Vai al contenuto

Podcast RSI – AirTag Apple, stalking troppo facile: ecco come rimediare

logo del Disinformatico

È disponibile subito il podcast di oggi de Il Disinformatico della
Radiotelevisione Svizzera, scritto e condotto dal sottoscritto: lo trovate
presso
www.rsi.ch/ildisinformatico
(link diretto) e qui sotto.

I podcast del Disinformatico sono ascoltabili anche tramite
feed RSS,
iTunes,
Google Podcasts
e
Spotify.

Buon ascolto, e se vi interessano il testo e i link alle fonti di questa
puntata, sono qui sotto.

Sto pedinando digitalmente una donna per le vie di Lugano. La vedo mentre va a
trovare un’amica, ha un incontro di lavoro, si ferma davanti ai negozi, entra
in un centro commerciale e prende l’autobus per tornare a casa. La seguo
comodamente, tramite un’apposita app sul mio smartphone, fino al suo indirizzo
di abitazione. La cosa più strana è che i passanti mi stanno dando una mano a
pedinarla, e neanche lo sanno.

Niente paura: la donna in questione è mia moglie e si è offerta volontaria per
un test degli AirTag, i
localizzatori elettronici di Apple, piccoli come bottoni, basati sulla
tecnologia Bluetooth già usata per gli auricolari e per tanti altri accessori
per smartphone, tablet e computer. Si attaccano per esempio alle chiavi di
casa o a qualunque oggetto che si tema di perdere e permettono di ritrovarlo
in caso di smarrimento. 

Non sono i primi localizzatori del genere sul mercato, ma gli AirTag hanno una
caratteristica molto particolare: funzionano a grandi distanze, anche fuori
dalla normale portata del Bluetooth, che è di qualche decina di metri, perché
si appoggiano a tutti i telefonini Apple che si trovino nelle vicinanze. Lo
fanno anche altri localizzatori di altre marche, come per esempio gli SmartTag
di Samsung, ma nessun concorrente può contare su un numero così elevato di
smartphone degli utenti, che diventano sensori inconsapevoli di una rete di
tracciamento vastissima e capillare.

Finché un AirTag è a pochi metri dal suo proprietario, comunica direttamente
usando i segnali radio del suo piccolo trasmettitore Bluetooth e gli può anche
indicare in che esatta direzione e a che distanza si trova. Ma questo
trasmettitore è intenzionalmente molto debole, per far durare a lungo la
batteria incorporata. Così Apple usa una tecnica ingegnosa per estendere il
raggio d’azione del suo localizzatore: qualunque iPhone che passi nelle
vicinanze di qualunque AirTag e abbia il Bluetooth attivo riceve
automaticamente il segnale identificativo di quell’AirTag e lo inoltra via
Internet ad Apple. Se avete un iPhone, fate parte della rete di rilevamento
degli AirTag e magari non lo sapete nemmeno.

[CLIP da
Il Cavaliere Oscuro]

Lucius Fox: Hai trasformato ogni cellulare di Gotham in un microfono spia.

Batman: E in un generatore ricevitore ad alta frequenza.

Lucius Fox: Lei ha preso il mio concetto di sonar e lo ha applicato a
tutti i telefoni della città. Con mezza città che le dà segnali, può tracciare
la mappa di Gotham.

Per tutelare la privacy, il segnale di ogni AirTag ha una chiave digitale che
è nota soltanto al localizzatore stesso e al proprietario, e i dati che
vengono trasmessi sono ulteriormente mascherati tramite hashing. In
parole povere, un passante il cui iPhone riceva   il segnale Bluetooth di
un AirTag non può sapere a chi appartiene quel localizzatore o altre
informazioni: si limita a ricevere gli impulsi radio e a inoltrare
automaticamente i dati ricevuti, che non può decifrare. Ci sono anche vari
altri strati di protezione digitale che permettono, in sostanza, soltanto al
legittimo proprietario di un AirTag di ricevere informazioni da quell’AirTag.

Ma di fatto, praticamente tutti gli iPhone in circolazione sono sensori della
rete di tracciamento di Apple. Questo è incredibilmente utile quando si tratta
di ritrovare le proprie chiavi smarrite, o di localizzare la propria valigia
in aeroporto magari mentre qualcuno la sta portando via per errore al posto
della propria identica o la sta proprio rubando. Ma cosa succede se qualcuno
decide di usare questo potere per pedinare una persona senza il suo consenso?
È già accaduto: per esempio, negli Stati Uniti la modella Brooks Nader ha
raccontato di aver
trovato
un AirTag non suo nella tasca del proprio cappotto dopo aver visitato un bar
di Manhattan, e non è l’unico
caso
del suo
genere.

Questi localizzatori, facilissimi da configurare, estremamente piccoli e
discreti, poco costosi, con una durata che si misura in mesi e una portata
enorme, possono essere annidati facilmente: in una tasca di un indumento, in
uno zaino di scuola, in una cucitura di un cappotto, nelle pieghe della
carrozzeria di un’automobile. Il loro design ultraminimalista non li
identifica vistosamente come dei dispositivi di tracciamento. Sembrano,
effettivamente, dei grossi bottoni bianchi. Si apre insomma l’era dello
stalking digitale di massa, a portata dell’utente comune. Non occorre
nessuna conoscenza tecnica.

—-

Ovviamente Apple, come gli altri produttori di dispositivi analoghi, si è resa
conto del rischio di abusi e ha integrato negli AirTag una serie di
limitazioni apposite. 

Per esempio, qualunque AirTag che si allontani a lungo dal proprietario e
rilevi di essere in movimento farà suonare un cicalino, per cui una vittima di
stalking potrebbe udire questo avviso acustico e accorgersi di avere un
localizzatore addosso. Ma dai primi test sembra che “a lungo” significhi fino
a 24 ore, per cui c’è tempo in abbondanza per un pedinamento quotidiano, per
esempio di una persona convivente. Inoltre il cicalino può essere difficile da
udire se l’AirTag è sepolto sul fondo di una borsetta o applicato a
un’automobile. E inevitabilmente è nato anche un
mercato
di AirTag modificati, nel quale il cicalino è completamente silenziato.

Apple ha predisposto anche un’altra misura antipedinamento: un AirTag che sia
lontano dal proprietario e si muova insieme a voi farà comparire un avviso sul
vostro telefonino, ma soltanto se avete un iPhone. Se avete uno smartphone di
qualunque altra marca, niente avviso.

Chi ha uno smartphone Android può installare un’app di nome
Tracker Detect, disponibile nel Play Store di Google, che permette di cercare manualmente
eventuali AirTag indesiderati e indurli a produrre un avviso acustico (sempre
che non siano stati modificati). Ci sono anche altre app che fanno una
scansione generica di qualunque dispositivo Bluetooth, come
LightBlue
e
BLE Scanner
per iPhone o
BLE Scanner
e
Bluetooth Scanner
per Android. Anche Samsung offre un’app analoga,
SmartThings, per i propri dispositivi di localizzazione [Android; iOS].
Ma in ogni caso si tratta di un procedimento macchinoso e manuale, che
l’utente deve fare appositamente e periodicamente.

Chi trova un AirTag sconosciuto può inoltre appoggiarlo contro il proprio
smartphone di qualunque marca (basta che sia dotato di sensore NFC) e riceverà
un link che rivelerà il numero seriale e le tre cifre finali del numero di
telefono del proprietario del localizzatore. Lo stesso link informerà anche su
come disabilitare un AirTag trovato: in sostanza, spiegherà come si toglie la
sua batteria.

Attenzione, però , ai falsi allarmi: alcuni utenti di iPhone hanno segnalato
che il loro smartphone avvisava di aver rilevato un accessorio sconosciuto e
quindi hanno temuto che si trattasse di un AirTag abusivo. In realtà l’avviso
veniva prodotto da alcuni modelli di cuffie senza filo. Va chiarito
anche che la localizzazione remota funziona bene soltanto se ci sono degli
iPhone nelle immediate vicinanze. Se siete da soli in aperta campagna o su una
strada poco battuta, gli AirTag non potranno comunicare la vostra presenza.

Se temete che qualcuno vi stia tracciando, insomma, queste app sono un aiuto,
ma conviene abbinarne l’uso alla tecnica classica manuale di frugare nelle
proprie borse, negli indumenti e in qualunque altro luogo in cui un
malintenzionato potrebbe nascondere un localizzatore.

Da parte sua, Apple sta
aggiornando
iOS in modo che chi configura un AirTag riceva un avviso molto chiaro del
fatto che usare questo dispositivo per tracciare le persone senza il loro
consenso è un reato in molte regioni del mondo e del fatto che il dispositivo
è progettato per essere rilevato da eventuali vittime e per consentire alle
forze dell’ordine di richiedere informazioni che consentano di identificare il
proprietario dell’AirTag. L’azienda dice di aver già collaborato con la
polizia in diverse occasioni per rintracciare chi aveva piazzato abusivamente
degli AirTag. È confortante, ma è anche una conferma del fatto che il problema
è reale.

Una dimostrazione positiva della potenza di questi dispositivi di tracciamento
è arrivata dalla Germania, dove la ricercatrice di sicurezza e attivista
informatica berlinese
Lilith Wittmann ha
usato gli AirTag per
dimostrare
che un’agenzia governativa tedesca è in realtà una copertura di un’attività di
spionaggio. Ha spedito per posta dei plichi contenenti questi localizzatori e
ne ha tracciato il percorso, scoprendo che venivano reinviati a strutture
usate dai servizi di intelligence tedeschi. Il tracciamento ha
funzionato sfruttando presumibilmente gli iPhone degli stessi addetti
dell’intelligence. Chi si occupa di sicurezza dovrà ora fare i conti
anche con questo aspetto delle tecnologie commerciali.

I ricercatori di sicurezza, infatti, si sono lanciati sugli AirTag per
studiarli e capire come ottimizzare le loro funzioni positive e indebolire
quelle negative. L’Università di Darmstadt ha già messo gratuitamente a
disposizione AirGuard,
un’app
disponibile
nello store ufficiale di Android che per certi versi è più potente delle app
fornite da Apple, perché fa una scansione periodica automatica alla ricerca di
AirTag e simili. Se trova ripetutamente lo stesso dispositivo di tracciamento,
l’app avvisa l’utente. Se usate quest’app, tutte le informazioni di
localizzazione restano nel vostro telefonino. Se nessuno vi sta tracciando,
l’app vi lascia in pace, restando vigile.

È indubbio che avere un dispositivo economico che permette di trovare i propri
oggetti smarriti sia utile: la sfida tecnologica è trovare il modo di
consentire questo potere senza allo stesso tempo rendere troppo facile un
abuso. La soluzione perfetta è ancora tutta da trovare: nel frattempo, qualche
aiuto tecnologico c’è, ma come sempre è indispensabile affidarsi anche al buon
senso pratico. Ogni tanto vuotate la borsa, lo zaino e il cassetto dell’auto:
magari troverete cose che credevate perse per sempre.

E se vi siete persi qualcuno dei nomi delle app citate in questo podcast, non
c’è bisogno di un AirTag per recuperarli: trovate il testo integrale, con i
link alle singole app, sul mio blog
Disinformatico.info.

[il testo della seconda parte del podcast è qui]

Fonti aggiuntive:
Sophos, Gizmodo, New York Times, Gizmodo,
Engadget.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Arrivano le infradito Bluetooth, costano 8000 dollari. Servono per barare

Sembra un gadget di un James Bond in versione da spiaggia, ma il sandalo infradito con telefono nascosto nella suola è realtà.

Lo riferisce infatti la polizia dello stato indiano del Rajasthan, dando la notizia dell’arresto di cinque persone che sono state colte con dei piccolissimi ricevitori Bluetooth nelle orecchie mentre indossavano infradito nella cui suola era dissimulato un cellulare parzialmente smontato ma funzionante.

Questa bizzarra scelta di calzature non era dettata da una moda locale, ma dall’intento di barare a un importante esame di selezione per poter diventare insegnanti governativi: un lavoro ambitissimo che fornisce sicurezza d’impiego e vari benefici.

Per questo esame si sono presentati 1,6 milioni di candidati, sparsi su 4000 centri. I posti di insegnante disponibili sono 31.000 e quindi la competizione fra candidati è fortissima e non esclude colpi bassi come l’uso di impostori, l’acquisto delle soluzioni trafugate e la corruzione dei funzionari incaricati di sorvegliare la regolarità della selezione.

Le misure per evitare frodi sono eccezionali. Decine di migliaia di poliziotti sorvegliano le sedi d’esame, e 10 dei 33 distretti dello stato hanno sospeso l’accesso cellulare a Internet e persino gli SMS per l’intera giornata della prova.

Le persone sono state arrestate mentre tentavano di entrare in una sede d’esame indossando questi apparati elettronici: gli agenti si sono accorti dei loro movimenti sospetti e hanno notato la SIM che sporgeva lateralmente da una delle suole.

L’auricolare, in un caso, era talmente piccolo e inserito così profondamente nell’orecchio che la sua rimozione ha richiesto l’intervento di un medico. Da fuori era assolutamente invisibile, ma avrebbe consentito a un complice esterno di dare istruzioni ai candidati. Non è chiaro se il telefono dissimulato nella sottile suola degli infradito includesse anche un microfono per ascoltare.

La polizia del Rajasthan dice che questi sandali infradito vengono progettati da una banda che li commissiona a terzi a circa 400 dollari e poi li rivende ai candidati per circa 8000 dollari.

Per evitare il ripetersi di questa tecnica, la polizia dice che d’ora in poi saranno vietati tutti i tipi di calzatura e anche i calzini. Se i truffatori insisteranno a trovare nuovi anfratti del vestiario in cui nascondere questi dispositivi, sarà forse necessario presentarsi nudi?

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Contact tracing con il Bluetooth Low Energy dei telefonini, come funziona?

Contact tracing con il Bluetooth Low Energy dei telefonini, come funziona?

Si parla moltissimo di usare app nella gestione della pandemia, adottando la tecnologia Bluetooth degli smartphone per fare il cosiddetto contact tracing: il tracciamento automatico delle persone con le quali veniamo a contatto.

In sintesi, il nostro telefonino rileverebbe gli smartphone degli altri che stanno nelle vicinanze e accumulerebbe un registro dei contatti avuti, da usare in caso di necessità.

Il tutto sarebbe protetto da vari sistemi salvaprivacy, e si userebbe la versione Low Energy del Bluetooth per incidere il meno possibile sul consumo della batteria.

Ma quanto è affidabile questa raccolta di dati? Da un primo esperimento sembra esserci un problema di falsi positivi. La portata del segnale Bluetooth Low Energy è comunque tale da rilevare dispositivi situati anche ad alcuni metri di distanza e anche al di là di un muro.

Per esempio, installando sul mio smartphone un’app come Bluetooth LE Scanner oppure LightBlue rilevo non solo gli oggetti Bluetooth situati nella stanza in cui mi trovo, ma anche quelli che si trovano nell’appartamento adiacente: nello screenshot qui sopra vedete il secondo televisore, che è quello dei miei vicini di casa (il mio si chiama CIA Surveillance 4; sì, lo so, fa ridere solo gli informatici).

Chiaramente nel caso di un’app per il rilevamento delle persone che mi sono passate a distanza di contagio sarebbe assurdo conteggiare chi si trova in realtà dall’altra parte di una parete o dentro la sua automobile mentre siamo entrambi incolonnati nel traffico. Speriamo che i progettisti delle app di contact tracing ne tengano conto: in ogni caso, queste app di scansione ci consentono di scoprire quanti dispositivi Bluetooth abbiamo intorno a noi, magari senza neanche saperlo.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Come fanno i ladri a sapere che avete nascosto un telefonino, laptop o tablet in auto?

Come fanno i ladri a sapere che avete nascosto un telefonino, laptop o tablet in auto?

Credit: Tehrani.com.

I furti di dispositivi digitali lasciati incautamente in automobile sono sempre un danno e un dispiacere, al quale si aggiunge un dubbio frequente: come ha fatto il ladro ad andare a colpo sicuro e capire che proprio in quell’auto c’era un dispositivo da rubare?

Dal Dipartimento di Polizia di San Jose, in California, tramite Wired arriva una conferma di un sospetto molto diffuso: sì, alcuni ladri usano davvero degli scanner per rilevare i dispositivi lasciati nelle auto. Non tutti, però, perché di solito basta che il ladro veda che qualcuno si allontana dall’auto dopo aver messo qualcosa nel bagagliaio.

Ma i ladri che usano questi scanner non stanno adoperando chissà quali apparati sofisticati e difficili da reperire: usano semplicemente delle normali app per telefonini che ricevono i segnali Bluetooth emessi da molti di questi dispositivi anche quando sono apparentemente inattivi. Alcuni laptop, per esempio, non si spengono completamente quando viene chiuso il loro coperchio.

Queste app rilevano i dispositivi dotati di Bluetooth presenti nelle vicinanze, ne identificano la marca e il modello, l’eventuale pairing già attivo con altri dispositivi o veicoli e la distanza approssimativa da chi adopera l’app. Formalmente vengono offerte come app per ritrovare dispositivi smarriti, ma hanno ovviamente la capacità di ritrovare anche i dispositivi altrui.

L’indicazione del pairing è particolarmente pericolosa, perché spesso identifica il tipo di veicolo nel quale si trova il dispositivo. Se l’app rileva un iPhone X e sa che è in pairing con una BMW X5, il ladro sa già che deve cercare quel modello di automobile.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
L’Internet delle Cose: la toilette connessa e vulnerabile

L’Internet delle Cose: la toilette connessa e vulnerabile

Ultimo aggiornamento: 2019/09/07 22:20.

Il ricercatore Troy Hunt ha pubblicato un tweet dedicato a una delle cose più bizzarre da collegare a Internet o a uno smartphone: una toilette. Quella che vedete qui sotto, dice, è la traduzione delle diciture su schermo. Qualcuno che sa il giapponese me le può confermare?

[17:50: mi sono arrivate varie conferme della correttezza delle traduzioni]

Il diario delle evacuazioni, con la possibilità di scegliere forma e colore e “feeling”.

Sort in base a forma, colore, “feeling”, mese e numero di utilizzi; movimenti intestinali, normale, scomodo, dolori allo stomaco/addome, dolori alle natiche.

Forma, colore, uniformità del colore. Selezione della forma: a proiettile, pesante, a imbuto, flatulento, uniforme, duro, rigido. La scala di colori si spiega inquietantemente da sola.

Quando avete finito di sorridere e rivolgere un pensiero ai poveri sviluppatori, programmatori e collaudatori dell’app, vi racconto della questione di sicurezza informatica legata a questo gabinetto, che ha una…backdoor. Come raccontato da Extremetech e Trustwave, questa toilette è comandabile via Bluetooth, e il PIN predefinito per abbinare un telefonino a una toilette è 0000.

Questo significa che chiunque si trovi nella portata di trasmissione Bluetooth (un ospite dispettoso in casa o un vicino in vena di scherzi o molestie) può prendere il controllo della toilette e, uhm, scaricare i dati fisiologici che registra, oppure azionarla a sorpresa. Trovarsi con uno sciacquone che parte a sorpresa può essere disorientante, ma immaginate come ci si può sentire se si attiva inaspettatamente il doccino incorporato o l’asciugatore.

Non è previsto alcun rimedio sotto forma di aggiornamento del software della toilette; l’unica protezione è evitare l’acquisto di questi dispositivi insicuri. E se state pensando all’assurdità di avere degli aggiornamenti software per un water, non siete i soli.

Per coniare una frase: ce n’era davvero bisogno?

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Il lucchetto “smart” Tapplock è ancora più vulnerabile. E non è il solo

Il lucchetto “smart” Tapplock è ancora più vulnerabile. E non è il solo

Ricordate la storia del lucchetto “smart” da cento dollari della Tapplock, che trasmette pubblicamente il proprio codice di sblocco? Già questo è un disastro informatico, ma c’è di peggio: è emerso che il sito Web attraverso il quale si gestiscono questi lucchetti, se interrogato con un semplice comando, rivelava non solo tutti i dati necessari per calcolare il codice di sblocco ma anche la localizzazione di ogni singolo lucchetto Tapplock.

La falla è stata risolta, ma la figuraccia no.

Un’altra azienda, della quale non è stato rivelato il nome, ha fatto ancora di peggio. Ha mandato uno dei suoi lucchetti smart a LockPickingLawyer, un esperto di sicurezza fisica, e quando lui ha fatto notare che il lucchetto era apribile semplicemente svitando tre viti, ha risposto che “il lucchetto è invincibile per chi non ha un cacciavite”:

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Lucchetto “smart” annuncia a tutti la propria password

Lucchetto “smart” annuncia a tutti la propria password

Cento dollari per un lucchetto sono una bella cifra, ma quello venduto dalla Tapplock è un lucchetto speciale, perché è “smart”: contiene un processore e un sensore d’impronte digitali e si sblocca appoggiando sul sensore un dito autorizzato. Niente chiavi da perdere, nessuna combinazione da ricordare. C’è anche un’app per gestire fino a 500 impronte. Pratico, no?

Praticissimo, e specialmente per i ladri. I ricercatori della Pen Test Partners hanno scoperto infatti che le promesse di sicurezza del lucchetto erano decisamente fantasiose. Hanno scritto un’app che sblocca qualunque lucchetto smart di questa marca in due secondi.

Come hanno fatto? Hanno comprato uno di questi lucchetti e hanno analizzato il traffico Bluetooth fra il lucchetto e l’app. Per prima cosa si sono accorti che il codice di sblocco che veniva trasmesso era uguale per tutti gli utenti autorizzati di quell’esemplare di lucchetto (che già non è una bella cosa). Ma poi hanno scoperto che il codice di sblocco era derivato dal MAC address del dispositivo.

Un MAC address è l’identificativo univoco che viene assegnato a un singolo esemplare di qualunque oggetto che va connesso a una rete. Viene trasmesso necessariamente in chiaro in ogni pacchetto di dati che viene inviato dal dispositivo, e deve essere ricevibile da qualunque dispositivo in ascolto. Usarlo come base per le password è quindi un’idea stupendamente idiota.

Per fare un paragone, è l’equivalente di usare come password il proprio nome utente.

Eppure TappLock viene venduto dicendo che usa “crittografia AES a 128 bit, la stessa usata dai militari”.

L’azienda ha confermato la vulnerabilità e ha pubblicato un avviso che raccomanda sibillinamente ai propri clienti di aggiornare il firmware dei lucchetti “per avere la protezione più recente”, senza dire che la protezione attuale è un colabrodo.

Come per tanti oggetti dell’Internet delle Cose, a parte la pessima progettazione, il problema è che è molto improbabile che questi avvisi di aggiornamento raggiungano gli utenti e che, se li raggiungono, vengano ascoltati.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.