Social media
#CyberMagazyn: Czy dane z aplikacji mobilnych mogą być wykorzystane jako broń?
Aplikacje, które instalujemy na swoich telefonach, gromadzą na nasz temat ogromne ilości danych. Informacje o tym, gdzie przebywamy, jak korzystamy ze smartfona i jakie programy się na nim znajdują, to cenne dane, które można dziś nie tylko zmonetyzować, ale również wykorzystać przeciwko konkretnym osobom bądź grupom społecznym.
Przez bardzo wiele lat firmy dostarczające oprogramowanie i brokerzy danych zapewniali użytkowników telefonów komórkowych, że dane gromadzone z aplikacji są anonimizowane i mogą zostać wykorzystane jedynie do budowy profili reklamowych. Przypadek amerykańskiego duchownego, którego dane z telefonu komórkowego zdemaskowały go jako użytkownika aplikacji randkowej dla homoseksualnych mężczyzn oraz bywalca gejowskich barów (opisaliśmy tę sprawę na łamach Cyberdefence24.pl) pokazuje, że twierdzenia te w wymiarze praktycznym mijają się z prawdą.
Przypadek amerykańskiego duchownego Jeffreya Burrilla pokazuje, że dane, które nosimy w swoich smartfonach, mają dokładnie tę samą moc, co informacje pozyskiwane w klasycznych operacjach rozpracowania celu przez organy wywiadowcze.
Rynek danych wciąż rośnie, wraz z upowszechnieniem urządzeń mobilnych, łatwym dostępem do internetu i rosnącą popularnością Internetu Rzeczy generujemy coraz większą ich ilość. Aplikacje – jak wszystko – podlegają modzie. Te popularne, służące np. do obróbki zdjęć, na które moda przemija, zwyczajowo gromadzą najwięcej informacji o użytkownikach, domagając się od nich „niezbędnych” do funkcjonowania zezwoleń, które zazwyczaj przydzielamy, chcąc skorzystać z pociesznej funkcjonalności, której używa już tylu naszych znajomych.
Później odinstalowujemy niepotrzebny nam już program, lecz dane przez niego zebrane idą w świat. Wielka machina cyfrowej gospodarki spokojnie kręci się dalej.
Fałszywe złudzenie anonimizacji
Anonimizacja danych nie powinna pozwalać na tak łatwe zidentyfikowanie danej osoby, jak to miało miejsce w przypadku Burrilla. Duchowny został „namierzony”, gdyż ze zbioru danych geolokalizacyjnych z Grindra wyszczególniono informacje dotyczące telefonu, który logował się jednocześnie w siedzibie konferencji episkopatu USA.
„Informacje generowane w ramach korzystania z aplikacji mobilnych lub webowych w pewnych warunkach mogą być bardzo identyfikujące” – ocenił w rozmowie z serwisem Cyberdefence24.pl niezależny badacz prywatności i cyberbezpieczeństwa, dr Łukasz Olejnik. „Najbardziej wrażliwe ryzyko związane jest z sytuacją, gdy zachodzi łączenie danych i któreś z nich – bądź wszystkie – w jakiś sposób identyfikują lub opisują użytkownika” – dodał.
Olejnik odnosi się tu do sytuacji, w której dane np. o lokalizacji użytkownika urządzenia łączone są z informacjami rejestrowanymi przez inne sensory – np. akcelerometr. „Jeśli ktoś ma dostęp do takich danych, to być może mógłby wyciągnąć wnioski, których szczegółowość byłaby dla ofiary zaskakująca” – powiedział ekspert.
Jak wskazał, ryzykiem nie zawsze musi być deanonimizacja konkretnej osoby. „Mogą to być również miejsca, tak jak to było w przypadku opublikowania danych o aktywności fizycznej z aplikacji Strava przez wojskowych, co umożliwiło detekcję tajnych lub nieoficjalnych położeń rzekomych baz wojskowych” – zaznaczył specjalista.
Dane nie zawsze ujawniane są w wyniku złej woli. Czasami do ich wycieku może doprowadzić incydent cyberbezpieczeństwa, wskutek którego baza danych staje się publicznie dostępna. „Chodzi więc nie tylko o łączenie danych, ale też o ich ogólną dostępność” – wskazał Olejnik.
Dane jako broń
Olejnik podkreślił, że zagrożenia związane z danymi nie dotyczą wyłącznie komercyjnych i łatwo dostępnych aplikacji.
„Znany jest scenariusz, w którym żołnierze jednej ze stron konfliktu mają w swych urządzeniach zainstalowane złośliwe oprogramowanie dostarczające dane lokalizacyjne drugiej stronie konfliktu, w taki sposób, żeby mogła wykorzystać je do namierzania wroga” – powiedział badacz. Jak podkreślił, do tej pory jednak takiego scenariusza nie zrealizowano nigdzie w praktyce.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.