- Det er overraskende hvor godt vi treffer. Og vi er bare amatører, sier professor Kjell Hole ved Institutt for informatikk ved Universitetet i Bergen.

På Høyteknologisenteret i Bergen har han veiledet master­studenten Andrea Cresta fra Italia i to måneder.

Ved å hente inn metadata fra mobiltelefonene til 30 venner, finner Cresta ut i hvor stor grad han kan gjenkjenne dem ut fra mobilbruken deres.

Påfallende resultat

Vennene har installert en app på smarttelefonen sin. Den samler informasjon om hvem de ringer, når og hvor lenge. I tillegg overvåker den batteribruken, registrerer hvilke nettsider de besøker og hvor de beveger seg.

Med jevne mellomrom sender appen resultatene til Cresta, som bruker dem til å lage en profil på hver av dem. Både italieneren og veilederen synes det er på­fallende hvor robust profilen er.

- Det er lett å kjenne dem igjen, selv med små mengder informasjon, sier Cresta.

- Overraskende forutsigbare

Ved for eksempel å se på hvor lenge en person har ladet telefonen sin om natten, kan han med ganske høy sannsynlighet si hvem av de 30 vennenes data han ser på skjermen.

Med én opplysning til, for eksempel hvilke steder de beveger seg, kan han være nesten sikker.

- Folk er overraskende forutsigbare, og har faste mønstre i hvordan de beveger seg og bruker mobilen sin, sier masterstudenten.

I masteroppgaven vil Cresta se på hvordan disse mønstrene kan gjøre det sikrere å bruke telefonen til tjenester der man må identifisere seg.

- Hvis telefonen din blir stjålet, vil ikke bruken matche profilen lenger. Da kan det for eksempel legges inn en sperre mot å bruke nettbanken, sier han.

Lett å identifisere

Problematikken rundt innhenting av metadata har vært et tema lenge, blant annet under debatten rundt datalagringsdirektivet. Direktivet, som nå er utsatt for fjerde gang, innebærer at informasjon om alle borgeres telefon— og datatrafikk skal lagres i minimum seks måneder.

Informasjonen som ifølge datalagringsdirektivet skal lagres, er lik den Cresta bruker for å gjenkjenne deltakerne i eksperimentet.

- Det er ufarlig helt til noen bestemmer seg for å gjøre noe med informasjonen, sier veileder Hole.

Informasjonen som vennene gir frivillig til Cresta, er også av samme karakter den som norsk etterretningstjeneste i går fortalte at de henter inn i store mengder fra utlandet.

Mens 25-åringen fra Roma kjenner identiteten på alle personene som er med i hans eksperiment, gjør ikke etterretnings­organisasjoner nødvendigvis det.

- Men selv for meg ville det være lett å finne ut hvilken person det dreier seg om, basert på metadata, når man har fulgt dem over tid, sier han.

Sender uten å si fra

Ved å følge bevegelsene deres kan man for eksempel finne ut hvor en person bor eller jobber. Det kan igjen sjekkes mot offentlig tilgjengelig informasjon som telefonkataloger.

- Når vi som amatører er i stand til å finne ut så mye, kan man bare tenke seg hva etter­retningsorganisasjonene kan finne ut, sier professor Hole.

Mange apper som folk frivillig installerer på telefonene sine, henter også enda mer informasjon enn det Cresta henter. Noen til og med uten å si fra.

Da Wall Street Journal gikk gjennom 101 av de mest populære appene, blant dem det populære spillet Angry Birds, fant de ut at mange av dem videresendte serie­nummer, plassering, kontakter samt brukernavn og passord.