Le parole di Internet: metadati (e cosa se ne fa WhatsApp)

I metadati sono le informazioni che descrivono dei dati. Per esempio, i metadati di un documento Word possono essere la data e l’ora di creazione, il nome dell’autore e così via. I metadati di una fotografia possono essere il tipo di fotocamera, i parametri di scatto (tempo e diaframma), la data e l’ora dello scatto e le coordinate geografiche del luogo nel quale è stata fatta la foto.

Di solito i metadati sono considerati poco importanti, specialmente quando c’è di mezzo la crittografia. Prendete per esempio WhatsApp, una delle più diffuse app che offre a tutti gli utenti la cosiddetta crittografia end-to-end: in altre parole, i messaggi di WhatsApp sono cifrati e indecifrabili dal momento in cui lasciano il vostro smartphone al momento in cui arrivano su quello del destinatario (o quelli dei destinatari), e neanche WhatsApp può leggerli.

Questo crea in molti utenti una rischiosa illusione di sicurezza e anonimato che è meglio smontare, in modo da usare correttamente questi servizi di messaggistica tenendo conto dei loro limiti.

Il problema è spiegare come e quanto possono essere sfruttati i metadati: l’obiezione tipica è che se il contenuto di un messaggio o di una conversazione è segreto, non importa se qualcuno ha i suoi metadati. Per esempio, WhatsApp ha pieno accesso ai metadati dei messaggi degli utenti, ma cosa vuoi che se ne faccia? Sa che Mario e Rosa si sono parlati, ma non sa cosa si sono detti, no?

Un primo modo per spiegare meglio l’importanza dei metadati è chiamarli in maniera comprensibile. Come suggerisce Edward Snowden, provate a sostituire metadati con informazioni sulle attività.

Are your readers having trouble understanding the term "metadata"? Replace it with "activity records." That's what they are. #clarity

— Edward Snowden (@Snowden) 2 novembre 2015

Un altro modo è proporre degli esempi che facciano emergere il valore dei metadati, come fa la Electronic Frontier Foundation qui. Cito e traduco adattando al contesto italofono:

• Loro sanno che hai chiamato una linea erotica alle 2:24 del mattino e hai parlato per 18 minuti. Ma non sanno di cosa hai parlato.
• Loro sanno che hai chiamato il numero per la prevenzione dei suicidi mentre eri su un ponte. Ma l’argomento della conversazione resta segreto.
• Loro sanno che hai parlato con un servizio che fa test per l’HIV, poi con il tuo medico e poi con il gestore della tua assicurazione sanitaria. Ma non sanno di cosa avete discusso.
• Loro sanno che hai chiamato un ginecologo, gli hai parlato per mezz’ora, e poi hai chiamato il consultorio locale. Ma nessuno sa di cosa avete parlato.

In concreto, quali metadati (o meglio, quali informazioni sulle attività) raccoglie WhatsApp?

Secondo Romain Aubert (freeCodeCamp), WhatsApp accede a tutti i numeri della rubrica del vostro smartphone (vero: è nelle FAQ), e lo fa “in modo ricorrente” e includendo “sia quelli degli utenti dei nostri Servizi, sia quelli dei tuoi altri contatti” (fonte). WhatsApp inoltre raccoglie

il modello di hardware, informazioni sul sistema operativo, informazioni sul browser, l’indirizzo IP, informazioni sulle reti mobili compreso il numero di telefono, e gli identificatori del dispositivo. Se usi le nostre funzioni di localizzazione... raccogliamo informazioni sulla localizzazione del dispositivo [...]

(dalla privacy policy di WhatsApp)

Oltre a fare questa raccolta massiccia di metadati che riguarda circa un miliardo e mezzo di persone (dati Statista), per cui quello che non gli date voi se lo può sicuramente prendere dai vostri amici e contatti che usano l’app, WhatsApp ha un altro limite nell’uso della crittografia: il contenuto dei messaggi (testi, foto, conversazioni) viene conservato sul dispositivo senza protezioni, per cui se qualcuno ha accesso al vostro smartphone può leggere tutto, e questo è piuttosto ovvio: meno ovvio è che se qualcuno mette le mani sullo smartphone di uno qualsiasi dei vostri interlocutori può spiare la conversazione. Quindi la vostra riservatezza è determinata dal più sbadato dei vostri amici.

C’è anche la questione dei backup di WhatsApp, se li avete attivati: se il vostro smartphone è un Android, il backup (su Google Drive) non è cifrato e quindi è recuperabile. Se è un iPhone, invece, il backup (su iCloud) lo è.

Se preferite un’alternativa che raccolga molti meno metadati, c’è Signal: è open source, è gratuito (sostenuto dalle donazioni), è slegato dalle logiche di sorveglianza commerciale e raccoglie soltanto il vostro numero di telefonino e il giorno (non l’ora) della vostra ultima connessione ai loro server.

L’unico difetto di Signal è che tutti usano invece WhatsApp, ed è inutile avere un’app blindatissima se poi non la usa nessuno dei vostri amici. Però potreste provare a convincerli a usare entrambi.