In Security Engineering si intendono per Metadati tutti i dati associati alle comunicazioni, ad esempio la posizione geografica della sorgente e del destinatario del messaggio, gli orari delle comunicazioni, ecc.

"Se veniamo osservati in tutto ciò che facciamo, siamo sotto costante minaccia di correzione, giudizio, critica, persino plagio della nostra individualità. Perdiamo la nostra individualità, perché tutto ciò che facciamo è osservabile e registrabile."

 Bruce Schneier

E' il sistema di difesa delle telecomunicazioni più utilizzato. Consiste di una scheda SIM anonima, un telefono cellulare (utilizzato solo con questa SIM) e delle Norme d'Uso (un protocollo).
E' indicato quando è necessario comunicare con un numero relativamente elevato di interlocutori, non definibili a priori  (e cioè non è possibile sapere in anticipo chi si deve chiamare). E' appropriato anche quando non è conveniente impiegare una rete di telefoni criptati, per ragioni di praticità, oppure perché l'uso di normali telefoni criptati potrebbe dare evidenza indesiderata di una relazione fra gli interlocutori.
A dispetto della sua semplicità, viene correntemente utilizzato anche dai servizi di sicurezza nazionali in tutto il mondo (compreso il SISMI).
Esistono alcune varianti di questo sistema. Una di questa consiste nell'utilizzo di uno speciale telefono cellulare che cambia codice IMEI (l'identificativo del cellulare) in modo automatico ad ogni cambio SIM, cambio che viene effettuato con alta frequenza.

Le telecomunicazioni effettuate con telefoni cellulari mettono a disposizione degli attaccanti quattro obiettivi fondamentali.
Il sistema di sicurezza MPS1.1 prevalentemente difende solo uno di questi obiettivi, quello definito Identità/Numero, che si riferisce all'identità dell'utilizzatore ed al suo numero telefonico. Ciononostante, in molti casi anche gli altri tre obiettivi vedono la loro sicurezza aumentata.
Per esempio, se l'utilizzatore del sistema è sorvegliato, ma non lo sono i suoi interlocutori, le sue chiamate possono rimanere riservate - non è possibile sapere ciò che viene detto al cellulare - fino a quando non viene individuata la numerazione anonima.
Per analogia, una coppia di cellulari criptati senza alcuna contromisura aggiuntiva, difende solo l'obiettivo Contenuti delle comunicazioni, ossia ciò che viene detto al telefono.
Se una chiamata effettuata con questo sistema fosse intercettata, in generale non sarebbe possibile individuare l'utilizzatore perché la sua identità sarebbe sconosciuta. La difesa dell'anonimato potrebbe quindi essere sufficiente per neutralizzare eventuali attacchi.
Per la difesa dell'obiettivo Identità/Numero il sistema di sicurezza si fonda su alcuni principi cardine:
I dati personali dell'utilizzatore non sono in relazione con la numerazione telefonica in nessuna base di dati o registro
Anche l'apparato, inteso come cellulare più SIM, è anonimo, sconosciuto agli operatori di rete. Non può quindi essere sottoposto ad intercettazione con una semplice richiesta all'operatore sulla cui rete la carta SIM effettua roaming, comunicando i dati personali dell'utilizzatore.
Eventuali intercettazioni acquisite casualmente, per esempio quando l'apparato viene utilizzato per conversare con numerazioni sottoposte ad intercettazione, non possono essere attribuite all'utilizzatore del sistema.
Il protocollo d'uso ed i servizi forniti con procedure di sicurezza (ricariche, pagamenti, ecc.) consentono di mantenere l'apparato sicuro nel tempo.

Il livello di sicurezza che il sistema può raggiungere è elevato. Tuttavia, come tutti i sistemi, non garantisce sicurezza assoluta.
Per lo stesso tipo di scenario è possibile utilizzare anche altri sistemi come MPS1.2 ed MPS1.3, che introducono alcuni elementi di sicurezza aggiuntivi.
Se un individuo rappresenta un obiettivo di profilo elevato per enti governativi, agenzie di intelligence, oppure soggetti privati con forti disponibilità economiche ed elevate capacità tecniche, occorre considerare che vi sono molti metodi per intercettarlo. Del personale specializzato può ricorrere a sistemi di sorveglianza come IMSI Catcher, microfoni direzionali, microspie, cellulari spia, ecc.

Qualunque sistema di sicurezza può essere soggetto ad attacchi di successo. Se un individuo rappresenta un obiettivo di profilo elevato, di interessa tale da giustificare il ricorso ad attività di sorveglianza fisica da parte di personale specializzato, dotato di tecnologie sofisticate, postazioni mobili di sorveglianza ecc., allora molti sistemi di sicurezza possono essere neutralizzati.
La cronaca giudiziaria fornisce un interessante esempio in proposito. Sistemi analoghi sono sicuramente in uso ad agenzie di intelligence private. L'immobiliarista Stefano Ricucci, era ricorso ad un sistema di sicurezza simile ad MPS1.1. Il sistema è stato attaccato con successo ricorrendo ad un IMSI Catcher Rohde & Schwarz.

Il sistema MPS1.1 aumenta la sicurezza rispetto a numerosi tipi di attacco possibili contro l'obiettivo Identità/Numero e contro altri obiettivi.
I principali modi di attacco possono essere (arbitrariamente) riassunti in circa 22 categorie. Il sistema MPS1.1 ha efficacia (variabile) contro 19 di queste categorie, per esempio contro gli attacchi portati attraverso:
Contatti Utilizzatore - la richiesta ai conoscenti di una persona del suo numero telefonico.
Accesso Apparato - il rilevamento del numero in uso accedendo direttamente al telefono cellulare.
Operatore di rete - richiesta formale all'operatore di rete mobile delle numerazioni in uso ad una persona, oppure della titolarità di un numero.
Operatore Infedele (insider) - un dipendente fra le decine migliaia impiegate dagli operatori di rete che abbia accesso ai dati, li può fornire. Fra questi un numero telefonico a partire dai dati personali, oppure viceversa, ed anche i tabulati telefonici.
Operatore Call Center - spesso si tratta di dipendenti di società terze rispetto agli operatori di rete. Hanno accesso ad una moltitudine di dati e possono fornirne. Tipicamente vengono corrotti per fornire i tabulati telefonici.
Pagamenti - le modalità con cui vengono pagate le fatture per le numerazioni in abbonamento e le ricariche telefoniche sono spesso di tipo elettronico. Una mole di dati dai quali è possibile ricavare informazioni su identità e numeri telefonici.
Rivenditori - conservano ed accedono a molti dati relativi agli utenti e le loro numerazioni. Spesso sono il punto di aggancio per ottenere tabulati telefonici in modo illegale.
Corrispondenza - un metodo tipico per ottenere ogni tipo di informazioni, può consentire di ricavare anche dettagli sulle numerazioni telefoniche.
Numeri Chiamati e Chiamanti - l'utilizzatore di un certo numero telefonico può essere identificato semplicemente chiedendo informazioni a chi con lui conversa al telefono.
Numero IMEI - è l'identificativo univoco del cellulare, un numero di quindici cifre. A partire da questo dato possono essere ottenute un numero di informazioni, fra cui l'identità dell'utilizzatore.
Presenza Geografica e Temporale - l'analisi del traffico di cella (BTS) può consentire di identificare l'identità di persone che in quel momento avevano anche solo in tasca un cellulare acceso agganciato alla cella.
Contenuto Conversazioni - quando viene utilizzata una numerazione anonima, l'ascolto delle conversazioni potrebbe portare comunque ad identificarne l'utilizzatore.
Riconoscimento Voce - anche il riconoscimento della voce è un metodo per attribuire la titolarità di una numerazione anonima.
Rete Fissa - le reti fisse sono facilmente attaccabili con dispositivi tecnologici a basso costo.
Infrastruttura GSM - a parte modalità di attacco altamente sofisticate e con elevate barriere, è possibile intercettare le comunicazioni anche nel collegamento fra le BTS ed i BSC. o fra questi ultimi e gli MSC.
Clonazione SIM - la clonazione della SIM è uno dei metodi individuati per eseguire intercettazioni.
Postazioni Ascolto Pubbliche - la possibilità che dei dati vengano fatti filtrare all'esterno illegalmente da una struttura normalmente utilizzata dalla magistratura. Oppure che vengano eseguite intercettazioni illegali attraverso l'uso di queste strutture.
Archiviazione - i dati degli utenti e le registrazioni o trascrizioni di intercettazioni possono filtrare all'esterno anche dalle numerose strutture dei tribunali.
Altre reti - sempre di più le conversazioni al cellulare transitano sulle reti di operatori diversi e di più piccole dimensioni rispetto ai grandi nomi. In quelle strutture è possibile reperire un numero di informazioni.

Alcuni modi o categorie di attacco non vengono affatto inibiti o indeboliti dal sistema MPS1.1. Fra questi:
IMSI Catcher - la sorveglianza fisica e l'uso di un IMSI Catcher consentono di captare tutte le numerazioni GSM (ed  anche UMTS dopo che sono state forzate al roaming GSM con Jamming selettivo) presenti nel raggio di circa cinquecento metri.
Localizzazione in Tempo Reale - la numerazione in uso può essere stata identificata e da quel momento è possibile la localizzazione in tempo reale sia attraverso le strutture degli operatori di rete, sia con sistemi di localizzazione mobili.
Altri Metodi - il cellulare può essere manomesso, per esempio installando software spia. Possono essere posizionate delle microspie negli ambienti frequentati, utilizzati microfoni direzionali, ecc.

Se un sistema viene attaccato con successo, la sicurezza è nulla rispetto al tipo di attacco utilizzato. Tuttavia può avere senso misurare quanto sia difficile attaccare un sistema in termini di costi, di livello tecnologico, oppure di preparazione tecnica delle risorse umane necessari.
E' quindi possibile calcolare degli indici che rendono un'idea dell'efficacia di un sistema di sicurezza.
L'indice definito ISS - Indice di Sicurezza Specifico - mostra quanto il sistema di sicurezza MPS1.1 sia efficace nel difendere l'obiettivo Identità/Numero dai 22 tipi di attacco individuati.
In una scala da 0 ad 1, MPS1.1 ha indice ISS pari a 0,83.
L'indice ISS del sistema di sicurezza MPS1.1 può essere confrontato con quello di MPS1.2 pari a 0,84 e di MPS1.3 pari a 0,89

Il sistema di sicurezza MPS1.1 ha degli effetti anche sulla sicurezza degli altri obiettivi degli attacchi alle telecomunicazioni Contatti, Localizzazione e Contenuti.
E' possibile definire quindi un secondo indice ISG - Indice di Sicurezza Globale - per tentare di misurare quanto un sistema aumenti la sicurezza rispetto ai 22 tipi di attacco considerati ai quattro obiettivi.
Per MPS1.1 l'ISG vale 0,43, che può essere confrontato con 0,63 di MPS1.2 e 0,74 di MPS1.3

Per visualizzare come il sistema di sicurezza MPS1.1 difende dagli attacchi alle telecomunicazioni in dettaglio, vedere la tabella relativa >>

L'obiettivo principale di Mobile Privacy nello sviluppare i sistemi di sicurezza qui illustrati, è quello di fornire una protezione contro le intercettazioni telefoniche ed altri tipi di attacco alle telecomunicazioni.
I sistemi proposti, per esempio quelli che prevedono anche l'uso di cellulari criptati, sono idonei - fra l'altro - per proteggere le conversazioni nel loro percorso lungo le linee telefoniche rispetto alle intercettazioni. Non sono probabilmente in grado di offrire una protezione sufficiente contro un'agenzia di intelligence nazionale che può considerare un  individuo un obiettivo di alto profilo, ed utilizzare tutte le risorse ed i mezzi tecnici di cui può disporre.
Mobile Privacy considera i sistemi di sicurezza proposti idonei per un numero di casi reali. Tuttavia, è da considerare che storicamente le agenzie di intelligence fanno ricorso a schemi di attacco creativi ed innovativi, per violare sistemi robusti come quelli che prevedono l'uso della cifratura punto a punto.
Coloro che temano di essere considerati un obiettivo di profilo elevato per un'agenzia di intelligence ben finanziata, devono considerare che potrebbero essere soggetti alla sorveglianza di numerosi altri dispositivi. Microfoni direzionali, cimici sofisticate piazzate durante intrusioni, Trojan installati nei PC, sistemi di tipo TEMPEST, agenti umani, ecc.