Il problema globale della privacy degli smartphone: scoperti strumenti spia che monitorano miliardi

È una situazione piuttosto triste che, quando ti diciamo (come stiamo per fare) che il tuo smartphone sta quasi sicuramente monitorando ogni tua azione e movimento e inviando poi quei dati a nebulosi servizi remoti, probabilmente non rimarrai scioccato . Potresti anche non esserne sorpreso. In realtà le cose non dovrebbero andare così, ma sfortunatamente è così che viviamo.

In realtà ci sono alcune storie separate qui, ma hanno tutte lo stesso risultato finale. La prima storia è più semplice; un’indagine condotta dai ricercatori di sicurezza informatica Mysk ha rivelato che i dispositivi iOS possono utilizzare la finestra fornita dalle notifiche push per acquisire dati dal tuo telefono e inviarli a server remoti, anche se l’app stessa non è effettivamente in esecuzione sul tuo telefono. Esatto: anche le app che non utilizzi possono monitorarti.

A differenza di Android, iOS non consente alle app di continuare a funzionare in background. Tuttavia, a partire da iOS 10, esiste una funzionalità in cui le app possono personalizzare le proprie notifiche push, anche se non sono in esecuzione. Quando un’app riceve una notifica push, il sistema operativo riattiva brevemente l’app. In questo momento, l’app può personalizzare la notifica, ma sembra che possa anche utilizzare questo tempo per telefonare a casa con i dati degli utenti.

Quindi okay, evita di scaricare app losche e non dovrai preoccuparti di questo, giusto? Sbagliato. Mysk ha scoperto un numero incredibile di app che telefonano a casa con notifiche push, inclusi nomi familiari come Facebook, X (Twitter), LinkedIn, Instagram, Threads, Tiktok e molti, molti altri. I dati acquisiti includono dettagli quali memoria disponibile, stato della batteria e persino luminosità del display.

Potresti pensare: “beh, qualunque cosa, non mi interessa se hanno quel tipo di dati”, ma esattamente quel tipo di dettagli può essere utilizzato per creare un'”impronta digitale” digitale del tuo dispositivo che può poi essere utilizzata per tracciarti attraverso assi multipli. Il rilevamento delle impronte digitali è severamente vietato su iOS e iPadOS, ma ovviamente ci sono troppi soldi in gioco perché queste aziende possano lasciarselo scappare.

Mysk sottolinea che Apple inizierà a richiedere agli sviluppatori di dichiarare i motivi per l’utilizzo di qualsiasi API che restituisca segnali di dispositivo univoci nella primavera di quest’anno. Si spera che ciò aiuti a ridurre la quantità di monitoraggio che queste aziende sono in grado di eseguire utilizzando trucchi subdoli come questo. Non siamo fiduciosi, però, perché, come abbiamo detto, c’è un’enorme quantità di denaro in gioco con il rilevamento delle impronte digitali degli utenti, e una parte di esso proviene dal governo degli Stati Uniti.

Un sito chiamato 404 Media lo ha fatto un’indagine approfondita in una società chiamata ISA che vende un prodotto chiamato Patternz. Patternz è apparentemente “uno strumento di spionaggio segreto” in grado di monitorare praticamente qualsiasi app per telefono in grado di visualizzare annunci pubblicitari. Poiché gran parte dell’ecosistema mobile è basato sulla pubblicità, ciò significa praticamente qualsiasi app. Una volta configurato Patternz, che non richiede alcun intervento o consapevolezza da parte dell’utente, il CEO dell’azienda afferma che il telefono viene trasformato di fatto in un “braccialetto di tracciamento”.

Secondo un rapporto dell’istituto austriaco di ricerca sulla sicurezza Cracked Labs, Patternz sta monitorando oltre cinque miliardi di persone, compresi i bambini. Lo fa utilizzando i dati delle “Offerte in tempo reale” (RTB). L’RTB è una tecnologia pubblicitaria in cui gli inserzionisti fanno offerte in tempo reale su singole impressioni degli annunci e fa molto affidamento sulla profilazione degli utenti per capire quali annunci pubblicitari potrebbero raggiungere loro.

I dati inclusi in questi profili possono includere quasi tutto, da pochi punti dati su uno specifico utente di smartphone fino a un elenco individuale dettagliato con informazioni personali, contatti noti e persino dati di posizione altamente specifici accurati fino a pochi metri. Patternz raccoglie questi dati da società RTB come Google e X e poi li vende a terzi, incluso, a quanto pare, il governo federale degli Stati Uniti.

Questo piccolo fatto è stato confermato di recente dopo che il senatore Ron Wyden (D-OR) rilasciato alcune comunicazioni tra lui e il Pentagono, interrogando i capi del Dipartimento della Difesa e dell’Agenzia per la Sicurezza Nazionale per chiedere, tra le altre cose, se il governo stesse acquistando dati RTB raccolti illegalmente da società come Patternz. La risposta è stata “sì”, ovviamente.

dichiarazione del pentagono su cai — *Estratto di una lettera inviata dal sottosegretario alla Difesa Ronald Moultrie al senatore Ron Wyden.*

In una lettera al senatore Wyden, il direttore della NSA Paul Nakasone si riferisce a questi dati come “informazioni disponibili sul mercato” (CAI) e, pur riconoscendo che la NSA effettivamente raccoglie e acquista CAI, afferma anche che le informazioni “forniscono un valore di intelligence significativo alla comunità dell’intelligence statunitense, inclusa la NSA.” Secondo Nakasone, l’agenzia “prende provvedimenti per ridurre al minimo la raccolta di dati personali statunitensi”. Giusto.

In risposta a queste ammissioni, il senatore Wyden ha portato il suo caso ad Avril Haines, che è il direttore dell’intelligence nazionale. In una lettera pubblica datata 25 gennaio, Wyden invita Haines a vincolare la NSA e le altre agenzie agli standard per la vendita legale di dati stabiliti dalla FTC. Chiede inoltre a Haines di ordinare a ciascun elemento della comunità dell’intelligence statunitense sotto la sua competenza di ripulire i propri database di dati personali sui cittadini statunitensi, eliminando qualsiasi informazione che non soddisfi gli standard della FTC.

Resta da vedere se Haines accetterà i termini di Wyden, ma per la maggior parte di noi non è né qui né là. Su scala personale, in termini pratici, sembra che se vuoi limitare la quantità di informazioni che le aziende e i governi hanno su di te, è meglio tenere lo smartphone spento ogni volta che è possibile. A proposito, il rapporto di Cracked Labs (PDF) è terrificante e vale la pena leggerlo se sei interessato a queste cose.