cliente pode enviar o número do telefone do dispositivo que ele usa, para que ele mesmo possa verificar.

Outra característica importante é que esta API usará conexões de rede móvel diretamente para verificar a posse do número de telefone em segundo plano , nenhuma interação do usuário é necessária. Não há senhas únicas recebidas por SMS ou usando aplicativos autenticadores como o Google Authenticator, é muito mais simples e transparente. Esta API pode ser usada para se registrar no serviço e também para verificar posteriormente se não trocamos de celular.

  • Como isso afeta você? Um aplicativo de terceiros pode receber seu número de celular diretamente, nada para autenticar pelo SMS recebido (independente do número de celular que você indicou), agora as empresas receberão diretamente seu número de telefone real que você está usando.
  • Por que a operadora está interessada em fazer isso? A operadora pode vender o serviço de verificação do telemóvel a uma empresa externa, já nem será necessário colocar o nosso telemóvel e validá-lo com um código por SMS, mas a empresa poderá receber directamente o nosso número de telemóvel.

Imagine que você deseja manter seu número de celular "bom" em segredo para serviços como Twitter or Facebook e use seu bom número apenas para transações bancárias e coisas pessoais . Agora você não poderá colocar o número da sua linha secundária para validar o código com a mensagem SMS recebida ou utilize os serviços de recepção de mensagens SMS na Internet. Diretamente as empresas saberão sim ou sim o seu número de celular.

Este serviço não funcionará se fizermos Tethering, se estivermos em redes Wi-Fi ou usarmos VPN conexões.

Faturamento da OperadoraCheck-out

Esta API permite disponibilizar às empresas uma forma de pagamento dos seus serviços através da fatura do cliente junto do operador de telecomunicações. Atualmente existem diferentes serviços que podem ser pagos através da fatura do operador, este é um passo mais à frente pois qualquer pessoa que tenha acesso ao Open Gateway poderá debitar as compras efetuadas ou subscrever conteúdos digitais diretamente na fatura.

A parte positiva é que teremos uma forma fácil e rápida de pagar, direto na fatura. A parte negativa é que no passado houve muitos problemas com assinaturas que realmente não foram feitas pelos clientes, seja por engano ou desconhecimento, então isso deve ser observado com muito cuidado daqui para frente, porque muito mais empresas o farão. aderir a esta API para vender seus serviços através da fatura da operadora.

Essa API não nos parece ruim para quem quer pagar os serviços por meio da fatura da empresa de telecomunicações, mas desde que exista algum método de cancelamento eficiente e fácil.

Neutralidade da rede em cheque

Existem algumas APIs Open Gateway que são especificamente focadas em priorizar alguns serviços sobre outros na Internet, quando deveria haver uma certa “neutralidade da rede”. Isso vai de encontro a esse princípio, já que as empresas que pagam terão melhor conectividade, e as que não pagam simplesmente vão trabalhar pior porque as que pagaram “assumiram” toda a largura de banda disponível.

Qualidade sob demanda

Esta API permite às empresas solicitar latência estável ou throughput mínimo em termos de velocidade, tudo gerenciado por redes de telecomunicações, sem a necessidade de conhecimentos avançados de sistemas 4G ou 5G, ou da complexidade global dos sistemas. sistemas de telecomunicações. Desta forma, se uma empresa como uma Internet das coisas indústria, jogos de realidade virtual ou transmissão de vídeo em tempo real, precisa de uma série de requisitos específicos, eles podem “configurar” a rede para garantir latência mínima e velocidade mínima para que esses serviços funcionem perfeitamente.

O que esta API vai fazer é priorizar os dados das empresas que pagam para acessar o Open Gateway, o restante das empresas que não pagam terão o que se chama de melhor esforço ou “melhor esforço”, sem garantias de latência ou velocidades mínimas.

  • Como isso afeta você? A neutralidade da rede está em cheque, é possível que você use determinados serviços que funcionem muito mal porque outras empresas estão pagando para ter prioridade máxima. Imagine que vai de carro e paga a DGT para poder ultrapassar à esquerda e à direita à velocidade que pretende, e, além disso, disponibilizam-lhe uma sirene no carro para saltar os semáforos. Chega uma hora que, se muitas empresas fizerem isso, você necessariamente vai ter que desacelerar, não dá para dar prioridade máxima a todos. Quando um serviço é priorizado, sempre terá impacto sobre outros que não são priorizados.
  • Por que a operadora está interessada em fazer isso? A operadora receberá receita por priorizar o tráfego das empresas que pagam. As empresas verão a latência reduzida e a velocidade garantida. Quem quiser uma conexão que funcione perfeitamente terá que passar pela “caixa” da operadora.

O principal problema com isso é que haverá uma internet de nível 1 e uma internet de nível 3. Enquanto quem paga terá latência e velocidade garantidas, quem não paga terá o melhor esforço sem garantia de nada. Na prática pudemos ver que certos serviços vão funcionar pior (aqueles que não pagam).

APIs que consideramos úteis

Existem algumas APIs Open Gateway que consideramos interessantes e úteis para melhorar a segurança do usuário ou sua conectividade. Explicaremos o que são e o que exatamente fazem a seguir.

Status do dispositivo

Essa API é a menos “perigosa” em termos de nossa privacidade, basicamente o que ela faz é avisar a empresa ou cliente que contrata o Open Gateway, se o dispositivo final perdeu a conexão com a rede, se reconectou e até se estamos em roaming. Neste momento, esta API estará disponível apenas para redes 4G e 5G, que é onde afinal faz sentido, embora possam adicionar mais funcionalidades no futuro para redes fixas.

Isso não afeta muito a privacidade, porque atualmente as operadoras já sabem se um cliente está em roaming, se desconectou da rede ou se conectou novamente. Além disso, acreditamos que seja positivo, pois permitirá detectar possíveis problemas no nível da rede em determinados locais. Apoiamos o uso desta API com o objetivo de melhorar as redes, pois ao detectar uma queda é possível saber exatamente qual foi a última torre de celular que foi utilizada.

API de validação OTP

Essa API pode ser usada para enviar senhas de uso único (OTPs) de curta duração para um número de telefone via SMS e validá-lo automaticamente, para fornecer prova de posse do número de telefone. Outra característica importante é que ele pode realizar verificações em tempo real para verificar se o usuário que possui o dispositivo possui o número de celular indicado. Isso permite fornecer um OTP frequente para adicionar uma camada de segurança a diferentes serviços.

Na documentação oficial, afirma-se que as senhas únicas via SMS são um método seguro de fornecer acesso a um aplicativo ou realizar uma transação. No entanto, com o ameaça de Sim Swapping acreditamos que isso não é o melhor , na verdade, por motivos de segurança, é melhor usar um aplicativo autenticador local e até mesmo um aplicativo do próprio serviço . Por exemplo, o banco Caixabank nunca envia mensagens SMS, mas tudo é feito através da sua aplicação Caixabank Sign com a nossa palavra-passe ou impressão digital.

Problema de Phishing por SMS

Esse tipo de autenticação já existe, mas agora os fabricantes terão acesso “nativo” para autenticar os clientes. Na nossa opinião, isso atualmente não traz nada de novo, porque os SMS atuais já fazem o mesmo, embora seja possível que não tenhamos mais que inserir o código, mas o fará automaticamente.

Troca Sim

Essa API é a mais interessante de todas para lidar com o SIM Swapping, um dos principais ataques aos usuários para roubar suas senhas por SMS (conforme recomendado pela API anterior), e acessar serviços bancários ou online com autenticação de dois fatores. esse tipo. Como explicamos antes, usar um método de verificação em duas etapas via SMS não é nada seguro, mas essa API chamada SimSwap pode melhorar a segurança.

O objetivo desta API é solicitar a última data de troca de SIM realizada na linha móvel, ou verificar se já foi realizada troca de SIM em período anterior. Isso permite a verificação em tempo real da data de ativação de um novo cartão SIM para um determinado número. Esse recurso permite a prevenção de fraudes e reduz consideravelmente o risco de fraude.

Tarjeta SIM clonada Caso de uso prático:

Imaginemos que um banco como o BBVA (que envia mensagens SMS para certas coisas) compre acesso a esta API SimSwap, antes de enviar uma mensagem SMS para um telefone para verificar sua identidade, ele pode verificar se houve uma mudança de SIM e decidir para não enviar nenhum código SMS. Exemplo de uso:

  • Se houve troca de SIM na última semana: não envia nenhum código SMS e envia erro pelo aplicativo ou banco online.
  • Se não houver troca de SIM há 1 ano ou mais: envie o código SMS porque você verificou que o telefone (com muita certeza) pertence ao cliente e que ele não fez um ataque SimSwap nele.

Embora essa API seja realmente interessante e melhore a segurança contra esses golpes, o SimSwap é algo que as operadoras devem controlar muito bem para que ninguém troque o cartão SIM de um cliente e cause um rombo em sua conta bancária.

InícioDispositivosQoD

Essa API é semelhante à QualityOnDemand, mas é focada em redes domésticas fixas de fibra ótica. Isso permite implementar políticas de gerenciamento de tráfego além dos serviços de conectividade à Internet da operadora. A API poderá configurar o roteador com o protocolo DSCP para priorizar determinado tráfego de rede baixado na rede doméstica do usuário para um determinado dispositivo doméstico. Um aspecto muito importante é que o DSCP só prioriza o tráfego dentro da rede, não na rede da operadora, além disso, só é capaz de priorizar o download dos dados (do roteador para o cliente), o perfil de tráfego só se aplica para dispositivos domésticos conectados por Wi-fi.

É basicamente como ter um QoS configurado no roteador, mas configurado pelo aplicativo ou serviço que vamos usar. Podemos ver que este serviço, como uma videochamada, funciona muito melhor e mais suave porque configurou a QoS do nosso roteador de forma automática e totalmente transparente.

  • Como isso afeta você? Isso tem seus pontos fortes e seus pontos fracos. A parte positiva é que teremos uma melhor experiência do usuário ao fazer chamadas de vídeo, ou jogar online, desde que a empresa pague pelo acesso ao Open Gateway. A parte negativa é que se estivermos usando vários serviços simultaneamente, quando temos “alta prioridade” em muitos dispositivos, isso significa que todos continuarão tendo a mesma prioridade porque não podem ser priorizados ao mesmo tempo.
  • Por que a operadora está interessada em fazer isso? A operadora receberá uma receita por permitir que a empresa configure a QoS do roteador utilizado pelo cliente, e tudo isso de forma transparente para o usuário.

Logicamente, se você trocar o roteador da operadora e comprar um você mesmo, não terá essa funcionalidade, tanto para o bem quanto para o mal. O que esta API permite é melhorar o QoE (qualidade de experiência) do usuário para aqueles serviços que o requeiram, como chamadas VoIP ou videochamadas entre outros usos.

EdgeCloud

Esta API permite fornecer o Beira roteador mais próximo do dispositivo a partir do qual foi feita a consulta, com o objetivo de otimizar ao máximo a rota da origem ao destino. Isso permitirá saber qual plataforma MEC está mais próxima do cliente, para que tenha a latência mínima e a velocidade máxima possível. Por estar fisicamente mais próximo, a propagação e a latência de ida e volta dos dados são reduzidas, fazendo com que tenhamos uma latência menor e também uma velocidade real maior.

  • Como isso afeta você? O aplicativo ou serviço que você usar funcionará melhor para você, com menor latência e maior velocidade, pois você estará se conectando diretamente ao servidor mais próximo, e não precisando se conectar a um servidor distante.
  • Por que a operadora está interessada em fazer isso? A operadora receberá uma receita por fornecer informações sobre o servidor mais próximo para um determinado aplicativo. No entanto, isso é algo que já é feito hoje por meio de protocolos de roteamento dinâmico de gateway externo, como o BGP, se o BGP estiver bem configurado, as rotas ótimas sempre serão fornecidas. Isto parece ir mais longe para melhorar a experiência do utilizador final, uma vez que entrará em jogo a geolocalização, que terá em conta o encaminhamento interno do AS dos operadores (que normalmente utilizam IS-IS ou OSPF).

Acreditamos que esta API é bastante interessante para fornecer um serviço melhor e mais rápido, mas que as operadoras têm que pagar para ter essas melhorias, acreditamos que poderiam fazê-lo por padrão, pois isso também melhorará a eficiência de suas redes e evitará que certos nós entrem em colapso porque todo o tráfego passa por eles, é um ganha-ganha, no entanto, não nos parece ruim que eles queiram ganhar mais dinheiro fornecendo “roteamento premium” para quem quer pagar por isso, mas desde que não prejudiquem os demais que não pagam

Conclusões

Como vimos antes, existem APIs que são especificamente focado em violar a privacidade dos usuários , coletando ainda mais dados do que já são coletados e negociando os dados para vendê-los a quem paga para acessar o Open Gateway. Acreditamos que esta nova tecnologia pode ser muito perigosa para a privacidade dos usuários, pois você nem conseguirá se livrar de todos eles usando redes VPN para mascarar o tráfego, já que será feito nativamente em seu smartphone através do antenas das operadoras.

Outras APIs são projetadas especificamente para melhorar a experiência do usuário final , Mas o problema é que a neutralidade da rede pode ser muito afetada . Se empresas e marcas pagam para ter prioridade máxima, o que acontecerá com as que não pagarem? Em qualquer QoS, se o que for feito for priorizar 80% do tráfego (quem paga), a princípio esse tráfego não será prioridade e estaremos quase igualando a prioridade se não aplicarmos QoS a ele, e os 20% restantes podem ver a latência da conexão aumentada e também a velocidade será claramente menor. Há alguns APIs que consideramos interessantes nesse sentido , como o de InícioDispositivosQoD para ativar o QoS do roteador local e fornecer um desempenho muito bom em WiFi, e também vemos o de EdgeCloud muito bem, mas desde que o roteamento das conexões não seja afetado. empresas que não vão pagar.

Por fim, existem algumas APIs muito interessantes como o SimSwap para evitar fraudes, sem dúvida, este é o nosso favorito de todos, pois permitirá que os bancos verifiquem se houve uma alteração recente do SIM, para não enviar o Código OTP via SMS e enviar um aviso de alerta.