Signal szczyci się swoją prywatnością. Jednak czy na pewno nie ma w sobie modułu śledzącego?
Signal, rzekomo prywatny komunikator, wysyła twoje dane Facebookowi? [AKTUALIZACJA]
Pod koniec tekstu zamieściłem ważną aktualizację, która jest konkluzją do tego materiału
Signal to, obok Telegrama, najpopularniejszy z "alternatywnych komunikatorów", przy czym słowo "alternatywne", rozumiane tu jest jako alternatywa dla produktów największych marek - Facebooka (Messenger, WhatsApp, Instagram Direct), Google (jakikolwiek z 15 komunikatorów), Microsoftu i innych. Alternatywa bardzo potrzebna, ponieważ wszystkie te duże firmy mają jedną wspólną cechę - zbierają zarówno nasze meta dane, jak i mają wgląd w to, o czym rozmawiamy i mogą te dane przekazać komukolwiek. Tak, jak np. Facebook, który przekazał dane o rozmowie nastolatki policji, która podejrzewała ją o dokonanie aborcji. Teoretycznie ten drugi problem powinien być rozwiązany przez szyfrowanie end-to-end, ale i także w tym przypadku nie ma co ufać w dobrą wolę korporacji, ponieważ ich end-to-end to pakiet łączony pt. "szyfrowanie + backdoor, który pozwala nam sprawdzać, o czym rozmawiają użytkownicy". Dlatego byłem dużym fanem Signala, który nie tylko zapewniał szyfrowanie end to end, jak i - nie kolekcjonował naszych metadanych.
Informacje o tym, jak prywatny jest Signal znajdziemy wszędzie. Na ich stronie internetowej możemy przeczytać, że nie ma "paskudnego śledzenia", na stronie App Store mamy informacje, że program zbiera tylko nasze dane kontaktowe (czyt. numer telefonu, potrzebny do rejestracji), a w wielu miejscach możemy przeczytać, dlaczego Signal to lepsza alternatywa dla np. Messengera, właśnie ze względu na prywatność. I zgadzam się w całej rozciągłości, że wciąż lepiej komunikować się przez niego, niż przez cokolwiek, co stworzyły wielkie korporacje. Jednak od pewnego czasu coś niedobrego działo się z Signalem - zaczęli wdrażać niepotrzebne funkcje, usuwając przydatne. To, co zobaczyłem jednak dziś, przeszło moje najśmielsze oczekiwania.
Zapnijcie pasy - czy Signal szpieguje was dla Facebooka?
Kiedy ostatni raz sprawdzałem swoje aplikacje pod kątem trackerów za pomocą Tracker Control, doszedłem do oczywistego wniosku, że większość programów szpieguje na potęgę, co było smutne, ale spodziewane. Głównie dlatego, że szpiegowały te programy, które o szpiegowanie podejrzewałem. Zrobiłem czystki, pozbywając się najgorszych szpiegów i wróciłem do używania klasycznego VPN. Minęło nieco czasu i na potrzeby ostatniego tekstu zainstalowałem DuckDuckGo, która również posiada funkcje wykrywania trackerów. I jakież było moje zdziwienie, gdy na liście programów które nas śledzą pojawił się... Signal. I to w całej rozciągłości. Trackery w programie ma jedna firma i jest to... sam Facebook. Co gorsza, wysyła on tam całą tonę informacji.
Jak się okazuje, Signal pobiera z telefonu takie dane, jak nasz identyfikator reklamowy, nasza lokalizacja, płeć, informacje o naszym smartfonie, naszej sieci czy nawet stanu, w jakim jest nasz telefon. Signalowi te dane są po nic, ale Facebookowi - już tak. Jednocześnie - nigdzie w sieci nie ma informacji o tym, że Signal robi dokładnie to, czego obiecywał nie robić, czyli zbiera dane userów. Wytłumaczeń może być kilka. Po pierwsze, można założyć, że to DuckDuckGo się myli i że mamy tu do czynienia z false positive. Jednak jest to dosyć mało prawdopodobne, chociaż jakaś część mnie chce, żeby tak się właśnie stało. Signal to program open source, więc nie chce mi się wierzyć, że ktoś przemycił tracker w raki sposób, by społeczność się o nim nie dowiedziała. Niemniej, napisałem w tej kwestii do Signala, więc zamieszczę tu odpowiedź, kiedy (o ile) ją dostanę.
Niestety, bardziej prawdopodobne jest to, że wewnątrz Signala faktycznie znajduje się tracker. Jeżeli tak by było, podkopałoby to reputację Signala jako w pełni bezpiecznego komunikatora. Na pewno nie chcę wysuwać tutaj pochopnych wniosków. Mam szczerą nadzieję, że nie jest to prawda, ponieważ w takim wypadku Signal stałby się tym, czym obiecywał nie być.
AKTUALIZACJA 20.11.2022
Po kilku dniach otrzymałem odpowiedź od Signala, którą zamieszczam poniżej w oryginale:
Thanks for reaching out. The data that the DuckDuckGo app sees doesn’t originate from Signal. This is data generated from specific websites in the process of displaying a link preview. This happens outside of Signal; Signal doesn’t control this process, and doesn’t collect or otherwise access this data.
Wychodzi więc na to, że sam Signal nie zbiera danych (na szczęscie), ale za każdym razem gdy generujecie podgląd linku, Facebook otrzymuje o was całkiem sporo informacji. Z jednej strony dobrze, że Signal nie ma z tym nic wspólnego, a z drugiej - szkoda, że zaimplementowali rozwiązanie, przez które i tak dane użytkowników trafiają do Facebooka.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu