Większość użytkowników smartfonów nie zdaje sobie sprawy, jak dużo prywatnych danych dostaje się w ręce deweloperów aplikacji. Większość internetowych komunikatorów wykorzystywanych w Polsce zarabia na handlu metadanymi.
Działalność ta nie jest żadnym tematem tabu, ani skrycie ukrywaną prawdą. Sklep Apple od niedawna wymaga od twórców aplikacji publikowania informacji o zbieranych przez oprogramowanie danych.
Facebookowy Messenger sam informuje użytkownika, że zapisuje jego historię zakupów, informacje o finansach, lokalizację, adresy kontaktów, zdjęcia i materiały wideo, historię wyszukiwania, diagnostykę urządzenia i wiele innych – wie także o czym i z kim rozmawiasz. Inne aplikacje nie mają dostępu do treści wiadomości, ale posiadają między innymi informacje o której i skąd się z kimś kontaktowałeś oraz ile trwała rozmowa.
Takie dane o innych danych to właśnie metadane. I choć brzmi to nieco dziwnie, to właśnie pakiety tego typu są bardzo cenną walutą w Sieci. Metadane to ustrukturalizowane informacje opisujące zasoby danych, a więc na przykład wspomniany wcześniej czas i miejsce wysłania wiadomości, ale nie sama jej treść. Cztery najpopularniejsze na rynku komunikatory diametralnie różnią się liczbą przekazywanych do operatora informacji na temat użytkownika.
Messenger wprowadza co prawda coraz lepsze zabezpieczenia, ale działa to trochę jak dokładanie kolejnych kłódek w wejściu do banku, pozostawiając wciąż otwarte tylne drzwi – aplikacja ta nie posiada nawet pełnego szyfrowania typu end-to-end. WhatsApp opiera się na protokole Signala, ale jest przecież własnością Facebooka – choć nie ma dostępu do treści wiadomości, to zbiera wszystkie możliwe metadane na temat konwersacji.
Telegram natomiast to aplikacja autorstwa Rosjanina, który zbiegł ze swojego kraju i osiadł w USA, chociaż w tym nie byłoby jeszcze nic podejrzanego. Oprogramowanie to opiera się na własnej kryptografii, jego kod źródłowy nie jest całkowicie otwarty. Eksperci krytykują go także za dziurawy model bezpieczeństwa.
Wspomniany wcześniej Signal, to aplikacja uznawana za najbezpieczniejszą. Posiada otwarty kod źródłowy, co pozwala każdemu na przeanalizowanie sposobu działania oprogramowania i znalezienia w nim ewentualnych “furtek”. Istnieje cała społeczność, która pracuje nad bezpieczeństwem aplikacji i czuwa, żeby serwery zbierały wyłącznie minimalną ilość danych potrzebnych do świadczenia usług.
Autorzy aplikacji nie mają dostępu do żadnych kontaktów ani metadanych – nie powstaje żaden rejestr wykonywanych między użytkownikami połączeń czy wymian wiadomości. Signal wspiera szyfrowane rozmowy audio i wideo dla maksymalnie ośmiu osób, korzysta ze zweryfikowanych standardów algorytmów kryptograficznych, a także posiada tak zwane “znikające wiadomości”, które mogą kasować się po paru minutach po odczytaniu.
Nawet w przypadku korzystania z najbezpieczniejszego komunikatora, nigdy nie ma pewności, że nasze dane pozostaną prywatne. Oprogramowanie powszechnie uważane za bezpieczne może na przykład nie posiadać szyfrowania – idealnym przykładem jest tu Telegram. Niektóre aplikacje tworzą kopie bezpieczeństwa wysyłane do chmury – jest to wygodna metoda przywracania danych w przypadku zgubienia czy wyczyszczenia telefonu, ale w skrajnych przypadkach może być wykorzystana przez specjalistów do dotarcia do starszych wiadomości.
Należy także pamiętać o najprostszym sposobie na utratę bezpieczeństwa danych – zrzut ekranu rozmowy wykonany przez rozmówcę. Nie ma znaczenia, że zaszyfrowana wiadomość przejdzie bezpiecznie przez Sieć, skoro na samym końcu inny użytkownik może zrobić screena konwersacji. Podobnie działa zhackowanie telefonu i dostęp do treści wyświetlanych na jego ekranie.
Ochrona przed tak skomplikowanym atakiem może być wyjątkowo trudna, a dzisiaj prawie niemożliwa – dobra wiadomość jest taka, że dopóki nie jest się VIP-em, prawdopodobieństwo takiej ofensywy ze strony hakerów jest wyjątkowo małe.
