Вы не параноик. Телефон в вашем кармане действительно следит — просто скучнее, чем в кино

Смартфон давно перестал быть телефоном. В кармане лежит маленький радиокомбайн, который разговаривает с сотовыми вышками, Wi-Fi-точками, Bluetooth-устройствами, спутниковыми системами, приложениями, рекламными сетями, банковскими сервисами, картами, такси, маркетплейсами и ещё десятком невидимых механизмов. Мы называем смартфон личным устройством, хотя по факту носим с собой датчик, который помогает внешнему миру понять, где владелец находится, как двигается, где ночует, куда ездит по выходным и какие места считает обычными.

Паранойя тут не нужна. Радиотехника, экономика данных и человеческая лень справляются сами, без конспирологии. Смартфон не обязательно «следит» в стиле плохого шпионского фильма. Смартфон просто работает так, как спроектирован. Чтобы принять звонок, телефон должен зарегистрироваться в сети. Чтобы быстрее найти вас на карте, телефон сверяет окружающие Wi-Fi-точки и базовые станции. Чтобы наушники не отваливались, Bluetooth держит связь. Чтобы бесплатное приложение приносило деньги, рекламная инфраструктура пытается превратить перемещения в профиль. Циничная красота современной техники в том, что слежка часто выглядит как удобство.

GPS сам по себе не орёт в космос

Когда люди говорят, что телефон «передаёт GPS», чаще всего смешивают несколько разных процессов. GPS, ГЛОНАСС, Galileo и другие спутниковые системы в обычном пользовательском сценарии дают телефону координаты. Смартфон принимает сигналы со спутников и рассчитывает положение. Спутникам не нужно знать, что вы стоите у аптеки, ждёте такси или делаете вид, что «почти подъехали».

Риск начинается дальше. Координаты получают приложения, операционная система, карты, сервисы доставки, камера, браузер, рекламные модули и аналитика. Телефон узнал положение, приложение получило разрешение, сервер записал событие. Дальше координата становится строкой в базе, а строка живёт дольше, чем пользователь помнит своё нажатие «разрешить».

Отключение геолокации помогает, но не превращает смартфон в камень. Сотовая сеть всё равно обслуживает устройство. Wi-Fi и Bluetooth могут участвовать в определении положения. IP-адрес даёт грубую географию. Платежи, чеки, поездки, аккаунты и фотографии добавляют контекст. Смартфон не имеет одного рубильника «невидимость». У смартфона много маленьких каналов, и каждый канал по отдельности выглядит безобидно.

Сотовая сеть видит телефон по определению

Мобильная связь устроена неприятно для приватности. Включённый телефон должен сообщить сети, что доступен. Иначе звонки, SMS и мобильный интернет не работали бы. Оператору нужно понимать, через какую базовую станцию обслуживать абонента, куда доставить вызов, как передать соединение при движении между сотами. Радиоинженерия не спрашивает, комфортно ли человеку с таким уровнем близости.

Точность зависит от плотности сети, технологии, рельефа, города, настроек и оборудования. В деревне с одной вышкой положение будет грубым. В плотной городской сети с несколькими секторами и дополнительными методами расчёта координата становится куда неприятнее. Даже без GPS операторская инфраструктура видит примерный маршрут: дом, работа, дорога, магазин, дача, больница, аэропорт. Для маркетолога это сегмент. Для следователя это маршрут. Для ревнивого партнёра с доступом к чужому личному кабинету это готовый бытовой триллер, только без сценариста.

Отдельный слой риска дают имитаторы базовых станций, которые называют IMSI-catcher или cell-site simulator. Такое устройство притворяется легитимной вышкой и пытается заставить телефоны рядом взаимодействовать с ним. Современные сети усложнили классические атаки. В 5G появился механизм SUCI, который скрывает постоянный идентификатор абонента, а современные реализации активнее используют временные идентификаторы и взаимную аутентификацию. Но фраза «5G всё решил» звучит красиво только в презентации. Защита зависит от конкретной сети, SIM, режима работы телефона и готовности устройства откатываться на старые стандарты. Там, где остаются 2G, 3G, неидеальный 4G и fallback-сценарии, риск не исчезает, а меняет форму.

Для обычного человека IMSI-catcher редко становится повседневной угрозой. Для журналиста, участника закрытых переговоров, сотрудника чувствительной компании, политика, активиста или человека внутри конфликтной ситуации такой риск уже не выглядит академическим. Большинство пользователей не заметят ложную базовую станцию. Телефон не выводит на экран честное предупреждение: «Поздравляем, рядом странная вышка, возможно, вас сейчас считают».

Wi-Fi и Bluetooth делают карту мира плотнее

Wi-Fi давно стал не только способом выйти в интернет. Названия и аппаратные адреса точек доступа превратились в навигационный слой. Телефон видит ближайшие сети, сравнивает набор с базой и быстрее определяет положение, особенно в помещениях и плотной городской застройке. Пользователь видит синюю точку на карте. Система видит радиоландшафт.

Угроза работает в две стороны. Телефон не только смотрит на точки доступа, но и сам участвует в радиообмене. Старые реализации Wi-Fi могли выдавать постоянный MAC-адрес при сканировании и подключении, что позволяло торговому центру, аэропорту или офисному кампусу узнавать одно и то же устройство снова и снова. Современные iOS и Android сильно снизили этот риск за счёт рандомизации MAC-адресов. Но снижение риска не равно исчезновение риска.

На iPhone, iPad и Mac используется частный Wi-Fi-адрес для каждой сети, а при сканировании без подключения Apple тоже применяет рандомизацию. Есть нюанс: сканирование при попытке подключиться к уже известной сети работает иначе, а сама сеть после подключения всё равно видит устройство как участника обмена. На Android начиная с Android 10 рандомизация MAC включена по умолчанию при подключении к Wi-Fi, но часто используется постоянный случайный адрес для конкретной сети. Для домашнего роутера удобно. Для приватности в публичных сетях не всегда идеально.

Bluetooth работает на меньшей дистанции, зато отлично описывает ближайшее окружение. Наушники, часы, браслеты, метки для поиска вещей, кассовые терминалы, автомобильные мультимедиа, умные колонки, телевизоры, чужие устройства рядом. Каждый объект создаёт маленькую радиосцену. Смартфон сканирует окружение, приложения запрашивают доступ к ближайшим устройствам, операционная система пытается ограничить злоупотребления, но сама возможность остаётся.

Торговые центры, аэропорты, стадионы и большие мероприятия любят такие данные. Bluetooth-маяки и Wi-Fi-инфраструктура помогают считать потоки людей: кто вошёл, где задержался, к какой витрине подошёл, как часто возвращается, какие зоны игнорирует. Посетитель думает, что выбирает кроссовки. Аналитическая система видит тепловую карту поведения. Никакой драмы, просто капитализм с датчиками.

Приложения часто опаснее радиомодуля

Радиоинтерфейсы дают сигнал, но приложения превращают сигнал в товар. Сотовая сеть хотя бы нужна для связи. А вот приложение с гороскопами, которое просит точную геолокацию, Bluetooth, локальную сеть и фоновую активность, похоже не на сервис, а на маленького сборщика налогов с вашей личной жизни.

Типовая схема скучна. Приложение просит разрешение. Пользователь нажимает «разрешить», потому что хочет быстрее перейти к делу. Внутри приложения работают аналитические и рекламные библиотеки. События уходят на серверы. Рекламный идентификатор, IP-адрес, модель устройства, версия ОС, язык, часовой пояс, разрешение экрана, список сетей, поведение в интерфейсе и другие признаки помогают собрать профиль. Один разработчик видит часть картины, рекламная сеть склеивает больше, брокер данных покупает ещё больше.

На iOS отдельно проверьте разрешение «Локальная сеть». Приложение с таким доступом может видеть устройства в вашей локальной сети: телевизоры, колонки, принтеры, медиаприставки, умный дом. Формально доступ нужен для нормальных сценариев вроде трансляции на экран. Практически набор домашних устройств может многое рассказать о месте, привычках и окружении. Если игра или простая утилита просит локальную сеть без ясной причины, отказ будет самым здоровым ответом.

На Android проверьте Wi-Fi scanning и Bluetooth scanning в настройках местоположения. Эти функции помогают приложениям точнее определять положение по ближайшим Wi-Fi-точкам и Bluetooth-устройствам. Производители формулируют мягко: повышение точности. Человеческий перевод звучит грубее: телефон получает ещё один способ понимать, где находится владелец.

Рекламный идентификатор больше не так всемогущ, как несколько лет назад, но хоронить трекинг рано. На Android рекламный ID можно удалить или сбросить в настройках приватности. На iOS система ATT заставляет приложения запрашивать разрешение на отслеживание, а отказ закрывает доступ к IDFA. Проблема в том, что рекламная индустрия не умерла от одного диалогового окна. Когда исчезает удобный номерок, в ход идут косвенные признаки и fingerprinting.

Отпечаток устройства собирают из мелочей: версия ОС, модель, язык, часовой пояс, экран, IP-адрес, сетевые параметры, поведение, иногда даже уровень заряда и другие технические детали, если платформа позволяет до них добраться. Один параметр мало что говорит. Комбинация параметров уже похожа на лицо в толпе. Куки можно удалить. Железо, экран, привычки и сетевой контекст удалить сложнее.

Фотографии тоже выдают маршрут

Камера может записывать координаты в EXIF-метаданные снимка. На бытовом уровне риск простой: человек отправляет «просто фото», а вместе с файлом уезжают координаты, время съёмки, модель устройства и другие технические поля. Мессенджеры и соцсети часто пережимают изображение и чистят метаданные при обычной отправке фото, но режим «файл» или «документ» часто сохраняет оригинал. В Telegram и WhatsApp такой сценарий особенно легко перепутать: фото как картинка обычно проходит через обработку, файл как документ ближе к оригиналу.

Даже очищенный EXIF не гарантирует тишину. Снимок сам по себе может выдать место. Вывески, номера домов, форма окон, вид из квартиры, отражение в стекле, геометрия двора, редкая плитка на станции метро. OSINT давно живёт не только в метаданных. Иногда координаты стирают, а на заднем плане остаётся адрес.

Перед чувствительной публикацией лучше чистить геометки на устройстве и проверять файл перед отправкой. На iPhone можно убрать данные о месте при отправке через системное меню. На Android зависит от галереи и производителя, но почти всегда можно отключить геометки в камере и использовать отдельный EXIF-cleaner. Скриншот тоже часто убирает исходные EXIF-данные, хотя качество и часть деталей меняются. Для доказательной фотографии, например в журналистике или расследованиях, всё наоборот: метаданные иногда нужно сохранить и передать безопасным способом. Приватность и сохранение доказательств редко дружат автоматически.

Кто видит ваш след на практике

Разные наблюдатели видят разные куски картины. Самый частый риск создают не спецслужбы с чемоданом антенн, а приложения, рекламные библиотеки, брокеры данных, аккаунты и люди, которым пользователь сам дал доступ. Скучно, зато правда. Большая часть утечек начинается не с кибероперации, а с кнопки «разрешить».

Мобильный оператор видит сетевую сторону: регистрацию телефона, соты, услуги, биллинг, часть технических параметров. Владелец Wi-Fi видит подключения к своей сети и сетевые метаданные. Производители ОС получают телеметрию и обслуживают системные функции: push-уведомления, синхронизацию, проверки обновлений, сертификаты, поиск устройств, облачные резервные копии. Эти запросы не всегда равны геолокации, но IP-адрес и временные паттерны добавляют контекст.

Работодатель с MDM-профилем может контролировать корпоративный смартфон глубже, чем сотруднику хочется думать. Семейный аккаунт, общий Apple ID или Google-аккаунт, поиск устройства, старый планшет с вашей учётной записью, умные часы, автомобильная мультимедиа, метка в сумке, облачная синхронизация фото и «временно дай пароль» создают бытовую слежку лучше многих дорогих систем. Люди любят искать шпионские технологии, но половина реальных проблем растёт из общего пароля и доверия не тому человеку.

Есть и рынок данных. В США регуляторы уже били по брокерам, которые продавали чувствительную геолокацию и позволяли восстанавливать посещения клиник, религиозных объектов и других мест, где точка на карте становится интимной биографией. В России формально действует законодательство о персональных данных, но обычному человеку от этого не становится сильно легче. Пользователь редко понимает, кто именно получил данные, как долго данные хранятся, кому перепроданы и как объединены с другими источниками. Бумажное согласие красиво закрывает юридическую дырку, но плохо закрывает человеческую уязвимость.

VPN не решает проблему радиомаяка

VPN полезен для защиты трафика в недоверенной сети и для переноса доверия от провайдера доступа к VPN-провайдеру. Но VPN не отменяет регистрацию телефона в сотовой сети, не глушит GPS, не запрещает приложению отправить координаты на сервер и не делает Bluetooth немым. Если приложение знает ваше местоположение, VPN не заставит приложение забыть координаты. Если оператор видит, к какой соте подключён телефон, VPN не стирает радиофакт присутствия.

Смешивать VPN и приватность местоположения удобно продавцам красивых обещаний. Они берут реальную технологию, добавляют рекламную пудру и продают чувство невидимости. Чувство приятное, но в модели угроз не участвует. В модели угроз участвуют разрешения, радиомодули, аккаунты, журналы, идентификаторы, серверы и люди, которые получают к ним доступ.

Для части трекеров полезнее не VPN, а фильтрация DNS и сетевых запросов. Например, NextDNS, AdGuard DNS, RethinkDNS или локальный контроль через NetGuard помогают резать часть аналитики и рекламных доменов. Такой подход не лечит всё. Зато хорошо показывает, сколько лишних соединений пытается сделать обычное приложение, которое на экране показывает погоду, скидки или милую кнопку «продолжить».

Как снизить риск без ухода в пещеру

Полностью убрать след можно только радикально: выключить телефон, убрать SIM, оставить устройство дома, не брать умные часы, не таскать Bluetooth-метки, не платить картой, не логиниться в аккаунты. Для обычной жизни такой режим подходит плохо. Значит, нужен не культ чистоты, а разумная гигиена.

• Откройте разрешения геолокации. Карты, такси и навигатору точная геолокация нужна. Игре, калькулятору скидок и приложению с обоями обычно нет.
• Уберите точную геолокацию там, где хватит примерной. Погоде не нужен ваш подъезд.
• Запретите фоновый доступ к местоположению большинству приложений. Режим «всегда» должен быть исключением.
• На Android отключите Wi-Fi scanning и Bluetooth scanning, если точная геолокация по радиососедям не нужна.
• На iPhone проверьте «Службы геолокации», Bluetooth, «Локальная сеть», «Отслеживание» и отчёт о конфиденциальности приложений.
• Удалите или сбросьте рекламный идентификатор на Android. На iOS отключите запросы на отслеживание и пересмотрите приложения, которым уже дали разрешение.
• Включайте частные Wi-Fi-адреса и не отключайте рандомизацию MAC без причины. Если сеть требует постоянный MAC ради авторизации, понимайте цену удобства.
• Удалите приложения, которыми не пользуетесь. Самая надёжная настройка приватности для мусорного приложения называется «удалить».
• Отключите геометки в камере, если часто отправляете оригиналы фотографий незнакомым людям, подрядчикам, редакциям или в публичные каналы.
• Разделяйте личный и рабочий телефон. Корпоративный MDM и личная жизнь плохо сочетаются в одном корпусе.
• Для чувствительных встреч оставляйте телефон за пределами помещения. Авиарежим снижает радиовидимость, но в современных ОС Wi-Fi и Bluetooth могут оставаться активными или включаться отдельно.
• Для параноидального сценария одного выключения iPhone уже мало. При включённой сети Find My поддерживаемые модели могут оставаться обнаруживаемыми после выключения ограниченное время. Нужны физическое отсутствие устройства или экранирующий чехол, а не вера в кнопку питания.

Из полезных инструментов можно посмотреть Exodus для проверки трекеров в Android-приложениях, NetGuard или RethinkDNS для контроля сетевой активности, AirGuard для поиска неизвестных Bluetooth-меток и системные отчёты приватности iOS и Android. Инструмент не заменяет голову. Но инструмент хотя бы показывает, какая тихая вечеринка происходит за экраном.

Главная мысль неприятная, но полезная

Смартфон не плохой. Плохой договор между удобством, рынком данных и нашей ленью. Мы хотим, чтобы карта мгновенно находила кафе, такси приезжало к подъезду, банк узнавал подозрительный вход, часы считали шаги, наушники подключались сами, фотографии раскладывались по местам, а приложение доставки помнило адрес. Потом внезапно выясняется, что все эти удобства требуют памяти. Причём память часто лежит не у пользователя.

Разумная позиция не в том, чтобы выбросить телефон и уйти жить к мху. Разумная позиция проще: считать смартфон активным участником вашей жизни, а не пассивным стеклом в кармане. У смартфона есть радиоголос. У приложений есть аппетит. У рынка данных есть покупатели. У государства и корпораций есть инфраструктура. У пользователя остаётся дисциплина: не давать лишнего, проверять настройки, удалять мусор, разделять личное и рабочее, понимать цену удобства.

Если совсем коротко, смартфон действительно похож на радиомаяк. Только маяк на берегу честно светит всем кораблям, а смартфон делает вид, что просто помогает найти ближайшую кофейню.

Вопросы и ответы

* WhatsApp принадлежит Meta Platforms Inc., которая признана экстремистской организацией и запрещена в РФ.