Usuario de GrapheneOS es reportado a las autoridades por usar GrapheneOS

 (discuss.grapheneos.org)
2 puntos por GN⁺ 3 시간 전 | 1 comentarios | Compartir por WhatsApp
  • GrapheneOS es un sistema operativo con funciones reforzadas de seguridad y privacidad, y la controversia comenzó por una captura de una respuesta del soporte de Yoti que decía que “marca automáticamente los dispositivos que ejecutan GrapheneOS y los reporta automáticamente a las autoridades y al equipo de seguridad”
  • La preocupación central es que, si un servicio de verificación de edad e identidad toma el simple uso de GrapheneOS como motivo de reporte, un sistema operativo orientado a la privacidad podría ser tratado como una señal de alto riesgo
  • Las apps pueden identificar el sistema operativo y el modelo del dispositivo mediante APIs estándar, inspección de memoria, la Hardware Attestation API y Play Integrity, y no existe una forma realista de ocultarlo desde la app
  • La postura contraria es que resulta difícil predecir un futuro distópico basándose solo en una declaración exagerada de un agente de soporte, y que es más probable que Yoti haya detectado la ausencia de Google Mobile Services que una detección específica de GrapheneOS
  • La respuesta práctica propuesta es usar un dispositivo stock Android barato o antiguo, sin datos sensibles, dedicado a verificación de identidad y apps gubernamentales, además de reconsiderar la compra de productos que exijan verificación de identidad

Planteamiento del caso y reacción inicial

  • La captura de una experiencia con el soporte de Yoti incluye la frase de que “Yoti marca automáticamente los dispositivos que ejecutan GrapheneOS y reporta automáticamente esos casos a las autoridades y al equipo de seguridad”
  • El hilo de Reddit compartido junto con eso lo vincula con una experiencia en la que el uso de GrapheneOS fue tratado como un problema durante el proceso de verificación de edad de Yoti
  • El foco del cuestionamiento es la preocupación de que GrapheneOS pueda ser identificado y diferenciado por servicios como Yoti, y que si el servicio considera eso como motivo para reportar a las fuerzas del orden, en un entorno donde se expanden las verificaciones de edad e identidad, el simple uso de GrapheneOS podría convertirse en un “heatscore”
  • Algunas reacciones señalaron que esperaban que Sony cambiara de socio de verificación de edad, aunque lo ven muy poco probable
  • También hubo reacciones que describen el avance de los sistemas de verificación de edad e identidad en Reino Unido y su marco legal como algo orwelliano y distópico

Posibilidad de identificar GrapheneOS

  • Se explica que los dispositivos con GrapheneOS pueden ser fingerprinteados debido a sus amplias mitigaciones contra exploits
    • Por ejemplo, se señala que funciones de protección como secure exec spawning, que no existen en otros sistemas, pueden servir como canal lateral
  • Una app puede solicitar la Hardware Attestation API y comparar verifiedBootKey con las boot keys de GrapheneOS para detectar GrapheneOS
  • Otra explicación indica que una app puede detectar fácilmente el sistema operativo en ejecución usando APIs estándar o inspeccionando su propia memoria
    • Se aclara que esta detección no ocurre solo porque GrapheneOS agregue funciones de privacidad y seguridad, sino que también es posible identificar diferencias entre sistemas de distintos OEM de Android y el modelo del dispositivo en uso
    Publicidad
  • Play Integrity puede comprobar si se está ejecutando hardware certificado por Google y un stock OS certificado por Google, usa por dentro la Hardware Attestation API y planea volverla obligatoria
  • Ejecutar todas las apps en una máquina virtual sin aceleración por hardware con un mismo sistema operativo podría ocultar el modelo del dispositivo y el sistema operativo host bare metal, pero si solo GrapheneOS usa ese enfoque, GrapheneOS en sí no quedaría oculto
    • Se explica que muchas apps intentan detectar virtualización, emulación u otras formas de alteración, y que uno de los objetivos centrales de la Play Integrity API es precisamente detectar y bloquear eso

Evaluaciones y objeciones sobre la respuesta de Yoti

  • Una crítica sostiene que las empresas de verificación de edad pueden adoptar una actitud hostil hacia proyectos que sí mejoran realmente la seguridad y la privacidad, y que la respuesta del soporte refleja una postura ignorante que ve la seguridad y la privacidad como cosas exclusivas de criminales
  • Otra preocupación es que el usuario solo pudo saber que estaba siendo tratado como sujeto de reporte después de haber subido documentos sensibles desde GrapheneOS, y que el anonimato de su buzón de Proton podría haberse perdido
  • La objeción más fuerte es que este caso estaría alimentando miedo con base en una afirmación absurda de un agente de soporte
    • Usar GrapheneOS no es ilegal, y se considera muy probable que el agente de soporte haya inventado la historia para cerrar el ticket
    • También se considera poco probable que Yoti detectara específicamente GrapheneOS o prohibiera su uso, y más probable que detectara simplemente un sistema sin modificaciones de Google Mobile Services
  • También hubo reacciones que consideran un gran salto inferir un futuro distópico a partir de lo dicho por un solo agente de soporte

Propuestas de respuesta y separación de usos

  • Como respuesta práctica, se propone conseguir un teléfono stock Android barato o antiguo sin datos sensibles
    • Un dispositivo sin contactos, sin correo con conversaciones personales, sin apps de mensajería y similares
    • La idea es usarlo solo como una especie de dispositivo “pasaporte” para verificación de identidad o apps gubernamentales que puedan ser obligatorias
    Publicidad
  • El esquema de uso separado sería mantener el dispositivo con GrapheneOS para todo lo demás, pero no usarlo para demostrar identidad
  • También se aconseja replantearse si realmente vale la pena verificar la identidad ante cierta empresa solo por una consola de videojuegos
  • Se sostiene que si una empresa exige conductas que uno no quiere aceptar, hace falta tomar la decisión madura de no comprar ese producto
  • Se propone preguntarse si los videojuegos, el streaming de video o el contenido para adultos deben estar por encima de la privacidad y la dignidad, y si exigen identificación, buscar otro pasatiempo
  • También se propone contactar a legisladores para revertir tendencias como la verificación de edad o la exigencia de apps de Google

Dudas de verificación y casos relacionados

  • Hubo reacciones señalando que mucha gente asume que seguridad, privacidad y anonimato son cosas para criminales
    • Se cita el caso de un conocido que trabaja en fuerzas del orden y se sorprendió al ver a alguien usar GrapheneOS porque pensaba que solo los criminales lo usaban, ya que los únicos usuarios que él había visto eran criminales
    • También se menciona que se le explicó qué es GrapheneOS, por qué se usa y por qué alguien podría considerarlo el mejor sistema operativo
  • También se menciona el caso de alguien que en su trabajo tuvo que insistir con fuerza para que no bloquearan por completo las IP de salida de Tor y los dominios usados para aliasing de correo
  • Se critica la idea de asociar privacidad con criminalidad usando la analogía de que “solo los criminales esconden su dormitorio detrás de una pared”
  • También hubo respuestas señalando que quienes trabajan en las fuerzas del orden, por su ocupación y simbolismo, pueden ser objetivos más atractivos y por eso podrían beneficiarse aún más de GrapheneOS
  • Un comentario en Hacker News citado junto al caso plantea sospechas sobre el autor original en Reddit, señalando que había publicado mucho sobre verificación de edad, evasión y privacidad, y que ocultó su perfil
    • Ese mismo comentario también dice que la captura del correo de la empresa pudo haber sido editada fácilmente, así que no puede darse por segura toda la historia
    • Además, sostiene que una empresa de verificación de edad no compartiría con un usuario bloqueado el motivo exacto de detección, porque eso equivaldría a revelar la receta de una fuente secreta

Lecturas relacionadas

1 comentarios

 
GN⁺ 3 시간 전
Comentarios en Hacker News

  • El OP de esta publicación de Reddit publicó mucho sobre verificación de edad, evasión y privacidad, y ahora lo tiene oculto. Cuando también le señalaron eso en el hilo, ocultó su perfil, pero si buscas en Google “reddit PaiDuck” todavía se puede ver
    Eso no significa que esta empresa tuviera razón, pero da la impresión de que esta persona fue bloqueada mientras probaba hasta dónde podía llevar los intentos de evasión contra varias empresas de verificación de edad. Como la respuesta por correo de la empresa también podría editarse fácilmente antes de tomar la captura, cuesta estar seguro incluso de que toda la historia sea real. Si yo operara una empresa de verificación de edad, jamás le diría a un usuario bloqueado por qué fue detectado. Sería como compartir la receta secreta

    • El representante de la empresa dijo que reportan a todos los usuarios que usan GrapheneOS sin condiciones adicionales. Probablemente eso ocurra después de que ya subiste tus datos personales, y justo esa parte es gravemente injusta
    • Me parece que fue una decisión realmente mala permitir que la gente ocultara su historial
      https://arctic-shift.photon-reddit.com/search

  • “Oye amigo, ¿tienes licencia para ese sistema operativo?”
    Lo sorprendente de esta historia es solo que el usuario recibió una visita de la policía y no fue acusado en un “incidente cibernético no delictivo”. El Reino Unido realmente se ha convertido en un país desastroso

    • Sí. La policía puede pedirle la contraseña a cualquiera, y si no la entregas pueden mandarte a prisión
      Yo no pienso visitarlo. EE. UU. también tiene muchos defectos, pero en comparación con otros países, en términos de derechos civiles sí tiene derechos bastante fuertes
    • Ese es el verdadero objetivo final, y la parte que más temo en la guerra contra la privacidad. En adelante, el simple intento de hacer valer el derecho a la privacidad podría convertirse en motivo de sospecha
    • https://www.openbsd.org/lyrics.html#35
    • Es demasiado gracioso ver a los británicos negándolo
    • Por favor, no hagamos lo de “Oye amigo, ¿tienes licencia para ese sistema operativo?”

  • Si las autoridades llegan a enterarse de que tengo una cuenta de Hacker News, se acabó todo para mí

    • En la preparatoria llevé The Hacker's Dictionary para enseñárselo a un amigo y un profesor lo vio
      Unas semanas después ocurrió un incidente de hackeo. Se modificó una hoja de cálculo compartida con las calificaciones de los alumnos, a la que todos los profesores tenían acceso: a algunos estudiantes les subieron las notas y a otros se las bajaron. Yo estaba entre los que recibieron aumento, y algunos chicos con los que me llevaba mal quedaron entre los que bajaron. Durante la investigación me mandaron directo a casa, pero al final no pasó nada
      Años después, un amigo reveló la técnica avanzada con la que descubrió la contraseña del profesor de música: vio “bassoon” escrito en un Post-it debajo del teclado
    • Es real. En 2022 la policía allanó mi casa en Australia. Ocho meses después me dijeron que podía pasar a recoger el equipo incautado, y el oficial a cargo me comentó qué elementos le parecían sospechosos
      1. Usar MEGA. Según ellos, se usa para compartir CSAM
      2. Usar máquinas virtuales
      3. “Tiene Tor en su computadora”. No tiene sentido, pero eso fue lo que realmente dijo
        De verdad no saben nada. No hay que subestimar lo poco que entienden. Incluso una explicación de por qué algo es inofensivo puede sonarles como una confesión de culpabilidad
        Fue una experiencia reveladora, y después de eso yo y varios de mis familiares pasamos a respetar mucho menos la capacidad de las fuerzas del orden
    • Cuando fui a un hackathon en otro país, me preocupaba cómo explicarle ese nombre al agente fronterizo. Por suerte el tema no salió

  • Dejando de lado por un momento que la fuente no es un sitio de noticias donde un periodista debería jugarse su reputación verificando los hechos, sino una publicación de Reddit que enlaza capturas de texto
    Cualquiera puede reportar a cualquiera ante las “autoridades” por cualquier motivo. Eso no significa que una autoridad sin nombre realmente vaya a actuar. Y si esto no es una broma, también es bastante extraño que Yoti no especifique a qué cuerpo policial envía esos reportes

    • ¿“Un sitio de noticias donde un periodista debería jugarse su reputación”? ¿Has visto la reputación de la mayoría de los “periodistas” hoy en día? Algunos periódicos británicos vuelven a publicar con frecuencia publicaciones de foros como Reddit o Mumsnet casi tal cual

  • Esa respuesta parece generada a partir de una plantilla, y la parte de “reportado a las autoridades” tiene tantas probabilidades de ser real como cuando sudo dice lo mismo

  • https://postimg.cc/3kVXKzhk

    • En cuanto a sudo: https://xkcd.com/838/
    • sudo de hecho hace eso por defecto. Realmente me molesta que mi computadora me envíe un correo reportándome mis propios intentos fallidos de autenticación

  • Si se mira con más detalle la afirmación, el mensaje real de Yoti fue este
    “Debido a preocupaciones de seguridad previas, Yoti marca automáticamente múltiples intentos de verificación y todos los dispositivos que ejecutan GrapheneOS. Estos casos se reportan automáticamente tanto a las autoridades como al equipo de seguridad.”
    Luego sigue
    “Lamentablemente, como hubo múltiples intentos en este dispositivo en particular, la cuenta fue marcada por actividad sospechosa.”
    Entonces, “and” parece un error tipográfico. O, de lo contrario, el sistema en primer lugar no habría permitido más de un intento en dispositivos con GrapheneOS
    Es decir, si intentas verificarte varias veces en un dispositivo con GrapheneOS, la cuenta queda marcada

    • Felicidades a GrapheneOS por ser reconocido como el sistema operativo de próxima generación. Si hubiera sido un Android viejo o OS X, solo lo habrían tratado como otro baby boomer confundido

  • Durante los últimos 15 años, los medios occidentales no han hecho más que gritar “China”, y sorprende que esto pase en Occidente mientras que en China uno pueda usar cualquier sistema operativo libremente y sin desventajas. ¿Por qué? ¿Qué está pasando?

    • China ejerce un control a un nivel completamente distinto. El hecho de que te dejen usar el sistema operativo móvil que quieras se debe a que monitorean todas las conexiones a Internet, ven qué descargas, pueden bloquear todo el contenido que consideren inapropiado y casi no hay forma de apelar. Además, pueden arrestar a la gente y enviarla a campos de trabajo forzado
      No es que esté defendiendo lo que hizo la policía británica aquí, pero esa muletilla de “es tan malo como China” se repite mucho y por lo general no encaja con la realidad
    • La parte sobre China no es cierta, pero sí es verdad que los países occidentales se venden como mucho más libres de lo que realmente son
      Si no puedes criticar a Xi ni protestar en China, intenta criticar leyes o protestar en el resto del mundo. Sobre todo por lo que hacen en nombre de la privacidad, y recuerdo que el Reino Unido metió gente a la cárcel por publicaciones en Facebook. Esas son cosas que se supone que pasan en países del tercer mundo
      El Reino Unido nunca tuvo mucho de qué presumir, y ahora Estados Unidos también está haciendo lo mismo, lo cual da mucho miedo
      Antes de viajar a cualquier país, ahora lo primero que hago es revisar mis cuentas de redes sociales y borrar cosas que podrían inspeccionar en el aeropuerto. Se suponía que esto no pasaba en países desarrollados
      Mis amigos todavía dicen que no está tan mal, pero leer en HN una publicación como esta una vez al mes durante los últimos años da miedo, sin más
    • Puede ser simplemente que en 50 países occidentales a nadie le importa, y que el único caso excepcional sea el Reino Unido, que está haciendo cosas raras con la vigilancia del espacio en línea. Incluso en el Reino Unido, los tribunales no están dictando sentencias por esto; lo único que se oye son actuaciones policiales
      El Reino Unido ha ido en fuerte declive desde el Brexit, y tal vez incluso teman disturbios masivos
      En China, si haces activismo disidente, terminas en un campo de reeducación. O quizá los casos de China simplemente no son noticia porque ya se consideran algo predecible
    • Para empezar, nunca fue tan simple como “Occidente es bueno y China es mala”
      Ese marco propagandístico que impulsó el gobierno de EE. UU. funcionó muy bien durante casi un siglo, pero ya no

  • En los comentarios de ese post, alguien enlazó un FAQ largo sobre cómo las apps pueden identificar a GrapheneOS y temas relacionados [1]. No entiendo por qué no intentan disfrazarse de Android stock/Google en todos los lugares posibles
    [1] https://grapheneos.org/faq#:~:text=Apps%20can%20detect%20tha...

    • El objetivo es normalizar el uso de sistemas operativos alternativos. En el momento en que buscas atajos y dejas de señalar el problema, estás aceptando la postura de la otra parte y al final también se van a acabar los atajos
      Ese tipo de respuesta de “no lo eliminaron porque todavía puedes hacer X a través de Y” aparece a menudo, a veces hasta en la parte más visible, en textos de empresas que refuerzan ecosistemas cerrados. Da una solución inmediata, pero no resuelve el problema de fondo. Ojalá no fuera así
    • Eso no serviría de nada. Si una mitigación de vulnerabilidades use-after-free está habilitada, la app puede simplemente intentar hacer un uso real después de la liberación para comprobar que existe. La única forma de ocultar esa mitigación es desactivarla
    • GrapheneOS se enfoca en mejorar la privacidad y la seguridad del usuario, no en intentar engañar al 0.01% de las apps problemáticas
      Eso requiere una inversión considerable en un juego del gato y el ratón, y además podría hacer que todo pareciera aún más sospechoso. Es mejor impulsar la adopción para que a las empresas les cueste más tomar decisiones tan estúpidas. Incluso he visto una app bancaria que, después de que lo mencionaran clientes, añadió explícitamente soporte para GrapheneOS en su atestación de hardware
      Hasta los navegadores dedicados a evadir detección terminan siendo bloqueados constantemente y necesitan parches. No es un área en la que uno quisiera que GrapheneOS se enfocara
    • Un disfraz superficial no sirve de nada. Si una app realmente se preocupa por eso, simplemente puede usar la Play Integrity API, y GrapheneOS no puede falsificar eso
      0: https://developer.android.com/google/play/integrity/overview
    • El equipo de GrapheneOS se toma la seguridad en serio, y el disfraz podría de hecho justificar el bloqueo
      En https://grapheneos.org/articles/attestation-compatibility-gu... dice:

      GrapheneOS not only upholds the app security model but substantially reinforces it, so it cannot be justified with reasoning based on security, anti-fraud, etc.

  • Como Internet también puede usarse para estafas, mejor reportemos a todos los usuarios de Internet ante las autoridades

    • Exacto. Y no olvidemos que poseer o conducir un auto seguramente te convierte en criminal, porque los autos también se usan para huir de delitos graves
    • Se me ocurrió algo: ¿qué pasaría si de repente hubiera una avalancha de reportes imposible de procesar? ¿Si todos los usuarios de GrapheneOS instalaran esa app para que los reportaran, y además se sumaran bots o cuentas falsas?
    • La mayoría de la gente que usa un sistema operativo sin puertas traseras no es estafadora, pero quizá la probabilidad de acertar sea un poco más alta que asumir que alguien es estafador solo por usar Internet
    • ¿Te refieres a algo así? https://en.wikipedia.org/wiki/Collection_of_Internet_Connect...

  • Se viene una nueva era de la piratería. Cuando se pongan a llorar por los “ingresos”, se acordarán de estos días

    • Por favor, no lo llamemos piratería. Eso hace que parezca que somos ladrones
      Esto es resistencia contra la vigilancia masiva y contra un Estado que ha crecido como un cáncer. De hecho, casi es un deber cívico
    • ¿Qué quieres decir?