I siti web possono accedere ai sensori dello smartphone per scoprire chi sei

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Lo stato delle cose su Android ci ha insegnato, nel tempo, a diffidare di tutto. Delle applicazioni principalmente, poiché possono nascondere trojan, malware, adware e forse anche la beta di iOS 12; ma anche degli smartphone asiatici perché potrebbero contenere spyware con sospetti collegamenti a server in Cina, o dei link inviati via email o in una conversazione via chat perchè, anche se apparentemente legittimi, potrebbero nascondere brutte sorprese. I siti web, però, erano forse l’ultimo baluardo rimasto: non parliamo naturalmente di quei siti costruiti attorno all’obbiettivo di derubare il suo visitatore di dati sensibili, password e credenziali per i conti correnti, ma di pagine online che legittimamente si visitano per scoprire, apprendere, intrattenersi un po’ tra una pausa caffé e una sessione di gioco a Fortnite.

Un gruppo di ricercatori, provenienti dalle più disparate università statunitensi, ha infatti scoperto che più del 3% dei 100.000 siti web più visitati accede ai sensori degli smartphone degli utenti senza permesso. E ciò che è peggio è che alcuni di questi si servono di questi sensori per identificare il devicec in uso: siete pronti per scoprire in che modo?

QUEI SENSORI “NON IMPORTANTI” POSSONO TRACCIARVI

Ci sono sensori e sensori su Android, lo sappiamo bene – abbiamo anche redatto una Guida per Nuovi Utenti in merito che vi consigliamo di andare a leggere: alcuni sono in grado di compromettere seriamente la privacy dell’utente, come il GPS, mentre altri sono quasi innocui se isolati – come il barometro. Tuttavia, è sufficiente unire un insieme di dati prelevati da più sensori considerati “innocui“, come appunto il barometro, il termometro e il magnetometro per calcolare la posizione approssimativa dell’utente, senza che i sensori di posizione vengano minimamente coinvolti.

Il sensore di luminosità, ma anche quello di movimento, di orientamento e di prossimità sono i sensori per smartphone a cui i siti web incriminati possono accedere

Ben sapendo questo, non stupisce dunque che la ricerca effettuata da quattro ricercatori statunitensi provenienti da altrettante universitàAnupam Das della North Carolina State University, Gunes Acar dell’Università di Princeton, Nikita Borisov dell’University of Illinois at Urbana-Champaign e Amogh Pradeep della Northeastern University – abbia suscitato una certa attenzione mediatica. Secondo infatti i risultati del test condotto appunto sui 100.000 più visitati siti web secondo il celebre tool di traking online Alexa, 3.695 hanno accesso ad alcuni sensori del device in navigazione sulle proprie pagine senza che l’utente ne sia a conoscenza.

Com’è possibile? Principalmente, la responsabilità è da attribuirsi al World Wide Web Consortium, il quale ha redatto una serie di standard che classificano la sensibilità dei sensori a cui possono o non possono avere accesso i siti web. Tra quelli considerati “non sensibili abbastanza da richiedere la concessione di un permesso specifico d’accesso” troviamo il sensore di orientamento (che è più o meno il giroscopio), di prossimità, di movimento e di luminosità – i quali davvero a prima vista potrebbero non sembrare così minacciosi alla propria privacy. Se però leggiamo cosa scrive il WWWC più avanti, sempre nello stesso documento sugli standard online, scopriamo che, forse, del tutto innocui non lo sono se si suggerisce l’implementazione di “permessi o indicatori visuali che indichino l’uso dei sensori da parte della pagina [web]“.

È sufficiente infatti che l’hacker o lo sviluppatore di un sito malevolo si ingegni un po’ per trovare il modo di sfruttaree anche con una discreta percentuale di successo questi sensori a proprio vantaggio: dal sensore di luminosità che può interferire con la navigazione a quello di movimento, che può essere utilizzato come una sorta di keylogger per recuperare PIN e dati sensibili o per seguire gli spostamenti dell’utente durante la sua navigazione online. Ma se l’applicazione di queste strategie è forse rara ma né improbabile né impossibile, ricordatevelo – molto più frequente è l’uso di questi sensori per l’indicizzazione delle pubblicità online.

Né Chrome, nè Firefox né tanti altri browser mobili popolari possono impedire il tracciamento dei siti web

Degli oltre 3.500 siti web sopra citati, almeno 1.200 si servono dei dati dei sensori per smartphone a cui hanno accesso per effettuare una targettizzazione dell’utente a fini commerciali – anche se non direttamente. A provvedere in tal senso sono i network pubblicitari ai quali questi siti web si appoggiano – tra questi ultimi si contano nomi importanti come CNN, il popolare webzine di tecnologia CNET e il quotidiano Los Angeles Times, per esempio, e la stessa rivista online WIRED (che comunque ha riportato la notizia, specificando però che l’accesso effettuato ad uno dei tre sensori rilevati dallo studio è stato rimosso prima della sua pubblicazione).

Nessuno dei browser più utilizzati sembra poi dare importanza al fenomeno: tutti i principali browser mobile – Chrome, Edge, Firefox, Safari, Brave, Focus, Dolphin (ma vi abbiamo già spiegato perché non utilizzarlo) e UC Browser – consentono l’accesso ai sensori di orientamento, movimento, di prossimità e di luminosità. Solo Firefox, a partire dalla versione 60 del maggio 2018 non concede più di default l’utilizzo agli ultimi due. È un problema? Sembra di sì: il 63% degli script presenti nei siti web che accedono ai sensori di movimento se ne servono per il browser fingerprinting, ossia per attività di tracciamento mirato.

QUALI CONTROMISURE?

Per ora, nessuna contromisura è possibile contro questo fenomeno: oltre a non esistere apparentemente un browser mobile capace di impedire questo genere di trattamento ai propri sensori, nemmeno gli strumenti meno convenzionali sembrano capaci di fare la differenza.

Stando sempre ai quattro ricercatori, i più popolari AdBlocker e app per il blocco dei tracciatori online non sono in grado di contrastare l’attività dei siti web: sono stati infatti individuati e bloccati gli script responsabili nel meno del 10% dei casi (e spesso non si è raggiunto nemmeno il 3%).

Prima però di diffondere il panico online, vanno effettuate alcune considerazioni. Innanzitutto, va ricordato che poco più del 3% dei siti web considerati sono in grado di accedere ai sensori del device – e solamente per il periodo di tempo in cui l’utente è in navigazione attiva, e non in background. Inoltre, la maggior parte dei siti web utilizza gli script incriminati solamente per attività legittime l’accesso al sensore di orientamento, per esempio, è necessario per adattare l’orientamento dello schermo a seconda della sua posizione orizzontale o verticale, al fine di facilitare così la lettura dei contenuti. Alcuni siti addirittura usano i sensori per generare numeri randomici – certo, altri script fanno un uso talmente oscuro dei dati ottenuti che i ricercatori non sono stati nemmeno in grado di identificare la loro finalità.

Tuttavia, i danni alla privacy nel caso di altri siti web rimane. E i ricercatori sperano che la loro attività e i risultati della loro ricerca possano dare la rilevanza necessaria alla tematica perché vengano eseguiti dei cambiamenti.

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!

Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//