• numărul de telefon apelat
• numărul către care a fost redirecționat apelul
• data și ora inițierii și încheierii apelului
• data si ora conectării si deconectării de la serviciul de acces la Internet
• adresa IP alocată dinamic sau static, data si ora conectării si deconectării de la serviciul de postă electronică sau de telefonie prin internet
• identitatea internaţională de abonat mobil (IMSI)
• identitatea internaţională a echipamentului mobil (IMEI)
• identificatorul celulei la începutul comunicării
• datele care permit stabilirea localizării geografice a celulelor, prin referire la identificatorul acestora

În caz că nu știați, aceste date sunt reținute conform legii 82/2012, așa-zisa lege Big brother. Motivul solicitării a fost acela că, în cuprinsul acestei legi se specifică faptul că

Punerea in aplicare a prevederilor prezentei legi se face cu respectarea dispozitiilor Legii nr. 677/2001 pentru protectia persoanelor cu privire la prelucrarea datelor cu caracter personal si libera circulatie a acestor date, cu modificarile si completarile ulterioare, precum si ale Legii nr. 506/2004 privind prelucrarea datelor cu caracter personal si protectia vietii private in sectorul comunicatiilor electronice, cu modificarile si completarile ulterioare, precum si cu modificarile si completarile aduse prin prezenta lege.

Așadar potrivit art. 13 din Legea nr. 677/2001 (dreptul de acces) eu sunt îndrepățit să aflu aceste date ce se rețin despre mine. Bineînțeles că operatorul a refuzat punerea la dispoziție a celor cerute, legându-se de o singură frază în loc să aplice contextul legal.

Vă confirm că ABCDEF România respectă cu strictețe toate prevederile legale în domeniul protecției prelucrării datelor personale.
Referitor la solicitarea dumneavoastră, cu referire la Legea nr. 82/2012, menționez că în conformitate cu articolul 1, alineatul 1, ABCDEF România poate furniza aceste date doar la solicitarea organelor de urmărire penală, instanțelor de judecată si organelor de stat cu atribuții în domeniul siguranței naționale în scopul utilizării lor în cadrul activităților de prevenire, de cercetare, de descoperire si de urmărire penală a infracțiunilor grave sau pentru rezolvarea cauzelor cu persoane dispărute ori pentru punerea în executare a unui mandat de arestare sau de executare a pedepsei.
Ca urmare a aspectelor anterior menționate, regret, dar nu putem da curs solicitării dumneavoastră si rămânem la dispoziția dumneavoastră pentru orice informație suplimentară.

Nu știu cum respectă prevederile legale dacă uită faptul cel mai important: legea 82/2012 trebuie să respecte și prevederile legii 677/2001, inclusiv alineatul 13 deci faptul că „orice persoană vizată are dreptul de a obține de la operator, la cerere și în mod gratuit pentru o solicitare pe an” aceste informații.

Nefiind mulțumit de acest răspuns al operatorului, am trimis o solicitare și către Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal prin care am cerut clarificarea acestui aspect: dacă am sau nu dreptul la a primi datele reținute prin legea 82/2012. Răspunsul a fost următorul:

Referitor la petiţia dumneavoastră înregistrată la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal sub nr. 24955 din 02.10.2012, prin care reveniţi asupra aspectelor semnalate prin petiţia anterioară nr.21968 din 28.08.2012, referitoare la încălcarea dreptului de acces la date de către S.C. ABCDEF România S.A., care a refuzat să vă furnizeze informaţiile pe care le-aţi solicitat, respectiv „datele de trafic ce s-au înregistrat pentru propriul număr de telefon mobil, de la data intrării în vigoare a Legii nr. 82/2012 până în prezent”, vă aducem la cunoştinţă următoarele:

Potrivit art. 13 din Legea nr. 677/2001 (dreptul de acces), persoana vizată are dreptul de a obţine de la operator, la cerere şi în mod gratuit pentru o solicitare pe an, confirmarea faptului că datele care o privesc sunt sau nu sunt prelucrate de acesta. Operatorul este obligat, în situaţia în care prelucrează date cu caracter personal care privesc solicitantul, să comunice acestuia, împreună cu confirmarea, o serie de informaţii referitoare la prelucrarea datelor sale.

Totodată, reiterăm că, potrivit prevederilor Legii nr. 82/2012, furnizorii de reţele publice de comunicaţii electronice şi furnizorii de servicii de comunicaţii electronice destinate publicului au obligaţia de a asigura, pe cheltuială proprie, crearea şi administrarea unor baze de date în format electronic, în vederea reţinerii categoriilor de date stabilite de această lege, în măsura în care sunt generate sau prelucrate de aceştia, în termen de 6 luni de la data intrării în vigoare a legii.
În acest context, aveţi posibilitatea de a obţine informaţiile solicitate, ca urmare a exercitării dreptului de acces în baza Legii nr. 677/2001, după  expirarea termenului susmenţionat.

Astfel, de la 6 luni după publicarea în Monitorul Oficial, publicare ce a avut loc în data de 18 iunie 2012, oricine poate solicita furnizorilor de rețele publice de comunicații electronice și a furnizorilor de servicii de comunicații electronice destinate publicului (operatori de telefonie mobilă, furnizori de Internet, etc.) datele cerute de mine mai sus.

Cu alte cuvinte, începând cu 18 decembrie 2012 puteți solicita aceste lucruri. În caz de refuz apelați la Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal.

Cel mai bine este ca, în momentul depunerii cerererii către operator să menționați că sunt obligați să vă ofere informațiile cerute conform art 13 din legea 677/2001 și conform petiției nr. 24955 din 02.10.2012 înregistrată la ANSPDCP. Nu uitați să cereți număr de înregistrare pentru cererea dumneavoastră. Tocmai din acest motiv eu prefer să trimit prin fax și să sun în aproximativ 30 min la relații clienți pentru acordarea numărului de înregistrare.

Aș aprecia dacă aceste informații pe care le-am obținut ar fi cât mai mediatizate tocmai pentru ca publicul să știe că are dreptul de a obține datele de trafic înregistrate de operatorii de telefonie mobilă pentru numărul de telefon propriu.

Aşadar, în funcţie de câţi doritori se vor arăta, voi continua seria săptămânală cu aceste articole. Ca pentru un prim articol, am decis să încep cu o aplicaţie care nu ar trebui să aibă un impact aşa mare asupra utilizatorilor. Ce date sensibile poate trimite o aplicaţie care te ajută să comanzi un taxi? Ei bine, după ce am analizat aplicaţia, se pare că există totuşi motive de îngrijorare.

Modul de funcţionare poate fi cel mai bine exprimat prin imagini:

O aplicaţie pentru smartphone, ce comunică folosind Internetul, diferă de modul de testare a unei aplicaţii web. În primul rând, putem analiza ce fişiere sunt create în timpul înstalării şi al utilizării – cum stochează informaţiile? sunt criptate? Apoi putem testa partea de validare a informaţiilor, logica funcţionării şi, în ultimul rând, dacă schimbul de informaţii dintre aplicaţie şi server se realizează în mod securizat.

Aşadar, despre fişierele create. În timpul utilizării am salvat locaţia unde am biroul virtual şi apoi am plasat o comandă. Câteva fişiere au fost create pe parcursul acestui proces:

/data/data/ro.mobiessence.android.clevertaxi.speedtaxi/files/DATA_Tiles_3
/data/data/ro.mobiessence.android.clevertaxi.speedtaxi/files/DATA_Tiles_4
data/data/ro.mobiessence.android.clevertaxi.speedtaxi/files
/data/data/ro.mobiessence.android.clevertaxi.speedtaxi/shared_prefs
/data/data/ro.mobiessence.android.clevertaxi.speedtaxi/shared_prefs/settings.xml

Oare ce o fi în settings.xml?

shell@android:/data/data/ro.mobiessence.android.clevertaxi.speedtaxi/shared_pref
s # cat settings.xml
cat settings.xml
<?xml version=’1.0′ encoding=’utf-8′ standalone=’yes’ ?>
<map>
<string name=”opt5″></string>
<string name=”lastName”>Popescu</string>
<string name=”opt6″></string>
<string name=”phone”>1234567</string>
<string name=”opt3″></string>
<string name=”opt4″></string>
<string name=”opt9″></string>
<string name=”opt7″></string>
<string name=”opt8″></string>
<boolean name=”showMapPositionInfo” value=”false” />
<string name=”email”>ion@popescu.ro</string>
<string name=”firstName”>Ion</string>
<string name=”opt2″></string>
<string name=”myAddresses„>[{&quot;gps_lng&quot;:26.145351,&quot;localityName&qu
ot;:&quot;București&quot;,&quot;building&quot;:&quot;&quot;,&quot;gps_lat&quot;
:44.43555,&quot;street&quot;:&quot;Strada Maior Ion Coravu&quot;,&quot;name&quot
;:&quot;Birou&quot;,&quot;address_details&quot;:&quot;&quot;,&quot;streetNo&quot
;:&quot;5&quot;,&quot;entrance&quot;:&quot;&quot;}]</string>
<string name=”opt1″></string>
</map>

Interesant, deci adresa din comandă e stocată aici, dar şi adresa(le) salvată de mine cu denumirea „Birou”. Totul plain text, bineînţeles.

Acum să trecem la partea de cod – ce se ascunde în spatele aplicaţiei? Pentru început, permisiunile necesare care sunt multe şi cer acces la o groază de lucruri.

Your location
coarse (network-based) location
fine (GPS) location

Network communication
full Internet access

Your personal information
read contact data

Phone calls
read phone state and identity

System tools
prevent tablet from sleeping prevent phone from sleeping
modify global system settings

Your accounts
discover known accounts

Hardware controls
control vibrator

Network communication
view network state

Pentru ce naiba sunt necesare atâtea permisiuni pentru o simplă aplicaţie de comandă a unui taxi nu pot înţelege. Cele de mai sus se găsesc şi în fişierul manifest, aşa cum e normal:

La partea de cod recunosc că nu am destule cunoştinţe pentru a spune dacă este bun sau nu, însă în mare mi-am format o idee. Parcurgând clasele, mi-a sărit în ochi următoarea parte de cod:

Cum adică IMEI? De ce ai tu, ca şi companie, nevoie de IMEI-ul telefonului? Dar să vedem mai departe…

Pe partea de comunicaţie încep prin a spune că aceasta se face total necriptat şi nesecurizat. Aşa cum menţionam anterior, se pare că aplicaţia ia şi codul IMEI al telefonului, însă nu înseamnă neapărat că îl şi transmite. Pentru a verifica acest lucru, aplicaţia am pus-o într-un emulator cu drepturi de root, deci nu are un dispozitiv GPS de care se poate folosi pentru a transmite locaţia.

Dacă se doreşte setarea unei anumite locaţii, aceasta se poate face făcând telnet pe host-ul şi portul emulatorului, după care se dă comanda

geo fix 44.445818 26.097261
OK

Astfel am putut ajunge la ecranul de iniţiere al comenzii pentru un taxi. Am selectat o stradă oarecare din Bucureşti (Vasile Alecsandri în cazul meu) şi am plasat comanda. Alte detalii cerute au fost numele, prenumele, numărul de telefon, adresa de email (opţional, dar detectată automat dacă e pus un cont Google), nr străzii. După un timp de aşteptare a venit şi răspunsul prin care eram anunţat că o maşină va sosi. Din păcate aplicaţia crapă la primirea răspunsului, însa acest lucru se datorează faptului că rulează pe emulator.

Ce s-a văzut pe partea de comunicaţii e şi mai interesant. În primul rând, traficul făcut către Google maps pentru alegerea locaţiei:

POST /glm/mmap/a HTTP/1.1
Connection: close
Content-Type: application/binary
Content-Length: 246
Host: www.google.com
User-Agent: GMM/3.0 (generic FRF91); gzip

l>oen_USandroid:generic-generic-sdk1.6gmm-unknown>
484*2ro.mobiessence.android.clevertaxi.core.MapPosition
’0ZZHmFlvayvSoFQMRT9YYJSmpU2MCZTefLJ8A7w
3c89da0d4bcf25309dd0cb0592b07628
db7d646fd19395a


%I

GET /maps/geo?q=44.450539,26.093816&output=json&sensor=false HTTP/1.1
Host: maps.google.com
Connection: Keep-Alive
User-Agent: Apache-HttpClient/UNAVAILABLE (java 1.4)

HTTP/1.1 200 OK
Content-Type: text/javascript; charset=UTF-8
Vary: Accept-Language
Date: Sun, 20 May 2012 11:32:50 GMT
Server: mafe
Cache-Control: private
X-XSS-Protection: 1; mode=block
X-Frame-Options: SAMEORIGIN
Transfer-Encoding: chunked

34e
{
„name”: „44.44982,26.09424”,
„Status”: {
„code”: 200,
„request”: „geocode”
},
„Placemark”: [ {
„id”: „p1″,
„address”: „Strada Vasile Alecsandri, Bucharest, Romania”,
„AddressDetails”: {
„Accuracy” : 6,
„Country” : {
„CountryName” : „Romania”,
„CountryNameCode” : „RO”,
„Locality” : {
„DependentLocality” : {
„DependentLocalityName” : „Sector 1″,
„Thoroughfare” : {
„ThoroughfareName” : „Strada Vasile Alecsandri”
}
},
„LocalityName” : „Bucharest”
}
}
},
„ExtendedData”: {
„LatLonBox”: {
„north”: 44.4516889,
„south”: 44.4489910,
„east”: 26.0956247,
„west”: 26.0929267
}
},
„Point”: {
„coordinates”: [ 26.0942727, 44.4503400, 0 ]
}
} ]
}

0

După setarea poziţiei pe hartă şi completarea celorlalte date, am iniţiat comanda. În acest moment se face o cerere plaintext către un server general, pe portul 5454, în care se transmit mai multe informaţii:

– nume, prenume
– număr telefon
– codul IMEI al telefonului (!!!)
– acurateţea poziţionării, latitudine, longitudine, localitate, stradă
– adresa email
– compania de taxi pentur care s-a făcut cererea
– ID-ul unic al dispozitivului
– data,ora comenzii

În format brut, aşa arată informaţia cerută

{„data”:{„order”:{„lname”:”Popescu”,”no_cars”:1,”tel”:”12345678″,”imei„:”000000000000000″,”versioncode”:”4″,”networklocation”:{„accuracy„:”0.0″,”lng”:”44.445816″,”lat”:”26.09726″},”timestamp”:1337512997867,”source”:”android”,”details”:””,”email”:””,”token”:”3007e861b1823e13fbd2c6afc3539c7f”,”address”:”Strada Vasile Alecsandri 3, Bucharest”,”company”:{„id”:”3″,”name„:”Speed Taxi”},”gps”:{„lng”:”26.09424″,”lat”:”44.44982″},”fname”:”Ionel”,”deviceId„:”9774d56d682e549c”}},”status”:”success”}

De ce este nevoie să transmită codul IMEI şi deviceID nu înţeleg. O posibilă explicaţie ar fi pentru a preveni comenzile făcute abuziv de la un anumit dispozitiv, dar chiar şi aşa sunt prea multe date transmise, mai ales că se trimit nesecurizat. Apple a început să refuze aplicaţiile care cer acest identificator unic – vezi aici.

Faptul că se specifică şi numele companiei de taxi în pachetul transmis mă face să cred că de fapt datele ajung mai întâi la un terţ, abia apoi fiind transmise către compania ce va onora comanda. Am găsit această aplicaţie, desigur cu datele de identificare schimbate şi pentru alte companii de taxi din Bucureşti iar aplicaţia e făcută de aceeaşi firmă în toate cazurile.

Observaţi număr pus de mine – 12345678 – aşa că nu aveam aşteptări prea mari să şi primesc comanda. În plus, dacă vă uitaţi atent vedeţi şi faptul că acurateţea e zero, deci e aproape sigur faptul că poziţionarea pe hartă am făcut-o manual. Dar asta deja ţine de logic flaw. Cu toate acestea, după un timp de aşteptare de aprox 1 minut, a venit şi răspunsul de la server:

Comanda a fost onorată cu succes şi urmează să ajungă în 3 minute maşina cu indicativul 139. Îmi cer scuze pentru comanda falsă – promit să mai fac

Singura protecţie întâlnită a fost cea prin care se verifică localitatea, răspunsul primit fiind „You are out of accepted area”.

Concluzii

Eu unul nu voi mai folosi această aplicaţie, atât din cauza informaţiilor transmise, dar şi pentru că am vrut să fac o comandă la un moment dat şi mi-a cerut numărul străzii – păi dacă îl ştiam mai apelam la o astfel de aplicaţie?

Aştept feedback pentru a vedea dacă sunteţi interesaţi să testez şi alte aplicaţii româneşti.

Ah şi încă ceva: dacă cineva e dispus să doneze un iPhone (preferabil ultima versiune) voi testa şi aplicaţiile pentru iOS