PrivacyInternational: "Data Interception Environment"
Data Interception Environment The Data Interception Environment (DIE) is a tool that you can use to analyse how your data is being used by app developers and third parties. It allows you to see how apps are sending your data from your device back to the company or to third parties. We’ve used the DIE to research everything from low cost phones, to menstruation apps, and now we’re making it available so that you can do your own research on how your devices use your data. You can download the DIE on our GitHub <https://github.com/privacyint/appdata-environment-desktop/tree/update-3> where you can also find documentation for how to use it. Below you can also find a video how to, which goes through how to set up the DIE and how to get started analysing apps, and a written how to. PI has made this tool available to assist individuals, researchers and organisations in developing a technical understanding of how their own data is being captured, processed and transferred by applications to 3rd parties. It should *only* be used to analyse data on a device, virtual copy of a device, or an app, which the user owns or is legally authorised to use. PI is a charity registered in England and Wales. We have developed our Data Interception Environment tool in accordance with the laws, regulations and standards that apply to us in England and Wales. Any individual, researcher or organisation who makes use of of PI’s Data Interception Environemnt is responsible for ensuring that they are acting lawfully and in accordance with the laws, regulations and standards which apply to them in the jurisdiction they are operating in or to which they are subject. https://privacyinternational.org/learn/data-interception-environment
Non riesco a immaginare come faccia DIE a funzionare, per cui sospetto sia una bufala. Mi domando, ad esempio, come faccia a verificare che i miei dati personali, ora che la mia posta è stata affidata a Microsoft, non finiscano nel mercato americano dei dati personali. Il 17/12/21 15:42, J.C. DE MARTIN ha scritto:
Data Interception Environment
The Data Interception Environment (DIE) is a tool that you can use to analyse how your data is being used by app developers and third parties. It allows you to see how apps are sending your data from your device back to the company or to third parties.
We’ve used the DIE to research everything from low cost phones, to menstruation apps, and now we’re making it available so that you can do your own research on how your devices use your data.
You can download the DIE on our GitHub <https://github.com/privacyint/appdata-environment-desktop/tree/update-3> where you can also find documentation for how to use it. Below you can also find a video how to, which goes through how to set up the DIE and how to get started analysing apps, and a written how to.
PI has made this tool available to assist individuals, researchers and organisations in developing a technical understanding of how their own data is being captured, processed and transferred by applications to 3rd parties. It should *only* be used to analyse data on a device, virtual copy of a device, or an app, which the user owns or is legally authorised to use.
PI is a charity registered in England and Wales. We have developed our Data Interception Environment tool in accordance with the laws, regulations and standards that apply to us in England and Wales. Any individual, researcher or organisation who makes use of of PI’s Data Interception Environemnt is responsible for ensuring that they are acting lawfully and in accordance with the laws, regulations and standards which apply to them in the jurisdiction they are operating in or to which they are subject.
https://privacyinternational.org/learn/data-interception-environment
_______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
Ciao Raffaele On Fri, 17 Dec 2021 17:48:06 +0100 Angelo Raffaele Meo wrote:
Il 17/12/21 15:42, J.C. DE MARTIN ha scritto:
Data Interception Environment
The Data Interception Environment (DIE) is a tool that you can use to analyse how your data is being used by app developers and third parties. It allows you to see how apps are sending your data from your device back to the company or to third parties.
Non riesco a immaginare come faccia DIE a funzionare, per cui sospetto sia una bufala. Mi domando, ad esempio, come faccia a verificare che i miei dati personali, ora che la mia posta è stata affidata a Microsoft, non finiscano nel mercato americano dei dati personali.
In effetti, le parole del sito si prestano a questa interpretazione eccessivamente vasta dello scopo del software, ma il video è abbastanza chiaro: in sostanza si installa consapevolmente un Man in the Middle che permette di intercettare tutto il traffico TLS in entrata ed uscita dal device (possibilmente emulato). In questo modo, installando ed avviando una qualsiasi applicazione che si affidi alle Certification Authority del sistema, è possibile decifrarne le comunicazioni, e registrare cosa viene invato a chi. Ovviamente è possibile per una applicazione progettata all'uopo, aggirare questo tipo di intercettazione in vari modi, ad esempio cablando ip e certificati o usando protocolli di comunicazione cifrata diversi. Non mi stupirei, ad esempio, se i servizi di sistema android imposti da Google fossero già stati "fixati" in modo di evitare questo tipo di trasparenza almeno dalla pubblicazione dello studio di Liu et all [1] "Android Mobile OS Snooping By Samsung, Xiaomi, Huawei and Realme Handsets". Tuttavia, la stragrande maggioranza delle applicazioni commerciali sono ancora intercettabili con questo tipo di strumenti. E questo per una ragione di costi di sviluppo. Hai però colto correttamente i limiti di questi strumenti. Seppure utile per sottolineare l'abuso della fiducia degli utenti da parte delle aziende software che sviluppano per i marketplace mainstream, si tratta di una analisi molto limitata: una volta raggiunti i server di terze parti, poiché la copia dei dati non lascia tracce, ne perdiamo completamente il controllo. Questa tuttavia costituisce una ragione aggiuntiva per NON inviare tali dati, ovvero NON installare applicazioni ostili o (quando impossibile evitarlo) usarle con competenza informatica avanzata, anche adottando strumenti di contenimento efficaci. [2] Non è dunque una bufala, ma nemmeno una soluzione affidabile. Quanto alla tua mail su server Microsoft, considerala compromessa. Puoi usarla per mailing list pubbliche [3], ma ti sconsiglio di usarla per conversazioni che non faresti passeggiando in una pubblica piazza incurante di estranei che ti stanno seguendo ed ascoltando. Giacomo [1] https://www.scss.tcd.ie/doug.leith/Android_privacy_report.pdf [2] Naturalmente bisogna anche ricordare che tali strumenti di contenimento, pur riducendo la diffusione dei dati, non possono garantire completamente la privacy di utenti privi di adeguate competenze informatiche nonché capaci di una continua consapevole attenzione durante l'utilizzo di queste applicazioni (e sistemi) ostili. [3] SE la leggi attraverso mail user agent non compromessi e propriamente configurati. SE la leggi attraverso un browser, ricorda che le tue scelte di lettura, i tempi che dedicherai ad ogni mail e la loro sequenza verrà tracciata dai log. Log dai quali sarà sempre possibile dedurre una quantità notevole di informazioni su cosa pensi e su COME pensi.
Buongiorno, "J.C. DE MARTIN" <juancarlos.demartin@polito.it> writes: [...]
You can download the DIE on our GitHub <https://github.com/privacyint/appdata-environment-desktop/tree/update-3>
strano workflolw di sviluppo, il branch master è fermo a circa 33 commit fa mentre il /vero/ master è il branch update-3, giusto per mettere un po' di confusione non documentata nel workflow... basta saperlo tra i prerequisiti [1] c'è l'installazione di Genymotion (https://www.genymotion.com/), che AFAIU è software /proprietario/ di emulazione di Android: strana scenta quando c'è disponibile AnBox (https://anbox.io/, licenza GNU GPL v3).
where you can also find documentation for how to use it. Below you can also find a video how to, which goes through how to set up the DIE and how to get started analysing apps, and a written how to.
non un lavoro per utenti competenti, che una volta acquisite quelle competenze probabilmente saranno in grado di rimpiazzare Genymotion con AnBox nello schema dei componenti --8<---------------cut here---------------start------------->8--- +----------+ +-------------------------+ +--------------+ | Public +----------+ Privacy International +-------------+Android Device| | Internet | || MitmProxy Environment || Wireless: |with mitm cert| +----------+ || VirtualBox ||pi_mitmproxy+--------------+ enp0s3+---------------------------+USB WiFi (NAT) Dongle --8<---------------cut here---------------end--------------->8--- (https://github.com/privacyint/appdata-environment-desktop/tree/update-3#comp...) bene bene... Saludi, 380° [1] https://github.com/privacyint/appdata-environment-desktop/tree/update-3#prer... [...] -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
participants (4)
-
380° -
Angelo Raffaele Meo -
Giacomo Tesio -
J.C. DE MARTIN