このプロジェクトは初期アルファ版です。実験的な概念実証であり、個人の安全、法的証拠、その他セキュリティ上重要な目的に依存しないでください。バグ、破壊的変更、データ消失が発生する可能性があります。

あなたを追跡しているのは誰?

多くの人がこの疑問を持っていますが、明確な答えはありません。同意なきスクレイピングの時代に、私たちはすべてのデジタルデータを差し出しています。しかし、日常生活でのオフラインのやり取りはどうでしょうか?

アプリを開く ソースを見る

仕組み

1

外出する

普段通りの日常生活を送ります。

2

QRコードを身につける

アプリから生成されたユニークなQRコードをバッジ、ステッカー、デバイス、または紙に表示します。

3

撮影される

誰かがあなたの写真や動画を撮ります。意図的かどうかに関わらず。

4

通知を受け取る

誰かまたは何かがQRコードにアクセスした時、数週間後でも通知を受け取ります。

5

マップを見る

追跡データをインタラクティブマップで確認します。

家を出て外に行くと、他の人や企業があなたの写真を撮ります。 あなたの同意なく、時には知らないうちに。

これは現在の社会では当たり前のことになっています。以前は、本人が意識的にSNSや対面で共有しない限り、 これらの写真が他人の目に触れることはありませんでした。

これが変わりました。

AIの発展を続け、よりパーソナライズされた広告を販売するために、企業はあなたが無料サービスと引き換えに喜んで提供した写真や動画を処理し、自動的にアップロードすることを選びました。 ほとんどの場合、100ページにも及ぶ利用規約への同意を強引に求められ、あなたの権利を放棄させられます。 同意しなければサービスを利用できず、選択肢がないと感じて誰もが同意してしまいます。

代表的な例はMetaです。

Facebookで「クラウド処理」のポップアップが表示され「許可」をタップすると、MetaのAI利用規約に同意し、「メディアと顔の特徴」がMetaのAIによって分析されることを許可したことになります。 有効にすると、Facebookはカメラロールから写真をMetaのクラウドに継続的にアップロードし、「隠れた名作」を見つけたり、クリエイティブな編集やコラージュを提案したりします。 ソース

しかし、1つの企業だけの問題ではありません。 さらに悪いことに、複数の国の規制当局が、ビジネスの利用規約に関係なく、違法なコンテンツがないか携帯電話の写真をスキャンすることを特定の企業に要求しています。 これにより、デバイス上でのスキャンと個人データの処理が受け入れられる扉が開かれました。

今何ができるか?

このプロジェクトは、現実世界でいつ、どこで、何が、そしておそらく誰があなたをデジタル追跡しているかを理解する手助けをすることを目的としています。テクノロジーを所有または利用していなくても対象です。

技術的なアプローチを取りますが、コミュニティの協力なしでは成功できません。 そのため、プロジェクトを利用し、意識的な判断として匿名化されたデータを提供してくれる方々に依存しています。 答えを見つける手助けをしてください。少なくとも近づくことはできます。 デジタル生活で失った同意の権利を、現実生活で維持または取り戻すための規制議論にも役立つかもしれません。

パイプライン

1
クライアントデバイス

QR生成

暗号化されたタイムスタンプとユニーク識別子をエンコード

2
現実世界

トラップ発動

監視カメラ、ボット、スキャナー、ブラウザがトラップを起動

CCTV
Database
AI
Website
3
トラッキングサーバー

記録と消去

DNSとHTTPリクエストを仮名で保存、読み取り後に削除

DNS
+
HTTP
Store
Request
Purge
4
クライアントダッシュボード

位置照合

復号されたタイムスタンプとローカル位置履歴を照合

Location
+
Timestamp
=
Unmasking

技術的アプローチ

まず、あらゆるインタラクションを追跡するサーバーを複数展開しています。 つまり、これらに向けられたDNS、HTTP、HTTPSリクエストはすべて記録、分析、処理されます。 使用されている技術は、セキュリティエンジニア、コンサルタント、研究者のワークフローの一部であるOOB(Out-Of-Band)テストとして知られています。 このスタックの詳細については、interactshプロジェクトを作成したProjectDiscoveryをご覧ください。

これをベースに、処理・マッチングサービス、ユーザー識別子の登録やこれらの識別子サブドメインに関連するイベントのサブスクリプションを可能にするユーザー向けAPI、ユーザーがダウンロードするまでインタラクションを保持するデータベース、そしてユーザー向けクライアントアプリケーションで拡張しました。 すべてのコードはオープンソースで、技術的な詳細はリポジトリで確認できます。

app.staging.whatistracking.meで個人情報を提供せずに登録できます。 インタラクションをあなたに関連付けるユニークなサブドメインを作成するための公開識別子が提供されます。 たとえば、その1つがtotallyrandomidentifierだとします。 https://totallyrandomidentifier.tracking-collector.comにアクセスすると、最低2つのインタラクションイベントが作成されます。 1つ目はこの(サブ)ドメインの場所を特定するためのDNSクエリで、2つ目はHTTP(S)経由でこのアドレスのウェブサーバー上のコンテンツを読み込むことです。

このドメインへのQRコードを作成して印刷し、身につけて、インタラクションがあるたびに通知を受けることができます。 しかし、これだけではいつ、どこでかはわかりません。起きたということがわかるだけです。より深い洞察を得るには、より高度なソリューションが必要です。

アプリは上記のドメインへのリンク付きQRコードを作成しますが、暗号化されたタイムスタンプも追加し、一定間隔で更新されます。 これにより、各間隔ごとに新しいQRコードが再生成されます。アプリはオプションで位置情報をローカルで追跡し(完全にローカル!)、 外出後数週間や数ヶ月後にインタラクションが発生しても、これらのタイムスタンプと位置情報を照合できます。

また、solderedのeペーパーツールキットをベースにしたオープンソースの物理デバイスも作成しました。 これはスマートフォンのディスプレイやバッジ、ステッカー、紙の印刷物の物理的な制限によるものです。 10インチのeペーパーディスプレイにQRコードを表示でき、離れた場所からでもスキャンしやすくなります。 このディスプレイの選択により、追加の機器なしで数週間から数ヶ月間、充電なしでこのデバイスを身につけることができます。 完全な実装はリポジトリ/Inkplateサブフォルダで確認できます。

この位置情報、サブドメインにエンコードされたタイムスタンプ、そしてインタラクション自体のメタデータにより、いつ、どこで、そしておそらく何があなたを追跡したかを理解できます。アプリにはインタラクションを位置情報にマッピングして表示するマップ機能があり、より視覚的な全体像を把握できます。

よくある質問

すべてのトラッカーが明らかになりますか?

いいえ。表面の一部しか明らかになりません。

なぜこれが機能するのですか?

企業がデータに飢えているからです。まだ見たことのない新しいデータをスクレイピングしたいのです。QRコードを解読し、次世代AIや広告プロファイリングツールの学習のためにコンテンツをスクレイピングします。これは即座に、または数週間から数ヶ月後に発生する可能性があります。インタラクションを追跡できた時点で通知します。

参加することで不利益はありますか?

はい、全員が採用するまでは目立つことになります。QRコードは現在の技術的能力であなたを追跡しやすくします。

なぜデータを提供すべきですか?

提供されたデータは全員の利益のために使用され、私たちの社会全体が規制や変更が必要であることを証明するのに役立ちます。インタラクションデータや匿名化されたローカルデータの提供は義務ではありません。

なぜこのプロジェクトを作ったのですか?

AIインフラのセキュリティテスト中に生まれた好奇心がきっかけです。

どうすれば協力できますか?

アプリを実際に使ってデータを提供するか、コミュニティやプロジェクトの開発に参加してください。PRを歓迎し、新しいメンバーを受け入れています。

AIの使用について

私たちはAIを拒否せず、日常業務で使用しています。このプロジェクトのコードもほとんどがバイブコーディングで作成され、完全に手書きの部分はわずかです。それでも手動レビューと適切な理解が重要だと考えており、AIなしでもプロジェクトを管理できる合理的な程度にコードと機能を制限するよう努めています。