Vai al contenuto

Basta uno squillo per localizzare chiunque? Chiedo aiuto tecnico per una verifica

Mi è stato segnalato questo articolo su Mastdatabase.co.uk che, se confermato, rivelerebbe la presenza di un errore di configurazione di un operatore cellulare che renderebbe possibile a qualunque persona localizzare qualunque altro utente semplicemente facendogli squillare il telefono.

In sintesi, secondo l’articolo, se si è utenti della rete cellulare britannica O2 e la si usa per chiamare un altro utente della stessa rete facendo una chiamata VoLTE (Voice over LTE), i dati che si ricevono includono anche l’identificativo della cella di rete sotto la quale si trova il chiamato. Questo permette di localizzarlo con notevole precisione.

Chiedo aiuto per verificare a) se quello che viene affermato è vero b) qualora sia vero, se vale anche per altri operatori di altri paesi.

In pratica, l‘articolo suggerisce di usare l’app Network Signal Guru (manuale) su un telefono Android rootato e di chiamare un altro utente facendo una cosiddetta chiamata VoLTE, un servizio che è attivo per default sulla maggior parte dei cellulari recenti (info Swisscom; info Fastweb).

L‘app, durante la chiamata, dovrebbe visualizzare i dati diagnostici della rete cellulare. Secondo l’articolo, sulla rete O2 questi dati diagnostici includono l’IMEI e l’IMSI del chiamante e anche quelli del chiamato, ma soprattutto includono l’header Cellular-Network-Info, che fornisce il tipo di cella usato dal chiamato, il suo Location Area Code e il suo Cell ID.

Immettendo questi dati in uno strumento online come Cellmapper.net si ottiene l’indicazione su una mappa della macrocella della rete cellulare che è stata usata dal chiamato durante la telefonata. In altre parole, si può sapere in che città si trova una persona semplicemente chiamandola. Nelle città dotate di microcelle, si può localizzare una persona con estrema precisione. Questa situazione avviene anche se il chiamato è in roaming all’estero ed è un errore di configurazione dell’operatore; non c’è nulla che l’utente possa fare.

Qualcuno riesce a confermare/smentire? Ho installato Network Signal Guru su un mio cellulare (non rootato) e ho provato a chiamare un altro mio cellulare, ma nei log correttamente generati dall’app non ho trovato informazioni come quelle descritte nell’articolo. In compenso ho trovato informazioni di localizzazione e velocità stupendamente dettagliate.

Screenshot dei dati presentati da Cellmapper.net per una zona a caso di Lugano (non è dove abito io e non mi trovo lì).

Stravaleaks: guardie del corpo presidenziali pubblicano online i propri percorsi di fitness

Un’inchiesta giornalistica di Le Monde segnala un esempio clamoroso di tracciabilità eccessiva e pericolosa indotta dalla vanità: le guardie del corpo di vari capi di stato, da Biden a Trump a Putin a Macron, pubblicano regolarmente i propri percorsi di fitness su Strava, rivelando così le proprie identità, le proprie abitazioni, i luoghi dove vanno in vacanza e ovviamente rivelando anche dove si trovano o si troveranno i leader che sono chiamati a proteggere.

Queste guardie del corpo, infatti, spesso raggiungono in anticipo i luoghi dei summit che dovrebbero in teoria restare segreti fino all’ultimo minuto per evidenti ragioni di sicurezza. Pubblicando la propria localizzazione, con tanto di percorsi seguiti per le proprie corse di allenamento e punti di partenza e di arrivo precisi, tolgono qualunque velo di riservatezza agli spostamenti delle persone protette.

Ma come hanno fatto i giornalisti di Le Monde a risalire alle loro identità e quindi sapere chi cercare su Strava? Hanno usato un po’ di buon sano, paziente e diligente giornalismo investigativo, combinato con la competenza informatica. Nel caso delle guardie del corpo presidenziali statunitensi, l’indagine parte dalla conoscenza di un fatto: questi specialisti si addestrano per diversi mesi al centro James J. Rowley, vicino a Washington. Un dato pubblico e presente anche su Wikipedia.

Ovviamente si tengono in forma fisica mentre sono in questo centro, e lo fanno per esempio correndo nelle vicinanze. Basta quindi andare su Strava e cercare con pazienza chi posta attività su Strava in quella zona e poi posta altre corse nei luoghi in cui si trova il presidente USA nelle date corrispondenti agli spostamenti presidenziali. Il metodo è spiegato in questo video (in francese; embed qui sotto).

Uno dei video esplicativi di Le Monde.

Il problema dell’eccesso di condivisione di dati personali non riguarda solo i politici: tocca anche qualunque persona esposta al rischio di stalking (in particolare le donne) e chiunque abbia un incarico sensibile che lo espone al rischio di aggressioni o rapimenti. Tocca anche chi semplicemente ha un bella bicicletta, di quelle costose, e se la vede rubare perché i ladri scoprono online dove abita e quali sono le abitudini della vittima, come è stato raccontato nel programma radiofonico Millevoci della ReteUno RSI al quale ho partecipato ieri (una clip audio del mio intervento è qui).

Va notato che le impostazioni predefinite di Strava nascondono i primi e ultimi 200 metri di ogni percorso; è un buon inizio, ma non è sufficiente.

Fonti aggiuntive: Cyberdaily.au, RTS.ch, Le Monde (in inglese, anche qui).

La spettacolare foto militare del pallone cinese è stata geolocalizzata

La spettacolare foto militare del pallone cinese è stata geolocalizzata

La spettacolare fotografia del passaggio di un ricognitore militare U-2 vicinissimo al pallone cinese è stata geolocalizzata indipendentemente da due ricercatori (Samir e Geoff Brumfiel), che nei rispettivi thread spiegano le tecniche usate per identificare il luogo nonostante il rifiuto dei militari di fornire informazioni sulla località. Trovate tutti i dettagli nel mio articolo dedicato alla foto.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

A Las Vegas i cellulari rubati si trovano tutti nella stessa casa

Questo articolo era stato pubblicato inizialmente il 25/01/2013 sul sito
della Rete Tre della Radiotelevisione Svizzera, dove attualmente non è più
disponibile. Viene ripubblicato qui per mantenerlo a disposizione per la
consultazione.

Wayne Dobson vive a Las Vegas. Ma ci vive male, perché la gente lo accusa in
continuazione di rubare telefonini. Da due anni, di giorno e di notte, persone
furibonde (e a volte anche la polizia) bussano alla sua porta di casa
reclamando di riavere il proprio smartphone. Sanno che ce l’ha il signor
Dobson perché il sistema di tracciamento dei telefoni smarriti o rubati
indica, con precisione millimetrica, le coordinate geografiche di casa sua.

Quando il pensionato cinquantanovenne risponde che lui non ha il cellulare di
nessuno, non viene creduto: l’ha detto il computer, deve essere vero. E per
lui non è facile dimostrare di non avere il telefonino in questione. A
dicembre scorso è stato
svegliato
alle due e mezza del mattino da quattro uomini che reclamavano la restituzione
di un telefonino: uno di loro aveva in mano un tablet che indicava la
localizzazione del cellulare puntando sulla casa del pensionato. La cosa è
diventata così grave che Dobson ha dovuto mettere un cartello davanti a casa
che dice “NO LOST CELL PHONES”: qui non ci sono telefonini smarriti. E
prosegue:
“This location gives a false ‘phone locator’ position due to a cell tower
behind this home. Please contact the North Las Vegas Police and file a
report.”

Il problema che affligge il signor Dobson, infatti, è la falsa precisione dei
sistemi di tracciamento. In realtà questi sistemi permettono di sapere dove si
trova un telefonino con una certa approssimazione, in un raggio che varia da
50 a 300 metri, ma i software che gestiscono la localizzazione degli
apparecchi smarriti o rubati indicano erroneamente, e con un’autorevolezza che
in realtà non hanno, un punto preciso all’interno dell’area di
approssimazione: in questo caso, il punto esatto nel quale si trova un’antenna
della rete cellulare, che sta appena dietro la casa dello sfortunato signor
Dobson.

Fonti:
ABC News,
Naked Security,
The Verge.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Dispositivi di tracciamento colabrodo mettono a rischio le flotte di trasporto su strada

Dispositivi di tracciamento colabrodo mettono a rischio le flotte di trasporto su strada

Questo articolo è disponibile anche in
versione podcast audio.

La gestione elettronica dei veicoli è una gran bella cosa, con tanti vantaggi,
ma va fatta bene: se è fatta male, può avere conseguenze catastrofiche e
inattese. 

Un esempio in questo senso arriva nientemeno che dalla
Cybersecurity and Infrastructure Security Agency del governo
statunitense, che si occupa di sicurezza informatica delle infrastrutture ai
più alti livelli.

Il CISA ha pubblicato un
avviso
a proposito della pericolosità di un dispositivo di tracciamento GPS dotato di
ricetrasmettitore cellulare, molto usato dalle flotte di veicoli commerciali. Si chiama MV720 e lo fabbrica la MiCODUS. Questo dispositivo ha una serie di difetti informatici che possono
permettere a un aggressore addirittura di prendere il controllo del veicolo,
per esempio disattivandone l’antifurto e anche interrompendo l’erogazione di
carburante oltre a tracciarne la posizione e i percorsi.

Fra questi difetti spicca un classico: una cosiddetta hardcoded password, ossia
una password di amministrazione fissa e non modificabile, una sorta di
passepartout, che permetterebbe a un aggressore di accedere al server di
controllo e mandare comandi ai dispositivi di tracciamento tramite SMS.

Come se non bastasse, un altro difetto consente a un malintenzionato di
mandare comandi, tramite SMS, senza aver bisogno di autenticarsi. E poi c’è un’altra
falla, che permette di accedere ai dati degli altri utenti perché il server non
verifica l’identificativo del dispositivo che viene inviato dall’utente. Il
problema, quindi, rischia di riguardare tutti i dispositivi di tracciamento di
questa marca.

Un vero disastro di incompetenza, insomma, che apre la porta ad attacchi di
vario genere: a parte quelli strategici o politici e ideologici, ci sono quelli
del crimine informatico organizzato. Con falle di questo livello,
un’organizzazione criminale potrebbe per esempio ricattare un’azienda di
trasporti, minacciando di fermare tutta la sua flotta di veicoli se non viene
pagato un riscatto, oppure potrebbe acquisire i dati delle spedizioni e compiere furti
mirati.

La scoperta di queste vulnerabilità è stata fatta dai ricercatori della società di sicurezza
informatica statunitense Bitsight ed è stata
descritta in un
rapporto pubblico
molto dettagliato dopo aver tentato inutilmente di avvisare la casa
produttrice del dispositivo, la cinese MiCODUS, e dopo aver comunicato privatamente il
problema alle autorità governative statunitensi per la sicurezza informatica.

Circa un milione e mezzo di utenti privati e di aziende che usano questi
dispositivi in quasi 170 paesi, comprese forze militari, agenzie governative e
corrieri, a questo punto hanno una sola strada per eliminare il rischio:
assicurarsi che questi tracciatori non siano accessibili da Internet e usare
accessi remoti sicuri, protetti per esempio da VPN. O, meglio ancora, rimuovere
completamente questi dispositivi e sostituirli con alternative meno
vulnerabili. 

Il problema è ovviamente capire quali lo sono e quali no, ma grazie ai
ricercatori almeno adesso sappiamo che questo, perlomeno, è da evitare.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Podcast RSI – La Dannazione del Default: la strana storia delle case maledette dalla geolocalizzazione

logo del Disinformatico

È disponibile subito il podcast di oggi de Il Disinformatico della
Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo
trovate presso
www.rsi.ch/ildisinformatico
(link diretto) e qui sotto.

I podcast del Disinformatico sono ascoltabili anche tramite
feed RSS,
iTunes,
Google Podcasts
e
Spotify.

Buon ascolto, e se vi interessano i testi e i link alle fonti di questa
puntata, sono qui sotto.

Prologo

CLIP AUDIO: Qualcuno bussa con forza a una porta

Siamo nello stato americano del Kansas, a maggio del 2011. La porta alla quale
stanno bussando con insistenza due vicesceriffi è quella della fattoria dove
abitano James e Theresa Arnold. Una coppia tranquilla che vive appena fuori
Potwin, un paesino altrettanto tranquillo, con poco meno di cinquecento
abitanti. James e Theresa si sono trasferiti lì da pochi giorni. I
vicesceriffi stanno cercando un furgone rubato, di cui però la coppia non sa
assolutamente nulla. La polizia tornerà ripetutamente, alla ricerca di
refurtiva di vario genere, e ogni volta James e Theresa dovranno spiegare che
non hanno nulla di rubato. Qualche tempo dopo, riceveranno più volte visite
degli agenti dell’FBI, che cercano bambini scappati di casa. E poi arriveranno
gli ispettori delle tasse, con l’accusa di frode fiscale. E infine la coppia
verrà assediata dalle ambulanze in cerca di persone in pericolo di vita e
dalle telefonate di persone che la accusano di truffe di vario genere. Non lo
sanno ancora, ma la colpa di questi equivoci è tutta di MaxMind. No, non è un
arcinemico dei fumetti: è un’azienda che, senza rendersene conto, ha
condannato James e Theresa Arnold a un supplizio squisitamente informatico dal
nome piuttosto criptico: il
default di localizzazione degli indirizzi IP.

Questa è la storia di come una scelta informatica apparentemente banale può
trasformare in un inferno la vita di persone innocenti.

Benvenuti al Disinformatico, il podcast della Radiotelevisione Svizzera
dedicato alle storie insolite dell’informatica. Io sono Paolo Attivissimo.

SIGLA DI APERTURA

La fattoria di James e Theresa Arnold non è maledetta o posseduta dagli
spiriti, e non nasconde un covo segreto di ladri e ricettatori. Lo sa bene il
loro locatore, l’anziana signora Taylor: è tutto in regola e non c’è nessun
deposito di refurtiva, ma misteriosamente tutte le persone che affittano la
sua fattoria vengono bersagliate da richieste di pagamenti di tasse evase e da
visite di agenti di polizia, di giorno e di notte, alla ricerca di merci
rubate o persone scomparse. Ogni volta è necessario spiegare pazientemente che
no, la refurtiva che la polizia sta cercando non è lì e nella fattoria non
sono nascosti bambini scappati. E la cosa va avanti da almeno una decina
d’anni. Lo sceriffo locale ha fatto mettere un cartello all’ingresso della
fattoria avvisando tutti, e soprattutto i rappresentanti del fisco o delle
forze dell’ordine federali, di non avvicinarsi e di contattarlo per
chiarimenti.

Per venire a capo di questo mistero ci vorranno altri cinque anni e ci vorrà
un uomo di nome Kashmir Hill. No, non è un detective: è un giornalista
informatico. Arriviamo così al 2016, quando Hill, nell’ambito di un’indagine
su un caso analogo avvenuto ad Atlanta, fa una scoperta che cambierà la vita
della famiglia Arnold e la libererà (o quasi) dalla persecuzione.

Per capire questa scoperta bisogna fare un passo indietro e parlare di una
cosa che a prima vista non c’entra nulla: la cartografia digitale, e
specificamente la localizzazione degli indirizzi IP. Ogni dispositivo
che si collega a Internet riceve un indirizzo IP, che è un identificativo
unico che gli serve per comunicare con gli altri dispositivi. Quando visitate
un sito con il vostro computer o smartphone, per esempio, il sito viene
informato del vostro indirizzo IP. Ci sono aziende (per esempio
Whatismyipaddress.com) che
associano gli indirizzi IP ai luoghi geografici, per cui un sito può sapere se
un visitatore si trova, che so, in Francia o negli Stati Uniti. Spesso questa
associazione è abbastanza precisa da poter indicare la città esatta nella
quale si trova l’utente, o addirittura l’edificio specifico. Spesso, ma non
sempre.

CLIP: Maxmind

Maxmind, che ha sede in
Massachusetts, è una delle aziende che vendono questo tipo di informazione,
molto ambita per esempio dai pubblicitari, che la usano per mostrare a ogni
utente pubblicità pertinenti alla sua regione. La usano anche le agenzie
governative, per sapere dove si trovano le persone che si rivolgono a loro.
MaxMind offre i propri servizi a oltre 5000 aziende.

Ma c’è un problema: l’associazione fra indirizzo IP e indirizzo geografico a
volte sbaglia di grosso. In alcuni casi viene fatta facendo il cosiddetto
wardriving, ossia mandando in giro automobili dotate di GPS e computer
che cercano le reti Wi-Fi aperte, ne identificano gli indirizzi IP e li
abbinano alle coordinate geografiche del posto in cui si trovano in quel
momento. Altre volte viene fatta usando allo stesso modo gli smartphone degli
utenti quando vanno in giro. In altri casi ancora viene ottenuta guardando
l’indirizzo IP di un’azienda e guardando dove si trova fisicamente la sede di
quell’azienda.

Ma in alcuni casi non è possibile risalire all’ubicazione geografica precisa
di un certo indirizzo IP e quindi nei registri di aziende come MaxMind si
annotano, al posto delle coordinate geografiche reali, delle
coordinate di default. Se si sa soltanto che un certo indirizzo IP si
trova da qualche parte in una certa città, allora a quell’indirizzo IP
verranno abbinate le coordinate geografiche del centro di quella città.

E se MaxMind non ha proprio nessun dato geografico da abbinare a un certo
indirizzo IP, nasce un problema: qualcosa bisogna pur scrivere nel
database delle coordinate, e così MaxMind assegna delle coordinate
completamente arbitrarie. Specificamente, nel caso di qualunque indirizzo IP
di cui sa solo che è statunitense, assegna le coordinate del centro geografico
degli Stati Uniti, arrotondate per non avere troppe cifre decimali:
38 gradi nord, 97 gradi ovest

Indovinate cosa c’è a quelle coordinate. Esatto: la fattoria degli Arnold.

In altre parole, qualunque reato o inadempienza fiscale associati a un
indirizzo IP di cui MaxMind non ha informazioni geografiche punta a quella
fattoria. Se funzionari governativi, inquirenti, ispettori delle tasse, forze
dell’ordine chiedono a MaxMind dove si trova un certo indirizzo IP di cui
MaxMind non sa nulla, l’azienda non risponde con un sincero
“boh, non ne ho la minima idea”, ma fornisce le coordinate geografiche
di James e Theresa Arnold. Che così si sono trovati accusati di reati
informatici, furti di identità, molestie informatiche e persino di
“detenzione di ragazze presso l’abitazione allo scopo di realizzare film
pornografici”: così dicono i
documenti legali.

Il giornalista informatico,
Kashmir Hill, insieme all’esperto di sicurezza Dave Maynor, consulta un
database pubblico
di MaxMind e scopre che gli indirizzi IP di cui l’azienda non ha nessuna
informazione reale di localizzazione sono oltre seicento milioni. Se
uno di questi indirizzi IP viene usato da un truffatore o da un criminale
informatico o da una persona in difficoltà che contatta un servizio di
soccorso, MaxMind dirà che quel malfattore o quella persona nei guai sta a
casa degli Arnold, a Potwin, in Kansas. Nessuno, alla MaxMind, si è chiesto se
per caso alle coordinate geografiche di default immesse automaticamente nei
loro archivi ci fosse qualcuno. Nessuno nell’azienda ha pensato di assegnare
delle coordinate geografiche che non potessero causare problemi a persone
innocenti e inconsapevoli.

Kashmir Hill, nel 2016, contatta i signori Arnold e spiega la sua scoperta. I
coniugi, capita la causa dei loro problemi, avviano subito un’azione legale
contro MaxMind, chiedendo un risarcimento di oltre 75.000 dollari. L’azienda
si impegna a posizionare le coordinate di default nel centro di specchi
d’acqua, boschi o parchi invece che davanti alle case delle persone. Ma molti
dei clienti di MaxMind non aggiornano regolarmente i propri archivi, per cui
la persecuzione non è ancora del tutto terminata.

La vicenda dei coniugi in Kansas non è l’unica del suo genere: il giornalista
Hill
cita
molti altri casi, come quello del signor Tony Pav, che vive ad Ashburn, in
Virginia, dove si trovano i grandi datacenter di Google e Facebook. Di
conseguenza, oltre 17 milioni di indirizzi IP puntano ad Ashburn, e MaxMind
aveva scelto, come coordinate geografiche generiche di Ashburn, proprio la
casa di Tony Pav, che così una sera ha trovato la polizia che stava per
sfondargli la porta alla ricerca di un laptop del governo che risultava
trovarsi lì, perlomeno stando al suo indirizzo IP. Il povero signor Pav è
perseguitato da situazioni di questo genere e teme che qualcuno che ha subìto
un torto, prima o poi, venga di persona a casa sua a farsi giustizia sommaria.
MaxMind ha cambiato anche queste coordinate.

E poi c’è anche il
caso
del signor Dobson di Las Vegas, che si vede perennemente incolpato
ingiustamente di aver rubato telefonini perché casa sua si trova proprio
davanti a un’antenna di telefonia mobile geolocalizzata.

Fra l’altro, questo non è un problema limitato agli Stati Uniti. Tre anni più
tardi, nel 2019, a Pretoria, in Sud Africa, un uomo e sua madre si trovano
accusati
di rapimento da un investigatore privato che è sulle tracce di una bambina
rapita ed è stato portato davanti alla casa dei due da un dispositivo di
tracciamento che secondo lui è infallibile. La famiglia si trova spesso in
situazioni del genere, a volte anche pericolosamente aggressive, perché la
casa, come le precedenti, si trova in un punto geografico informaticamente
maledetto.

In questo caso sudafricano, l’artefice della maledizione digitale è nientemeno
che un’agenzia governativa di intelligence statunitense, la
National Geospatial-Intelligence Agency.

CLIP: NGA

Quest’agenzia fa parte del Dipartimento della Difesa e fornisce anche servizi
di geolocalizzazione aperti al pubblico. Per questi servizi ha
scelto, per indicare l’intera città di Pretoria, le coordinate esatte della
casa dei due malcapitati. E in questo caso non c’è nulla da fare, se non
traslocare.

Questi episodi assurdi di persecuzione digitale dimostrano la noncuranza con
la quale troppo spesso in informatica si scelgono valori predefiniti arbitrari
senza pensare alle loro conseguenze nel mondo reale, ma mettono anche in luce
due errori molto diffusi fra gli utenti: il primo è un’eccessiva e mal riposta
fiducia nei servizi di localizzazione basati sugli indirizzi IP, che spesso
contengono dati errati o inventati; il secondo è pensare che delle coordinate
geografiche con tanti decimali siano precisissime, mentre in realtà quei
decimali sono soltanto il risultato di approssimazioni e arrotondamenti. 

Questi servizi, infatti, non sono pensati per trovare una specifica abitazione
ma solo per dare un’indicazione approssimativa della zona geografica in cui
dovrebbe trovarsi un certo dispositivo. Per cui se usate un sito come
Iplocation.net, prendete i suoi risultati
con molta cautela. A me, per esempio, dice che sono in questo momento a
Zurigo, mentre in realtà mi trovo a Lugano, e dice di sapere dove mi trovo con
ben dodici cifre decimali di precisione. In teoria, mi sta dicendo che
sa dove mi trovo con una
precisione
di meno di un milionesimo di millimetro, ma in realtà sbaglia di circa 155
chilometri in linea d’aria.

Morale della storia: la geolocalizzazione è una cosa seria, ma se usata male
può causare guai a non finire a persone che non hanno nessuna colpa. Per cui
non andate a bussare a casa di sconosciuti perché la vostra app preferita di
localizzazione tramite indirizzo IP vi ha portato davanti a una certa
abitazione. E pregate di non abitare in una casa che qualche azienda,
dall’altra parte del pianeta, ha scelto come coordinate di default per i
propri archivi senza pensare alle conseguenze.

Fonti aggiuntive:
Half As Interesting,
Sophos,
Ars Technica.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Meglio non affidarsi troppo a Trova il mio iPhone e simili

Meglio non affidarsi troppo a Trova il mio iPhone e simili

Credit: Apple.

Nelle mie consulenze offline mi capita spesso di avere a che fare con partner gelosi o genitori ansiosi che accusano rispettivamente coniugi o figli di qualche malefatta sulla base delle informazioni di geolocalizzazione fornite dai loro telefonini. Usando funzioni come Trova il mio iPhone/Dov’è o simili, risulta che il telefonino della persona accusata si trovava ben lontano dal luogo previsto o concordato. Ma è pericoloso affidarsi ciecamente a questi sistemi di localizzazione per lanciare accuse di tradimento o elusione: possono sbagliare clamorosamente.

Lo segnala, con un aneddoto personale, lo scrittore e giornalista informatico Cory Doctorow: sua figlia di undici anni era a lezioni di equitazione, ma non rispondeva alle chiamate. Lui ha usato Trova il mio iPhone, che ha indicato che il telefonino della figlia era a 21 chilometri dalla scuola. Temendo il peggio, ha allertato la polizia. Ma poco dopo, la figlia ha telefonato dalla scuola, dove era rimasta tutto il tempo.

Doctorow spiega che il problema nasce da due fattori. Il primo è che la localizzazione dei telefonini usa varie fonti: le reti Wi-Fi nelle vicinanze, il GPS e gli indirizzi IP assegnati dall’operatore telefonico. Ma se il GPS non è disponibile (per esempio al chiuso), servizi come Trova il mio iPhone possono usare soltanto le altre informazioni, che possono essere imprecise o semplicemente obsolete. Se il telefonino è in una zona dove c’è poco campo, il telefonino non può aggiornare il servizio di localizzazione dandogli i nomi delle reti Wi-Fi che vede in quel momento e quindi il servizio considera ancora valide le informazioni trasmessegli tempo prima. In questo caso, il telefonino risulta trovarsi in un luogo dal quale è passato, ma non è più lì.

Va anche peggio se la localizzazione può basarsi solo sull’indirizzo IP assegnato al telefonino, che è variabile e temporaneo. In questo caso, il telefonino può risultare apparentemente localizzato ovunque in un’area vastissima. E in alcuni casi va anche peggio, come è capitato a me.

Il secondo fattore, ancora più subdolo, è che le app di localizzazione spesso non indicano il margine di errore dei dati che mostrano. Le app indicano semplicemente “Il telefonino è esattamente qui o in questo cerchio”, ma non dicono mai potrebbe trovarsi in questa zona ma non ne sono sicuro” e soprattutto non specificano mai quale metodo di localizzazione stanno usando. Questo porta a false certezze che possono essere molto fuorvianti.

Morale della storia: prima di accusare qualcuno esclusivamente sulla base della localizzazione del suo telefonino, pensateci due volte. Eviterete imbarazzi, come in un caso di presunta infedeltà che mi è capitato di seguire: lui accusava lei di essere andata misteriosamente al cinema in un’altra città invece del cinema locale come aveva detto che avrebbe fatto. In realtà lei era andata eccome al cinema locale, ma il Wi-Fi del cinema aveva lo stesso nome (SSID) di quello di tutte le altre sale della stessa catena, e il sistema di localizzazione aveva arbitrariamente scelto un cinema di una città lontana. Non è andata molto bene all’accusatore.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Telegram a volte permette di localizzare gli utenti, ma niente panico

Telegram a volte permette di localizzare gli utenti, ma niente panico

Se usate Telegram su un dispositivo Android, potreste essere facilmente localizzabili. Date un’occhiata alla funzione Persone vicine / People Nearby di Telegram: la trovate toccando le tre righine in alto a sinistra nell’app. Probabilmente vedrete un elenco di nomi di persone e di membri di gruppi, con le loro distanze, come mostrato qui accanto: sono gli utenti Telegram nelle vostre vicinanze.

Niente panico: voi potete localizzare loro, ma loro non possono localizzare voi se non attivate la geolocalizzazione nelle autorizzazioni di Telegram e se non scegliete Rendimi visibile / Make Myself Visible. E in ogni caso sapere la distanza alla quale si trova una persona non consente di sapere in quale direzione si trova, per cui è un’informazione piuttosto approssimativa e poco sfruttabile per stalking, truffe o simili, anche se in certi casi sapere che una certa persona è nelle vicinanze quando non dovrebbe esserlo può essere comunque piuttosto rivelatore.

Il problema è che esiste un trucco per localizzare con precisione una persona tramite Telegram se ha attivato la funzione Persone vicine. Lo ha scoperto il ricercatore di sicurezza Ahmed Hassan: usando uno smartphone Android appositamente modificato (rootato), può alterare artificialmente la sua localizzazione (GPS spoofing) e far credere a Telegram di trovarsi in un luogo diverso da quello reale.

Hassan si è accorto che cambiando tre volte la propria localizzazione può individuare per triangolazione il punto preciso in cui si trova una persona elencata nelle Persone vicine. Ha segnalato la cosa ai responsabili di Telegram, che però hanno risposto che non è un difetto ma una funzione prevista.

In ogni caso, niente panico. Questa localizzazione funziona solo se usate la funzione Persone vicine e avete attivato la geolocalizzazione. Sugli iPhone recenti, inoltre, non fornisce indicazioni precise in nessun caso, grazie alle nuove funzioni salvaprivacy di iOS 14. Provate con i vostri amici.

 

Fonte: Ars Technica.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Perché Immuni, Swisscovid e le altre app anti-coronavirus chiedono di attivare il GPS su Android? Lo spiegone

Perché Immuni, Swisscovid e le altre app anti-coronavirus chiedono di attivare il GPS su Android? Lo spiegone

Ultimo aggiornamento: 2020/10/12 21:00.

Rispondo a una domanda-tormentone che continua ad arrivarmi: se le app anti-Covid come Immuni e SwissCovid dicono di non fare tracciamento di posizione, come mai su Android chiedono di attivare la geolocalizzazione? E se attivano la geolocalizzazione, mi accendono il GPS e quindi si consuma di più la batteria?

Risposta breve: perché Android è fatto così. Per poter usare il Bluetooth come scanner, Android deve chiedere di attivare la geolocalizzazione, ma in realtà le app anti-Covid non la usano. Soprattutto non usano il GPS e quindi i consumi non aumentano. Fine della storia.

Risposta dettagliata: perché su Android, per attivare la scansione Bluetooth usata dalle app anti-Covid per rilevare la vicinanza di altri telefonini dotati di queste app bisogna attivare la funzione generale di geolocalizzazione, che usa non solo il GPS ma anche Bluetooth e Wi-Fi. È una questione tecnica ben nota, introdotta nella versione 6 di Android a protezione degli utenti e risolta diversamente nella versione 11. Comunque queste app anti-Covid non usano la geolocalizzazione: non vi hanno accesso. Pertanto non attivano il modulo GPS del telefono e quindi non aumentano il consumo di batteria del telefonino.

La Guida di Android di Google spiega la questione qui, nella sezione intitolata appunto Perché l’impostazione Geolocalizzazione del telefono deve essere attiva (grassetto aggiunto da me):

La tecnologia Notifiche di esposizione usa la scansione Bluetooth per capire quali dispositivi sono
vicini l’uno all’altro. Sui telefoni con versioni del sistema operativo Android dalla 6.0 alla 10, il sistema Notifiche di esposizione utilizza
la scansione Bluetooth. Affinché la scansione Bluetooth funzioni, l’impostazione Geolocalizzazione del dispositivo deve essere attiva per tutte le app, non solo per quelle create con il sistema Notifiche di esposizione.

Google e Apple hanno integrato delle misure di sicurezza per garantire che le app di tracciamento dei
contatti governative create con il sistema SNE non possano dedurre la tua posizione. A tale scopo viene usata la rotazione degli ID casuali
assegnati al tuo dispositivo affinché non sia possibile tracciare il tuo singolo dispositivo. Gli ID casuali non contengono informazioni sulla
tua posizione quando vengono scambiati con altri dispositivi nel sistema.

“Attiva” non significa “usata”: significa “disponibile”. Android la offre, ma se l’utente non autorizza la singola app a usare la geolocalizzazione, o se il sistema vieta a un’app di usarla, l’app non può usarla.

Il concetto è spiegato su HDBlog.it dagli sviluppatori di Bending Spoons, l’azienda che ha creato Immuni:

Sugli smartphone Android, a causa di una limitazione del sistema operativo, il servizio di geolocalizzazione deve essere abilitato per permettere al sistema di notifiche di esposizione di Google di cercare segnali Bluetooth Low Energy e salvare i codici casuali degli smartphone degli utenti che si trovano lì vicini. Tuttavia, come si può vedere dalla lista di permessi richiesti da Immuni, l’app non è autorizzata ad accedere ad alcun dato di geolocalizzazione (inclusi i dati del GPS) e non può quindi sapere dove si trova l’utente.

La guida di Android presente sugli smartphone precisa che “sui telefoni con Android 11 non è necessario attivare l’impostazione Geolocalizzazione del telefono” e spiega di nuovo la necessità di tenere attiva la localizzazione nelle versioni precedenti di Android:

Il sistema Notifiche di esposizione non utilizza, non salva e non condivide la posizione del tuo dispositivo, ad esempio tramite GPS. La localizzazione del dispositivo deve essere attiva affinché il Bluetooth possa individuare i dispositivi nelle vicinanze con le Notifiche di esposizione attivate.

Screenshot:

La Guida di Android dice inoltre (grassetto aggiunto da me):

Il sistema Notifiche di esposizione non raccoglie e non utilizza i dati sulla posizione del dispositivo. Usa il Bluetooth per rilevare se ci sono due dispositivi vicini, senza rivelare informazioni sulla loro posizione.

Inoltre, l’app dell’autorità per la salute pubblica non è autorizzata a usare la posizione del tuo telefono o a monitorare la tua posizione in background.

E aggiunge: ”Il sistema Notifiche di esposizione non usa la posizione del dispositivo e abbiamo impedito alle app delle autorità per la salute pubblica che usano il sistema SNE di richiedere l’accesso alla posizione del dispositivo”.

Insomma: come detto da tutte le fonti in tutte le salse, la geolocalizzazione non viene usata dalle app anti-Covid. Quindi niente panico.

Potete verificarlo personalmente. Se avete Android 10, andate nelle Impostazioni di Android e procedete come segue (altre versioni di Android possono avere menu leggermente differenti).

  • Scegliete Posizione – Autorizzazioni applicazione: vedrete quali app hanno accesso alla posizione: Immuni (o SwissCovid) non c’è.
  • Scegliete ApplicazioniImmuni (o SwissCovid) – Autorizzazioni: noterete la dicitura Nessuna autorizzazione richiesta.

Le app anti-Covid non possono sapere dove siete e quindi preoccuparsi di essere spiati dallo stato tramite queste app non ha senso. 

Ma un momento: Google potrebbe farlo, si obietta, per esempio tramite i Play Services e la localizzazione basata non su GPS ma sui Bluetooth e Wi-Fi visibili nelle vicinanze. In tal caso, se volete prevenire anche questa possibilità, potete disattivare la funzione di localizzazione tramite Bluetooth e Wi-Fi andando in Impostazioni – Posizione – Migliora precisione e disattivando Scansione Wi-Fi e Scansione Bluetooth.

Se invece volete sapere quali app stanno consumando più energia, potete andare in Impostazioni – Assistenza dispositivo – Batteria – Uso batteria. Magari scoprirete qual è l’app che realmente vi stia prosciugando la batteria.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Il vostro Garmin non si sincronizza? Non è colpa vostra, l’azienda è sotto attacco

Il vostro Garmin non si sincronizza? Non è colpa vostra, l’azienda è sotto attacco

Ultimo aggiornamento: 2020/07/27 22:40.

Mentre scrivo queste righe il sito della Garmin ospita una dicitura piuttosto inquietante: “We are currently experiencing an outage that affects Garmin.com and Garmin Connect. This outage also affects our call centers, and we are currently unable to receive any calls, emails or online chats. We are working to resolve this issue as quickly as possible and apologize for this inconvenience.”

Il sito è in queste condizioni da almeno mezza giornata (dai commenti mi dicono da ieri mattina, ora europea). Quindi se avete uno smartwatch o un altro dispositivo di quest’azienda e non riuscite a sincronizzarlo, non è colpa vostra: tutti i servizi di sincronizzazione sono fermi. Ci sono alcuni workaround per i più impazienti.

Secondo le informazioni raccolte da ZDNet, la Garmin è stata colpita da un attacco di ransomware e prevede di restare in queste condizioni per alcuni giorni mentre procede al ripristino dei propri sistemi, anche se ufficialmente l’azienda parla di un generico “outage” (guasto o interruzione).

Il problema non è banale, perché oltre ai vari appassionati di fitness che usano i suoi prodotti ci sono anche molte aziende che usano il servizio Garmin Connect per coordinare le proprie flotte e la propria logistica.

Sono infatti bloccati anche i suoi sistemi di navigazione aerea, senza i cui aggiornamenti molti piloti non possono volare legalmente. Anche l’app Garmin Pilot di pianificazione dei voli è fuori uso.

Lo stato dei servizi è consultabile in tempo reale presso Connect.garmin.com/status. Al momento è un bagno di sangue.

Garmin ha pubblicato un breve aggiornamento presso Garmin.com/en-US/outage/:

GARMIN OUTAGE

Garmin is currently experiencing an outage that affects Garmin services including Garmin Connect and flyGarmin. As a result of the outage, some features and services across these platforms are unavailable to customers. Additionally, our product support call centers are affected by the outage and as a result, we are currently unable to receive any calls, emails or online chats.

We are working to restore our systems as quickly as possible and apologize for the inconvenience. Additional updates will be provided as they become available.

FREQUENTLY ASKED QUESTIONS

Was any Garmin Connect customer data lost during the outage?

Although Garmin Connect is not accessible during the outage, activity and health and wellness data collected from Garmin devices during the outage is stored on the device and will appear in Garmin Connect once the user syncs their device.

I’m an inReach customer. Can I still use SOS and messaging during the outage?

inReach SOS and messaging remain fully functional and are not impacted by the outage. This includes the MapShare website and email reply page. The status for inReach can be found here.

I have a new Garmin product. When will I be able to pair it with Garmin Connect?

We are working as quickly as possible to restore Garmin Connect functionality. The status of Garmin Connect can be found here.

Was my data impacted as a result of the outage?

Garmin has no indication that this outage has affected your data, including activity, payment or other personal information.

2020/07/26 12:10

Bleepingcomputer scrive di avere conferma che si tratta di un attacco di ransomware e specificamente del ransomware denominato WastedLocker.

2020/07/27 22:40

Un comunicato stampa di Garmin conferma che si è trattato di un “attacco informatico che ha cifrato alcuni dei nostri sistemi” e che il ripristino dei sistemi colpiti è in corso. Questa è la parte saliente del comunicato:

OLATHE, Kan.–()–Garmin Ltd. (NASDAQ: GRMN), today announced it was the victim of a cyber attack that encrypted some of our systems on July 23, 2020. As a result, many of our online services were interrupted including website functions, customer support, customer facing applications, and company communications. We immediately began to assess the nature of the attack and started remediation. We have no indication that any customer data, including payment information from Garmin Pay™, was accessed, lost or stolen. Additionally, the functionality of Garmin products was not affected, other than the ability to access online services.
Affected systems are being restored and we expect to return to normal operation over the next few days. We do not expect any material impact to our operations or financial results because of this outage. As our affected systems are restored, we expect some delays as the backlog of information is being processed. We are grateful for our customers’ patience and understanding during this incident and look forward to continuing to provide the exceptional customer service and support that has been our hallmark and tradition.

2020/07/30 22:50

Secondo quanto riportato da Sky News, Garmin avrebbe ottenuto una chiave di decrittazione dei propri dati. Di solito questo significa che l’azienda ha trovato il modo di far arrivare il riscatto ai criminali informatici; meno frequentemente, significa che gli esperti informatici che aiutano l’azienda hanno trovato un modo per calcolare questa chiave.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.