#CyberMagazyn: Czy dane z aplikacji mobilnych mogą być wykorzystane jako broń?

Przez bardzo wiele lat firmy dostarczające oprogramowanie i brokerzy danych zapewniali użytkowników telefonów komórkowych, że dane gromadzone z aplikacji są anonimizowane i mogą zostać wykorzystane jedynie do budowy profili reklamowych. Przypadek amerykańskiego duchownego, którego dane z telefonu komórkowego zdemaskowały go jako użytkownika aplikacji randkowej dla homoseksualnych mężczyzn oraz bywalca gejowskich barów (opisaliśmy tę sprawę na łamach Cyberdefence24.pl) pokazuje, że twierdzenia te w wymiarze praktycznym mijają się z prawdą.

Przypadek amerykańskiego duchownego Jeffreya Burrilla pokazuje, że dane, które nosimy w swoich smartfonach, mają dokładnie tę samą moc, co informacje pozyskiwane w klasycznych operacjach rozpracowania celu przez organy wywiadowcze.

Rynek danych wciąż rośnie, wraz z upowszechnieniem urządzeń mobilnych, łatwym dostępem do internetu i rosnącą popularnością Internetu Rzeczy generujemy coraz większą ich ilość. Aplikacje – jak wszystko – podlegają modzie. Te popularne, służące np. do obróbki zdjęć, na które moda przemija, zwyczajowo gromadzą najwięcej informacji o użytkownikach, domagając się od nich „niezbędnych” do funkcjonowania zezwoleń, które zazwyczaj przydzielamy, chcąc skorzystać z pociesznej funkcjonalności, której używa już tylu naszych znajomych.

Później odinstalowujemy niepotrzebny nam już program, lecz dane przez niego zebrane idą w świat. Wielka machina cyfrowej gospodarki spokojnie kręci się dalej.

Fałszywe złudzenie anonimizacji

Anonimizacja danych nie powinna pozwalać na tak łatwe zidentyfikowanie danej osoby, jak to miało miejsce w przypadku Burrilla. Duchowny został „namierzony”, gdyż ze zbioru danych geolokalizacyjnych z Grindra wyszczególniono informacje dotyczące telefonu, który logował się jednocześnie w siedzibie konferencji episkopatu USA.

„Informacje generowane w ramach korzystania z aplikacji mobilnych lub webowych w pewnych warunkach mogą być bardzo identyfikujące” – ocenił w rozmowie z serwisem Cyberdefence24.pl niezależny badacz prywatności i cyberbezpieczeństwa, dr Łukasz Olejnik. „Najbardziej wrażliwe ryzyko związane jest z sytuacją, gdy zachodzi łączenie danych i któreś z nich – bądź wszystkie – w jakiś sposób identyfikują lub opisują użytkownika” – dodał.

Olejnik odnosi się tu do sytuacji, w której dane np. o lokalizacji użytkownika urządzenia łączone są z informacjami rejestrowanymi przez inne sensory – np. akcelerometr. „Jeśli ktoś ma dostęp do takich danych, to być może mógłby wyciągnąć wnioski, których szczegółowość byłaby dla ofiary zaskakująca” – powiedział ekspert.

Jak wskazał, ryzykiem nie zawsze musi być deanonimizacja konkretnej osoby. „Mogą to być również miejsca, tak jak to było w przypadku opublikowania danych o aktywności fizycznej z aplikacji Strava przez wojskowych, co umożliwiło detekcję tajnych lub nieoficjalnych położeń rzekomych baz wojskowych” – zaznaczył specjalista.

Dane nie zawsze ujawniane są w wyniku złej woli. Czasami do ich wycieku może doprowadzić incydent cyberbezpieczeństwa, wskutek którego baza danych staje się publicznie dostępna. „Chodzi więc nie tylko o łączenie danych, ale też o ich ogólną dostępność” – wskazał Olejnik.

Dane jako broń

Olejnik podkreślił, że zagrożenia związane z danymi nie dotyczą wyłącznie komercyjnych i łatwo dostępnych aplikacji.

„Znany jest scenariusz, w którym żołnierze jednej ze stron konfliktu mają w swych urządzeniach zainstalowane złośliwe oprogramowanie dostarczające dane lokalizacyjne drugiej stronie konfliktu, w taki sposób, żeby mogła wykorzystać je do namierzania wroga” – powiedział badacz. Jak podkreślił, do tej pory jednak takiego scenariusza nie zrealizowano nigdzie w praktyce.

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.