„Superciasteczka” powracają: operatorzy komórkowi coraz chętniej nas śledzą

Obecnie wiele firm podchodzi do kwestii prywatności użytkownika zdecydowanie niedbale. Liczą się bowiem reklamy i możliwość ich personalizacji. Z wieloma sprawami możemy coś zrobić, w innych jesteśmy niemalże bezbronni. Przykładem tej drugiej grupy są supercookies, mechanizm coraz częściej stosowany przez różnych operatorów komórkowych.

O technologii tej zrobiło się głośno już kilka lat temu, ale teraz sprawa powróciła ze zdwojoną siłą za sprawą badań ekspertów z organizacji Access, która zajmuje się analizowaniem różnych rozwiązań i ochroną prywatności. Ostatni ich raport pokazuje, że problem śledzenia naszych poczynań staje się coraz większy, a zarazem mamy coraz mniejszy wpływ na to, co tak naprawdę się dzieje. Już samo posiadanie telefonu komórkowego pozwala na wyznaczenie miejsca naszego pobytu (np. za sprawą logowania do stacji BTS), określenia gdzie pracujemy lub uczymy się, ale w połączeniu z dodatkowymi opcjami tworzy infrastrukturę do szybkiej wymiany danych.

Operatorzy wykorzystują tzw. supercookies. Określenie to nie jest do końca prawidłowe, niemniej dobrze oddaje cel jego zastosowania. Gdy łączymy się z jakąś stroną internetową z poziomu urządzenia mobilnego i poprzez transmisję komórkową (np. 3G lub LTE), dane przechodzą przez serwery operatora. Ten zapisuje dane na nasz temat w swojej bazie profili, ale również modyfikuje nasze żądanie – dokleja do nich nagłówek HTTP z unikaną zawartością. Ta informacja może posłużyć właścicielom witryn internetowych. Jeżeli podpiszą oni odpowiednie umowy z operatorami, identyfikator może posłużyć do wydobycia z wcześniej wspomnianej bazy informacji na nasz temat. Dzięki temu strona może przesyłać spersonalizowane informacje i reklamy związane z naszą aktywnością.

Jak widać, przypomina to nieco ciasteczka stosowane zarówno do zapewnienia odpowiedniej funkcjonalności stron, jak i właśnie śledzenia użytkowników. Dlaczego natomiast „super”? Wyjaśnienie jest proste: zwykłe ciasteczka działają jedynie w obrębie jednej konkretnej domeny. Tutaj baza jest scentralizowana, umożliwia to zbieranie informacji o wszystkich stronach i jeszcze lepsze personalizowanie wyników pod konkretną osobę. Co więcej, tego typu identyfikatorów nie jesteśmy w stanie usuwać ani modyfikować. W przeciwieństwie do zwykłych ciasteczek, nagłówki nie są przesyłane z naszego komputera, lecz doklejane dopiero po stronie operatora, gdzie nie mamy już żadnej kontroli nad tym, co przesyłamy na strony internetowe. Tak naprawdę tego typu modyfikowanie ruchu można równie dobrze określić mianem ataku man in the middle wykonanego przez operatora.

Jak się okazuje, ta technika śledzenia użytkownika była wykorzystywana już w roku 2000 przez amerykańską sieć Sprint. Kolejne ślady prowadzą do roku 2006 i sieci O2 w Wielkiej Brytanii. Z każdym następnym rokiem jest natomiast coraz gorzej. Access złożyło już odpowiednie protesty, ale jak na razie niewiele z nich wynika. Rozszerzone badania pokazały natomiast, że śledzenie tego typu było wykorzystywane w 15,3% badanych użytkowników. Na liście znajdziemy takie kraje jak USA, Hiszpania, Holandia, Kanada, Indie, Chiny i Peru. Co gorsza, niektóre z nagłówków przesyłały w formie niezaszyfrowanej numer telefonu internauty. Nadzieją na poprawę sytuacji jest rozpowszechnianie się stron internetowych korzystających z transmisji szyfrowanej. Ta uniemożliwia operatorom modyfikowanie żądań i przesyłanie własnych nagłówków, choć oczywiście do ich bazy nadal trafiają niektóre informacje na nasz temat.

Access przygotowało także specjalną stronę internetową, która w nieszkodliwy sposób „emuluje” takie śledzenie użytkownika i umożliwia wykrycie, czy operator komórkowy, z którego korzystamy, dopuszcza się tego typu praktyk. Jeżeli jesteście zainteresowani sprawdzeniem swojego usługodawcy, zachęcamy do odwiedzenia tej strony z poziomu urządzenia mobilnego. To musi łączyć się ze wspomnianą witryną za pośrednictwem transmisji komórkowej.