Come si spia un telefono, e quanto costa? Solo mille dollari, e tanti banner pubblicitari

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Come si spia un telefono senza possedere i mezzi tecnici e scientifici della NSA? Quanto costa spiare un cellulare in termini di apparecchiature? Quanto è difficile costruire e seguire i movimenti del proprio fidanzato, del dipendente, del figlio? Secondo i ricercatori dell’Università di Washington, poco e facilmente: sarebbero sufficienti unicamente 1.000$, competenze di secondo livello sul funzionamento del sistema di advertising online e un pizzico di fortuna, che come sempre sorride agli audaci e dunque temiamo potrebbe farlo anche agli organizzatori di un piano simile.

Si tratta del risultato degli esperimenti compiuti dal team guidato, tra le varie autorità del campo della privacy, anche dal professor Franzi Roesner, direttore dell’UW Security and Privacy Research Lab: “è stato così facile farlo”, ha detto, riferendosi al tracciamento dettagliato di 10 smartphone semplicemente servendosi di una sofisticata – ma nemmeno troppo – trama di pubblicità per applicazioni.

Siete pronti per scoprire perchè il sistema di advertising delle app ha bisogno di concentrarsi maggiormente sulla privacy?

Dalle app al monitoraggio da remoto: chiunque può diventare la spia del proprio vicino?

Solitamente, quando si suole parlare a proposito dei pericoli derivanti dall’estremo potere di controllo che le multinazionali della tecnologia dispongono sui comuni cittadini, molti – se non la maggioranza degli intervistati in merito – sono soliti liquidare l’argomento con una scrollata di spalle ed un rumoroso sbuffo scivolato tra le labbra. D’altronde, anche se i film ci hanno insegnato che nel background di una spy-story le capacità di sfuggire alle maglie del sistema sono fondamentali per evitare le trappole di servizi segreti deviati, gruppi terroristici o folli criminali, gli utenti più realisti sanno riportare tali eventualità al loro originale stato d’irrealtà e finzione.

In effetti, nonostante la privacy del cittadino sia un diritto innegabile e inalienabile, spesso la considerazione della portata dell’abuso che le evidenti falle nel sistema di protezione dei dati è distorta e falsata: “il peggio che una multinazionale potrà fare dei miei dati sarà fornirmi pubblicità mirate e forse inquietantemente aderenti ai miei gusti, ma nulla di più”. Se anche voi avete mai troncato una discussione in merito con una simile uscita, forse è il caso che rivediate il vostro manuale di conversazione con un aggiornamento dell’ultimo minuto, grazie all’Università di Washington.

Le piattaforme di advertising offrono ottimi strumenti di targettizzazione delle pubblicità, ma che possono essere utilizzati per cattivi propositi

Anche se infatti lo studio “Using Ad Targeting for Surveillance on a Budget” non verrà che presentato a fine ottobre presso l’Electronic Society di Dallas durante un workshop sulla privacy, i suoi risultati hanno già cominciato a circolare rapidamente in rete. La testimonianza dei ricercatori guidati da Roesner è significativa e sintomatica di un sistema di promozione pubblicitaria carente di un adeguato livello di protezione dei dati dei suoi utilizzatori, spesso inconsapevoli di come si spia un telefono solo con un banner, e qualche nozione di programmazione.

L’esperimento

Per condurre il proprio esperimento, che ha portato alla precisa identificazione dei movimenti dei soggetti interessati, i ricercatori si sono serviti di 10 smartphone Moto G (che hanno servito in qualità di cavie) e di un budget di 1.000 dollari, spesi principalmente nell’acquisto di pubblicità presso i principali e più popolari servizi, quali Facebook, Google AdWords, Metro, e così via. Tutte queste piattaforme, oltre a servire le più popolari applicazioni Android di banner e spazi pubblicitari, permettono di selezionare con grande precisione il pubblico oggetto del targeting promozionale – dall’identificativo del device all’area geografica, sino alla specifica app in cui la pubblicità dovrebbe apparire.

Contemporaneamente è stato approntato un sito di riferimento nel quale ogni utente, in seguito all’interazione con il banner, sarebbe stato rediretto e un microprocessore DSP per la gestione e l’elaborazione dei dati ottenuti.

La mappa ricavata seguendo gli spostamenti attraverso l’app Talkatone: i punti in rosso rappresentano i luoghi di sosta più frequenti

Selezionando un’area di 3 miglia quadrate, gli analisti hanno seguito gli spostamenti dei soggetti per una settimana, giungendo ad elaborare uno schema sufficientemente preciso dei luoghi più frequentati – il bar di riferimento, il luogo di lavoro, la fermata della metro. Tutto grazie alle pubblicità interne alle applicazioni: da Grindr – popolare app per incontri per persone dello stesso sesso – a Imgur, passando per Talkatone, era sufficiente che la “vittimaaprisse l’app all’interno delle tre miglie quadrate per sapere immediatamente (al costo di 2 centesimi per-click) quale smartphone si trovasse nell’area con uno scarto di otto metri sull’esatta posizione – nel caso in cui l’app fosse rimasta aperta per più di quattro minuti, o fosse stata avviata due volte consecutive nel medesimo arco di tempo.


Le limitazioni del modello

Nonostante la distanza di sei minuti che intercorre dal momento dell’apertura dell’app alla ricezione dell’esatta posizione, è indubbio che si tratti di un sistema sì complesso, ma tutto sommato applicabile anche da elementi esterni ad ambienti professionisti del sistema di sorveglianza ed hacking.

Non più dunque solamente le multinazionali e le agenzie governative, ma anche il vicino di casa, il partner geloso, il superiore; fortunatamente però il modello soffre di limitazioni – comunque, ahinoi, superabili – che rendono l’intera infrastruttura sufficientemente complicata da renderla selezionabile unicamente da chi abbia un sincero e reale interesse a seguire gli spostamenti di uno smartphone in particolare.

Non si tratta di un livello di difficoltà particolarmente alto per un attacco molto, molto preciso

Adam Lee, professore presso l’Università di Pittsburgh

Già: ma quale smartphone? Come si spia un telefono di cui non si conosce l’identificativo specifico?

Va detto che ogni device viene classificato dalle piattaforme di advertising attraverso un Mobile Advertising ID, o MAID. Per conoscere il MAID di un cellulare in particolare non è sufficiente eseguire una ricerca su Google – si tratta di un’informazione riservata, dopotutto. Uno degli stratagemmi ideati dai ricercatori di Washington per aggirare la limitazione è la visualizzazione di un banner in javascript che, una volta cliccato, permetta di estrarre dallo specifico dispositivo il MAID, o magari persino prelevandolo dal telefono manualmente se questo viene connesso alla medesima rete WiFi, pubblica o privata.

Naturalmente, occorre anche disporre di un minimo di fortuna e sperare che la vittima apra o utilizzi una delle app sulle quali si decide di visualizzare le pubblicità-spia; si tratta della minore tra le limitazioni: se il soggetto in osservazione fa parte del nucleo famigliare o del proprio giro di amicizie (begli amici!), è probabile che conosciate già le sue app più utilizzate, mentre in caso di estranei sarebbe anche sufficiente controllare la lista di app recensite su Google Play per redigere una rosa di papabili candidate.

Naturalmente non si tratta di qualcosa che sia possibile organizzare nell’arco di poco tempo e con conoscenze basiche dell’advertising, specialmente nel setup del microprocessore: ciononostante, lo studio ci permette di realizzare, ancora una volta, l’impellenza di una riforma privacy-friendly di un settore già vulnerabile come quello delle pubblicità interne alle applicazioni.

Vuoi proteggere la tua privacy online? Scopri QUI tutti i Saggi Consigli per nascondere la tua identità!

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News sulla sicurezza nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

Via WIRED The Verge
Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//