geolocalizzazione – Pagina 3

App di fitness rivela attività militari di tutto il mondo. E anche quelle dei civili

Ultimo aggiornamento: 2018/01/30 9:50.

Quando gli esperti di sicurezza parlano della necessità di tutelare la privacy digitale e di non lasciare che le aziende possano raccogliere disinvoltamente dati sulle nostre attività capita spesso di sentire l’obiezione “Ma tanto io non ho niente da nascondere, e poi cosa vuoi che se ne facciano dei miei dati?”.

Una dimostrazione eloquente e un po’ inquietante di quello che si può fare con dati apparentemente innocui se li si aggrega e analizza è arrivata proprio pochi giorni fa: gli esperti si sono accorti che i dati combinati dei braccialetti digitali di fitness rivelano l’ubicazione delle basi militari in vari paesi del mondo, compresi molti luoghi estremamente sensibili o segreti.

Molti utenti di questi dispositivi riversano le proprie passeggiate, corse, pedalate, nuotate, sciate o vogate in app come Strava, che si definisce un “social network per atleti”. Lo fanno per tracciare i propri progressi o per competere via Internet con altri utenti. Questi dati includono la distanza percorsa, la velocità e le calorie consumate e anche la geolocalizzazione. Gli utenti possono scegliere di non condividere questi dati, ma molti li lasciano liberamente accessibili. Tanto che male c’è? Anzi, magari c’è da mostrare agli amici qualche risultato.

Ma a novembre scorso Strava ha deciso di rendere pubblica su Internet una dettagliatissima mappa mondiale interattiva dei percorsi seguiti dai suoi utenti [circa 27 milioni] nel corso del tempo: circa un miliardo di attività [tre trilioni di coordinate latitudine-longitudine, 10 terabyte di dati]. In questa mappa i percorsi più frequentati sono evidenziati da linee più luminose.

Bell’idea, però quando queste linee tracciano percorsi in zone desertiche o interessate da conflitti, rivelano la presenza di una categoria di persone che comprensibilmente svolgono molta attività fisica: i militari, che per esempio fanno jogging dentro e intorno alle proprie basi, facendole così spiccare luminose nelle zone altrimenti disabitate e disegnandone i contorni e le forme interne, perché non hanno disabilitato la geolocalizzazione e non hanno attivato le opzioni di protezione della privacy offerte da Strava.

Strava released their global heatmap. 13 trillion GPS points from their users (turning off data sharing is an option). https://t.co/hA6jcxfBQI … It looks very pretty, but not amazing for Op-Sec. US Bases are clearly identifiable and mappable pic.twitter.com/rBgGnOzasq

— Nathan Ruser (@Nrg8000) 27 gennaio 2018

Fitbit heatmap inside GCHQ building (left) is more hot than inside NSA building, probably because it rains all the time in the UK. https://t.co/a4a5AV4BCD pic.twitter.com/BCf8Hux2T2

— Mustafa Al-Bassam (@musalbas) 28 gennaio 2018

Pretty faint but data from the Strava exercise app shows like China has deployed joggers to its disputed Woody Island in the South China Sea, in addition to fighter jets and HQ-9 SAMs pic.twitter.com/HG6zkb8tcw

— Adam Rawnsley (@arawnsley) 27 gennaio 2018

A Russian soldier apparently went through the Kuzminsky base (largest of the new Russian bases near Ukrainian border) with their Strava tracking enabled. pic.twitter.com/4DdPfvvSkz

— Aric Toler (@AricToler) 28 gennaio 2018

Looks like someone with a Fitbit was jogging a bit too close to the Korean DMZ https://t.co/6GgksVROTU pic.twitter.com/gV0vJy5VQM

— Mustafa Al-Bassam (@musalbas) 28 gennaio 2018

North Korean and South Korean soldiers with Fitbits jogging in front of each other on both sides of the DMZ 🌈🌈🌈 https://t.co/ltjeLAPzlV pic.twitter.com/vm3Nnw88Fw

— Mustafa Al-Bassam (@musalbas) 28 gennaio 2018

If soldiers use the app like normal people do, by turning it on tracking when they go to do exercise, it could be especially dangerous. This particular track looks like it logs a regular jogging route. I shouldn’t be able to establish any Pattern of life info from this far away pic.twitter.com/Rf5mpAKme2

— Nathan Ruser (@Nrg8000) 27 gennaio 2018

All activity + cycling routes around and inside Pine Gap military facility, Australia #Strava https://t.co/ZRYpYyMVvq https://t.co/K9dtVn3iVp pic.twitter.com/CE9jNWU6F5

— Ketan Joshi (@KetanJ0) 28 gennaio 2018

This is Strava fitness tracker data at HMNB Clyde, a military base where Britain’s nuclear weapons are stored. How are the security checks so bad in these places, that employees are allowed to bring arbitrary electronic devices in close proximity to nukes? https://t.co/5BtgiZ4NNK pic.twitter.com/e9mQpPbGD4

— Mustafa Al-Bassam (@musalbas) 29 gennaio 2018

It gets better, someone even created a Strava run segment in the UK nuclear weapons military base (HMNB Clyde) called “You shouldn’t be using Strava here”, but it was clearly ignored by employees. pic.twitter.com/RCzktTefpS

— Mustafa Al-Bassam (@musalbas) 29 gennaio 2018

So you could find out which hero did this? https://t.co/u06WLZsXPq pic.twitter.com/xsepQAR1pt

— Dave Clark (@DaveClark_AFP) 29 gennaio 2018

Nei paesi in guerra questi dati rischiano di essere sfruttabili per esempio per un’imboscata o un attacco. La mappa, infatti, è consultabile da chiunque, ed è facile anche estrarne i dati individuali e scoprire i nomi degli utenti e i rispettivi percorsi abituali: dati perfetti per pedinare o rapire qualcuno. Su Twitter fioccano così le segnalazioni di installazioni militari sensibili di vari paesi, per esempio in Siria e in Afganistan, messe a nudo dalla decisione di Strava di rendere pubblici i propri dati senza pensare alle conseguenze, ma anche dalla mancanza di consapevolezza da parte di chi usa questi dispositivi e queste app di fitness in zone a rischio.

It just keeps getting deeper. You can also trivially scrape segments, to get a list of people who travelled a route, and trivially obtain a list of users. #Strava pic.twitter.com/U9DnPsyHUD

— Paul D (@Paulmd199) 28 gennaio 2018

The Strava heatmap data leak just got a whole lot worse:

– The data can be de-anonymised
– Includes names and running routes of people at high-security military facilities
– A quick search shows the names of 50 US personnel at a base in Afghanistan
https://t.co/JZCi7sINf8

— WIRED UK (@WiredUK) 29 gennaio 2018

Outside GCHQ: “Snowden’s Way” (2,301 attempts by 573 people). pic.twitter.com/T7AQD1S9DH

— Tobias Schneider (@tobiaschneider) 29 gennaio 2018

Anche se non vivete in una zona di guerra e non siete militari, affidare informazioni sensibili come la vostra posizione e i vostri percorsi abituali ad aziende che poi le pubblicano e le offrono a chiunque vi espone al rischio di stalking e altre molestie. Ne vale la pena, per potersi vantare delle proprie prodezze sportive? Pensateci: se la risposta è no, trovate la maniera di spegnere la geolocalizzazione.

You can see individuals that are using Strava by zooming it to houses that have a short line. Strava gives the ability to set up privacy zones, but it’s not on by default. pic.twitter.com/azqZFXiVQZ

— Brian (@BrianHaugli) 28 gennaio 2018

Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 30 gennaio 2018. Fonti: The Verge, Hacker News, Ars Technica, The Register, Washington Post, Electronic Frontier Foundation.

Aggiornamento: 2018/01/30 9:50

Strava ha pubblicato un post di chiarimento, dal quale cito e traduco: “ci siamo resi conto nel corso del fine settimana che i membri di Strava nelle forze armate, fra gli operatori umanitari e altri che vivono all’estero possono aver condiviso la propria localizzazione in zone prive di altra densità di attività e così facendo possono aver inavvertitamente aumentato la consapevolezza di luoghi sensibili”. Ma pensarci prima di pubblicare la mappa no? Il post ricorda anche le istruzioni di privacy di Strava.

Più in generale, questa vicenda sottolinea tre principi di fondo:

ogni dato personale è abusabile;
affidare i propri dati personali a un’azienda motivata dal guadagno su quei dati è irresponsabile;
sperare che quella società commerciale custodisca diligentemente i nostri dati invece di monetizzarli è una pia illusione.

Ora pensate a tutto quello che avete riversato in Facebook in questi anni. Non dite che non ve l’avevamo detto.

Localizzare uno smartphone anche a GPS spento si può

2017-12-30
di Paolo Attivissimo
geolocalizzazione, privacy, ReteTreRSI, smartphone, tracciamento

Vi racconto una storia d’informatica un po’ inquietante per chiudere l’anno del Disinformatico radiofonico perché credo che sia un ottimo esempio di come dati di per sé apparentemente innocui possono essere aggregati per ottenere informazioni sensibili e di come dobbiamo essere quindi molto attenti a quali dati lasciamo in giro.

Sappiamo tutti che uno smartphone sul quale sono attivi i servizi di localizzazione (GPS, soprattutto) è localizzabile da qualunque società commerciale che gestisca una delle app alle quali avete dato i permessi di tracciamento. Sappiamo inoltre che anche a GPS spento gli operatori telefonici, le forze dell’ordine e i servizi di soccorso sono in grado di localizzare qualunque telefonino acceso. Molti utenti sono convinti che per evitare il tracciamento commerciale (o da parte di un partner ficcanaso) basti disattivare la localizzazione nelle impostazioni del dispositivo. Non è così.

Alcuni ricercatori della Princeton University hanno creato un’app dimostrativa, chiamata PinMe, che consente di tracciare un telefonino anche a GPS spento, usando soltanto i dati raccolti dai vari sensori presenti nello smartphone (iOS o Android). La loro ricerca, pubblicata presso il sito dell’IEEE (PinMe: Tracking a Smartphone User around the World, accessibile a pagamento ma riassunta da Naked Security) mostra come i dati del barometro, dell’altimetro, del giroscopio, dell’accelerometro, del magnetometro e dell’orologio presenti nello smartphone siano sufficienti a determinare dove si trova un utente se li si aggrega e confronta con i dati pubblicamente disponibili.

Per esempio, l’accelerometro consente di capire il tipo di movimento: se è lento e oscillante, l’utente sta camminando. Se è più veloce e fa svolte a 90 gradi, l’utente sta andando in auto, in moto o in bici. Velocità superiori e curve ampie indicano l’uso di un treno o di un aereo. Se il barometro indica una pressione ridotta è un aereo. Incrociando per un po’ di tempo i dati di pressione atmosferica con il fuso orario rilevato dal telefonino, con i dati pubblici di altimetria e con l’orientamento della bussola è possibile circoscrivere rapidamente la zona in cui può trovarsi l’utente.

A ogni svolta, per esempio, si riduce il numero di strade corrispondenti al percorso coperto. Durante una dimostrazione, i ricercatori hanno notato che bastano dodici svolte per sapere esattamente dove si trova l’auto nella quale l’utente si sta spostando.

I rimedi sono pochi. A parte la scelta drastica di smettere di usare uno smartphone e tornare a un telefonino classico, si può provare a togliere ogni app che non si usa più e a non installare app di dubbia provenienza. I ricercatori consigliano ai produttori di imporre ai sensori dei limiti alla frequenza con la quale raccolgono dati quando sono inattivi e di aggiungere degli interruttori fisici ai dispositivi, in modo da consentire di spegnere con certezza i sensori non utilizzati.

Strumenti digitali per sorvegliare i figli: attenzione a leggi e limiti

2017-12-12
di Paolo Attivissimo
geolocalizzazione, ReteTreRSI, sorveglianza

Ultimo aggiornamento: 2017/12/12 9:20.

Siete genitori preoccupati per i vostri figli e le loro attività online e vorreste usare la tecnologia per tenerli d’occhio? Non siete i soli: è un sentimento molto diffuso ma purtroppo a volte mal riposto.

Provo a mettere un po’ d’ordine negli aspetti legali, tecnici e pratici dei vari dispositivi tecnologici che oggi consentono a un genitore di creare una sorta di salvagente elettronico (o, per alcuni, guinzaglio) per i propri figli.

Che cosa si può fare tecnicamente?

Il bouquet di possibilità tecniche è decisamente ricco. È possibile tracciare la localizzazione, per sapere in ogni momento dove si trova il figlio, usando apposite app per smartphone o per smartwatch oppure dispositivi di tracciamento incorporati permanentemente negli indumenti o nella cartella, che utilizzano la rete cellulare. Lasciate perdere i vari chip sottopelle raccontati ogni tanto dai giornali: sono, per ora, solo storielle acchiappaclic a causa della loro portata limitatissima (qualche metro nelle condizioni migliori).

Questi dispositivi di localizzazione possono informare costantemente sulla posizione del minore oppure inviare un segnale soltanto se il minore si trova al di fuori di una zona o di un percorso prestabilito (per esempio non segue il normale tragitto casa-scuola), e in questo caso si parla di geofencing: in pratica si crea una sorta di “recinto” elettronico. Un’altra modalità è la localizzazione soltanto su richiesta del genitore: il figlio è libero di andare dove vuole e non viene sorvegliato costantemente, ma se il genitore ha bisogno può sapere dove si trova.

Esistono inoltre app, da installare su smartphone e computer usati dai figli, che consentono di monitorare a distanza qualunque loro attività online: telefonate, messaggi SMS, social network (compresi i messaggi criptati di WhatsApp), foto, mail e ogni cosa digitata sulla tastiera. In alternativa al monitoraggio, si possono imporre dei filtri o impostare degli allarmi: per esempio, si possono bloccare gli acquisti online, limitare gli orari e i tempi di utilizzo, si può impedire l’accesso a siti indesiderati o inadatti, si possono scegliere le persone con le quali il minore può chattare, oppure si può essere semplicemente avvisati in modo silenzioso quando il figlio fa una di queste cose.

Ma è legale?

Avrete notato che la tecnologia consente un livello di sorveglianza mai visto prima, degno di uno stato di polizia o di un Grande Fratello orwelliano. Se foste nei panni dei vostri figli, probabilmente non gradireste l’idea di essere pedinati e osservati costantemente.

La questione della legalità di questi sistemi di sorveglianza è complessa e non voglio sostituirmi agli esperti, ma ci sono alcuni criteri di fondo da considerare, come la Convenzione sui Diritti dell’Infanzia dell’ONU: in molti ordinamenti giuridici nazionali, i genitori hanno il diritto di correzione e controllo e l’obbligo di vigilanza ed educazione verso i minorenni, e in alcuni casi questo diritto e quest’obbligo possono prevalere sul diritto del figlio (anche minorenne) di avere una sfera privata. Per esempio un genitore solitamente può sorvegliare elettronicamente un minorenne se questo serve realisticamente a proteggerlo da un pericolo concreto (o a impedirgli comportamenti che possono danneggiare altri) ma non se la sorveglianza diventa morbosa o è spinta da semplice curiosità.

Va considerato, inoltre, che i genitori sono legalmente responsabili di quello che fanno i loro figli minorenni e che di solito gli abbonamenti alla rete telefonica cellulare o ai giochi online sono intestati ai genitori, per cui queste responsabilità normalmente giustificano una ragionevole sorveglianza.

Un altro criterio è la trasparenza: un conto è sorvegliare l’attività digitale dei figli di nascosto e un altro è farlo con il loro consenso o perlomeno avvisandoli che sono sorvegliati. Legalismi a parte, si tratta anche di decidere che tipo di rapporto si vuole avere con i propri figli.

Tutto cambia se il figlio non è minorenne: in tal caso qualunque sorveglianza occulta non consensuale è quasi sicuramente illegale, salvo casi molti particolari legati per esempio a condizioni mediche o psicologiche.

Il consiglio pratico è quindi di limitare la sorveglianza allo stretto indispensabile per la protezione dei figli, distinguere bene fra minorenni e maggiorenni, e scegliere se possibile la via del consenso.

Sorveglianza soft

Se si tratta semplicemente di sapere dove si trova un figlio in momenti specifici della giornata (e se un figlio vuole rassicurare i genitori ansiosi), esistono vari sistemi semplici e gratuiti di localizzazione volontaria, basati sugli smartphone, come Life360.

Per esempio, il figlio può condividere la propria localizzazione con i genitori usando WhatsApp: apre una chat (anche di gruppo), tocca l’icona degli allegati, sceglie Posizione e poi Condividi posizione attuale e decide un limite di tempo per il quale segnalare la propria posizione. Le istruzioni di WhatsApp sono qui.

La stessa condivisione temporanea della localizzazione è possibile in Google Maps: al figlio basta toccare il pallino blu che indica la propria posizione, scegliere Condividi la tua posizione, scegliere una durata e un destinatario. Le istruzioni di Google sono qui.

Se figlio e genitore usano Facebook Messenger, possono condividere la posizione aprendo una conversazione, toccando il simbolo “+” e poi toccando Luogo. Le istruzioni di Facebook sono qui.

Sorveglianza approfondita e non consensuale

Credit: Gadgetblog.

Ci sono, purtroppo, casi in cui il consenso non c’è o non basta: un figlio ribelle, che ha cattive compagnie, che ha sviluppato una dipendenza da videogiochi o da social network, che è preso di mira da un bullo a scuola o da un molestatore che gli spegne lo smartphone, che ha problemi di attenzione, memoria o orientamento, o più semplicemente un figlio molto piccolo che non sa come usare uno smartphone o uno più grande che si sta divertendo troppo e si dimentica che doveva attivare la localizzazione per non impensierire i genitori.

In casi come questi ci sono dispositivi di localizzazione automatici e autonomi da integrare negli indumenti (per esempio nelle scarpe) o cucire dentro una cartella o zainetto. Ci sono anche braccialetti, smartwatch e ciondoli, che hanno a volte anche una funzione di allarme. Hanno una propria batteria e una propria SIM, per cui funzionano senza dipendere da un telefonino, e in molti casi la loro batteria si carica senza doverli rimuovere dal loro alloggiamento.

Per sorvegliare completamente le attività online servono invece applicazioni apposite, alcune delle quali sono completamente invisibili se l’utente non è particolarmente esperto. Ne trovate un buon elenco qui su Laleggepertutti.it.

L’altra faccia della sorveglianza

Le possibilità sono tante, insomma, ma ci sono anche alcuni rischi che è meglio considerare attentamente. Per esempio, questi gadget digitali possono creare l’illusione del controllo, perché il figlio usa il telefonino o la connessione Internet di qualcun altro e non lascia tracce sul proprio, oppure affida il telefonino a un compagno che resta a scuola e quindi elude la geolocalizzazione.

Non bisogna trascurare, inoltre, il costo di alcuni di questi sistemi e l’onere di sfogliare grandi quantità di dati, schermate e spostamenti ogni giorno, e c’è anche il rischio che altri possano mettere le mani su tutte queste informazioni sensibili accumulate. Ma le infinite opzioni di localizzazione e di sorveglianza sono anche una buona occasione per educare i figli a non dare a terzi con leggerezza le proprie informazioni, anche se non sembrano particolarmente private. Il battito del cuore e i movimenti del polso registrati da uno smartwatch, per esempio, possono sembrare irrilevanti in termini di privacy, ma in realtà possono essere usati anche per monitorare l’attività sessuale.

Gli smartphone Android hanno tracciato la posizione anche a localizzazione spenta

2017-11-24
di Paolo Attivissimo
Android, geolocalizzazione, Google Street View, ReteTreRSI, smartphone, sorveglianza

È piuttosto ben noto che gli smartphone hanno funzioni di geolocalizzazione, utili per esempio per orientarsi in una città o per trovare il ristorante più vicino. Ad alcuni utenti questa localizzazione dà fastidio perché significa regalare alle aziende la cronologia di dove vanno, per cui la spengono usando le apposite opzioni del telefonino. Problema risolto? No.

È emerso che Google ha raccolto le coordinate di localizzazione dei telefonini Android, e quindi dei loro utenti, anche quando le opzioni di localizzazione erano spente, non c’era inserita una SIM e non c’erano app installate. La scoperta riguarda qualunque telefonino Android e questa raccolta di dati non è in alcun modo disattivabile dall’utente se non spegnendo completamente il telefonino o mettendolo in modalità aereo.

Google ha confermato, ammettendo che dall’inizio di quest’anno ha raccolto questi dati usando i segnali delle antenne delle reti cellulari e facendo triangolazione. Secondo Google, questi dati servivano per provare a recapitare meglio le notifiche e i messaggi, non sono stati conservati e non verranno più raccolti a partire dalla fine di novembre 2017. Peccato non aver pensato di avvisarci che i nostri dispositivi non rispettavano i nostri desideri.

Google non è nuova a questo genere di raccolta di dati non annunciata: nel 2010 era stata colta a raccogliere per anni password, nomi utente e mail private tramite i Wi-Fi delle sue auto usate per creare le mappe e le foto di Street View, finendo davanti alla Corte Suprema degli Stati Uniti e ricevendo sanzioni e proteste da Francia, Australia, Regno Unito e molti altri paesi. Anche in quell’occasione, Google aveva detto che non raccoglieva e conservava questi dati, ma poi era emerso che lo faceva eccome.

Fonte aggiuntiva: Engadget.

Facebook vi classifica in 52.000 categorie: come scoprire quali

2017-11-10
di Paolo Attivissimo
Facebook, geolocalizzazione, ReteTreRSI, tracciamento

Ultimo aggiornamento: 2017/11/10 13:00.

La settimana scorsa ho raccontato la diffusa preoccupazione che Facebook ascolti gli utenti a loro insaputa attraverso gli smartphone per captare parole chiave delle loro conversazioni a scopo pubblicitario. Molti utenti, infatti, hanno notato su Facebook le pubblicità di prodotti che non avevano mai cercato o discusso online ma che avevano menzionato a voce nelle vicinanze del telefonino.

I conduttori del podcast Reply All hanno contattato in proposito Antonio Garcia Martinez, ex dipendente di Facebook responsabile per la pubblicità mirata, e gli hanno chiesto di spiegare una storia inquietante raccontata da un loro ascoltatore di San Francisco, in California.

L’ascoltatore dice che la madre del suo partner è venuta in visita dall’Oklahoma. Per viaggiare ha preso l’aereo, e i controlli di sicurezza le hanno sequestrato la bottiglietta di profumo, così al suo arrivo ha detto all’ascoltatore e al suo partner “Ehi, vorrei andare a una profumeria e comprare una nuova confezione di profumo”. Nel giro di mezz’ora Facebook ha mostrato al partner una pubblicità di una profumeria a San Francisco, perfetta per risolvere l’esigenza della madre. Come è possibile?

Martinez spiega che per queste magie non occorre ascoltare le conversazioni: Facebook sa che la madre sta facendo un viaggio, perché la segue grazie alla geolocalizzazione. Sa che è andata a trovare il figlio, sempre grazie alla geolocalizzazione (stavolta quella del figlio) e grazie al fatto che il figlio è indicato fra gli amici e membri di famiglia su Facebook. Sa anche che la donna acquista profumo, quale marca usa e da quanto tempo non ne compra, perché il social network acquista dati sui consumi degli utenti, schedati attraverso le tessere fedeltà; e quindi decide di mostrare al figlio la pubblicità di una profumeria.

Facebook, inoltre, segue gli utenti anche quando non sono nel social network, grazie a dei codici di tracciamento invisibili (i Facebook Pixel) presenti in molte pagine del Web, e quindi sa quali siti hanno visitato e per esempio quali articoli hanno letto e quali prodotti hanno anche soltanto valutato e non acquistato nei negozi online. Sulla base di tutti questi dati crea un dossier su ciascuna persona, classificandola secondo circa 52.000 categorie, stando ai dati di Julia Angwin di ProPublica citati nel podcast.

Potete vedere una parte di queste categorie entrando nel sito di Facebook con il vostro account e scegliendo Impostazioni – Inserzioni – Le tue informazioni – Le tue categorie. Se preferite usare l’app, scegliete Impostazioni – Impostazioni dell’account – Inserzioni – Le tue informazioni – Le tue categorie – Esamina e gestisci le tue categorie.

Alcune di queste categorie sono incredibilmente precise: per esempio, Amici intimi di uomini che festeggiano il compleanno entro 7-30 giorni, Persona lontana da casa, Viaggiatore frequente oppure Persona a cui piace fingere di mandare messaggini nelle situazioni imbarazzanti.

Nel mio profilo Facebook segnaposto, nel quale volutamente non riverso alcuna informazione personale (non ho amici e rifiuto le amicizie) ho trovato queste categorie, quasi tutte strettamente tecniche:

Persone che festeggiano il compleanno a settembre (giusto)
Persone che accedono a Facebook principalmente da dispositivi più vecchi o sistemi operativi precedenti a Windows 7, Mac OS X o Windows NT 6.2 (sbagliato)
Persone che usano Gmail per le e-mail (giusto)
Persone che accedono a Facebook usando principalmente macOS Sierra (giusto)
Persone che amministrano almeno 1 Pagina su Facebook (giusto)
Persone che accedono a Facebook usando principalmente Firefox (giusto)
Persone che vivono in nuclei familiari in cui una o più persone non sono familiari stretti o acquisiti (incredibilmente sbagliato)

L’ultima è decisamente bizzarra: non ho coinquilini, ma ho alcuni amici che vengono spesso a trovarmi e si collegano a Facebook usando il mio Wi-Fi. Nonostante la mia frequentazione minima del social network, Facebook comunque ha dedotto questo aspetto personale della mia vita di famiglia.

Con capacità di analisi come queste, ascoltare attraverso il microfono non serve. E voi, nelle vostre categorie, cosa avete trovato?

Ecco alcune segnalazioni dei lettori, arrivate via Twitter dopo la pubblicazione iniziale di questo articolo:

amico di espatriati 🙂

— robinet (@robinetitaly) November 10, 2017

L’unica cosa che c’è è che mi son sposato da meno di un anno, meno di tre mesi e che uso Chrome… basta ^_^… eh beh si mi son sposato ^_^

— Claudio bb (@Tombolus) November 10, 2017

God, mi sfugge! pic.twitter.com/iYcBhnelzP

— Filippo Valle (@Filippo_Valle) November 10, 2017

Anche a me come ad altri l’unica cosa strana è viaggiatori frequenti. Il resto sono compleanni e accesso a Facebook.

— Marco Giannini (@Marcooo83) November 10, 2017

Niente di che: solo “Viaggiatori Frequenti”, e dire che non ho né app né geolocalizzazione attiva🤔

— Grizzly🐻 (@g_sr) November 10, 2017

Assolutamente niente di strano o invasivo. Particolare semmai la voce “Viaggiatori frequenti” visto che ci spostiamo pochissimo (<1 l’anno) e soprattutto NON lo scriviamo MAI: né prima, né durante. A malapena dopo! 😉

— Karellen (@RRiccardi69) November 10, 2017

A parte i cosmetici che non so proprio come ci siano finiti, il resto sono o cose che mi incuriosiscono o cose che ho cercato per regali. Però vedo poche categorie, forse perché navigo quasi sempre con un AD blocker

— Lorenzo Bossi (@Lorentz83) November 10, 2017

Da me tutto regolare/ovvio e niente di strano. Unica particolarità: Facebook è convinto che io sia un poliziotto o pompiere. Niente di più sbagliato. L’algoritmo evidentemente non è perfetto.

— Manuel Wenger (@ManuCH) November 10, 2017

Snapchat, occhio alla geolocalizzazione disinvolta

2017-06-30
di Paolo Attivissimo
bullismo digitale, geolocalizzazione, privacy, ReteTreRSI, Snapchat, social network

Pochi giorni fa Snapchat ha aggiunto una nuova funzione, Snap Map, che è meglio conoscere per decidere come impostarla. Se impostata o usata male, infatti, può esporre al rischio di essere pedinati e trovati da stalker e bulli digitali, come racconta Graham Cluley su We Live Security.

Il video promozionale di Snap Map, nota Cluley, fa sembrare che Snapchat condivida la vostra geolocalizzazione soltanto quando taggate la vostra posizione nelle foto che postate nelle Storie, ma in realtà questa condivisione è sempre attiva per tutto il tempo per il quale usate o tenete aperta l’app.

Ci sono comunque delle salvaguardie: se decidete di condividere la vostra posizione con gli amici, Snapchat ve lo ricorda periodicamente, e se non avete mai usato Snap Map la geolocalizzazione non viene condivisa con nessuno. Ma può capitare di attivare Snap Map senza rendersene conto, per esempio dopo aver guardato la presentazione di Snap Map nell’app.

In pratica, se attivate Snap Map chiunque sia nel vostro elenco di amici di Snapchat può sapere continuamente dove siete. E se il vostro account Snapchat è pubblico, lo può sapere chiunque, anche uno sconosciuto.

Si possono anche vedere i post degli altri utenti con account pubblici geolocalizzati, anche se non vi hanno concesso l’amicizia, digitando il nome di una località nella casella Cerca di Snap Map.

Conviene quindi correggere quest’impostazione: andate nelle impostazioni di Snapchat, trovate Mostra la mia posizione e attivate la Modalità fantasma. Potete anche essere più drastici, disattivando l’accesso di Snapchat alla geolocalizzazione nelle impostazioni dello smartphone:

— in iOS, Impostazioni – Privacy – Localizzazione – Snapchat – Mai.

— in Android, Impostazioni – App – Snapchat – Autorizzazioni – Posizione (da disattivare)

Già che ci siete, prendete l’abitudine di non dare l’amicizia digitale a chiunque ve la chieda, non solo in Snapchat, ma in tutte le altre app social.

Fonti aggiuntive: Sophos.

Le app che sussurrano ai pubblicitari: tracciamento degli smartphone tramite ultrasuoni

2017-05-12
di Paolo Attivissimo
geolocalizzazione, ReteTreRSI, sorveglianza

Siete il tipo di persona che cerca di non ascoltare le pubblicità televisive o nei centri commerciali per non farsene influenzare negli acquisti? È uno sforzo nobile, ma forse non avete considerato che il vostro smartphone potrebbe ascoltarle comunque di nascosto per voi e manipolarvi di conseguenza.

Alcuni ricercatori dell’Università Tecnica di Braunschweig, in Germania, hanno pubblicato un’indagine sul mondo dei cosiddetti beacon ultrasonici (Privacy Threats through Ultrasonic Side Channels on Mobile Devices). Si tratta di suoni acutissimi, che l’orecchio umano non è in grado di percepire ma che il microfono di un telefonino capta senza problemi.

Questi suoni vengono inseriti segretamente nell’audio delle pubblicità o nella musica dei centri commerciali e vengono ricevuti altrettanto segretamente da varie app per dispositivi Android (i ricercatori hanno studiato solo dispositivi Android e non hanno raccolto dati su comportamenti analoghi di app per iPhone). In questo modo è possibile sapere per esempio quali programmi televisivi state guardando e anche in quale punto di un centro commerciale vi trovate, anche se avete spento la localizzazione tramite GPS. Una forma di sorveglianza decisamente invadente e soprattutto spesso non dichiarata.

Non è un problema teorico: i ricercatori hanno trovato questi sistemi di pedinamento ultrasonico in quattro dei 35 centri commerciali che hanno visitato in due città europee (non specificate nella ricerca). Hanno inoltre rilevato numerose app Android che ascoltano questi segnali nascosti: app di aziende come Shopkick, Lisnr o Signal360, che sfruttano questa tecnica per sapere quando entrate in uno dei centri commerciali convenzionati e bombardarvi di pubblicità o di buoni acquisto su misura.

I ricercatori tedeschi dichiarano inoltre di aver trovato in Google Play oltre 200 esempi di app contenenti il sistema di tracciamento ultrasonico della Silverpush. Molte di queste app sono state scaricate milioni di volte, sono legate a marchi commerciali molto conosciuti e si presentano come app dedicate a tutt’altro scopo; pochissime, oltre a quelle che ho citato prima, avvisano chiaramente l’utente che sorvegliano e registrano le sue abitudini tramite suoni diffusi nell’ambiente e captati dallo smartphone. L’azienda, però, ha dichiarato di aver interrotto l’uso di questa tecnologia.

Molte persone non sono particolarmente turbate dall’idea di regalare informazioni personali ai pubblicitari in cambio di qualcosa, però ci tengono comunque a sapere se e quando vengono tracciate commercialmente, in modo da poter fare perlomeno una scelta informata: se volete tutelarvi contro questo genere d’invasione silenziosa della vostra vita e avete uno smartphone dotato di Android 6.0 o successivo, potete andare in Impostazioni – App, toccare l’icona dell’ingranaggio, scegliere Autorizzazioni app e poi Microfono per avere un elenco delle app che hanno il permesso di usare il microfono. Se ne vedete qualcuna che non conoscete, toglietele il permesso toccando il selettore a scorrimento a destra del nome dell’app.

Se non volete dedicarvi a questo genere di acrobazie, prendete perlomeno l’abitudine di installare solo le app che vi servono veramente: questa è comunque una buona precauzione per evitare non solo il tracciamento ultrasonico ma anche molte truffe e infezioni informatiche e vari bombardamenti pubblicitari indesiderati, in modo da non dover passare dall’uomo che sussurrava ai cavalli all’app che sussurra ai pubblicitari.

Fonti aggiuntive: Ars Technica.

Google Maps permette di farsi pedinare. Volontariamente, s’intende

2017-04-07
di Paolo Attivissimo
geolocalizzazione, Google Maps, ReteTreRSI

Mi capita spesso di parlare di problemi di privacy e di come non farsi tracciare commercialmente nei propri spostamenti e nelle proprie attività dai vari sensori di cui è dotato uno smartphone. Ma a volte capita di voler essere tracciati, magari da una persona specifica: per esempio perché vi trovate in una città che non conoscete e dovete incontrare qualcuno nella grande piazza principale ma non vi trovate per via della folla; oppure perché vi siete separati dai vostri amici durante una gita e vorreste ritrovarli; o magari perché avete dato appuntamento a un cliente, vorreste far sapere che state arrivando e quanto manca al vostro arrivo, ma avete le mani impegnate nella guida per cercare un parcheggio e quindi non potete telefonare o mandare messaggi.

Probabilmente avete già sul vostro smartphone l’app che risolve questi problemi: è Google Maps, che ha aggiunto da poco la funzione Condividi posizione. Si trova nel menu laterale, ma potete attivarla anche semplicemente toccando il puntino azzurro che indica la vostra posizione sulla mappa.

Potete usare Condividi posizione per far sapere in tempo reale a uno o più dei vostri contatti di lavoro o amici (e solo a loro) dove vi trovate, inviando loro un link personalizzato via mail, SMS o social network, e i destinatari possono riceverlo su smartphone oppure su computer. Ovviamente, se pubblicate il link di condivisione in una pagina pubblica di un social network, chiunque potrà localizzarvi, per cui è opportuno essere prudenti.

Chi riceve il link non deve fare altro che toccarlo o cliccarvi sopra: si aprirà Google Maps (l’app o la versione Web), con un’icona che indica dove vi trovate in quel momento.

Potete condividere la vostra posizione anche mentre state usando Google Maps come navigatore: in questo caso chi riceverà il link verrà aggiornato automaticamente su dove siete e fra quanto tempo è previsto il vostro arrivo.

La durata di questa tracciabilità selettiva è personalizzabile: per esempio, potete attivarla per un certo numeri di minuti e ore (da un minimo di un quarto d’ora a un massimo di tre giorni) oppure fino a quando decidete di disattivarla manualmente. Google Maps vi ricorderà continuamente che siete tracciati e da chi e vi permetterà di spegnere il tracciamento in anticipo se necessario. Se usate Condividi posizione per informare sul vostro orario previsto di arrivo, il tracciamento si disattiverà automaticamente quando arriverete a destinazione. Sullo schermo, inoltre, c’è sempre un’icona che indica chiaramente che state consentendo il tracciamento.

In sintesi, con la condivisione di posizione di Google Maps il controllo è saldamente in mano a chi decide di farsi tracciare: ma il tornaconto, per Google, è la possibilità di conoscere ancora meglio le nostre abitudini e attività e offrirle agli inserzionisti pubblicitari: un mercato che secondo alcune stime vale circa 750 miliardi di dollari. Ecco perché questi servizi sono gratuiti.

Fonti aggiuntive: Ars Technica, The Verge, Wired.

Facebook traccerà gli utenti quando entreranno nei negozi degli inserzionisti

2016-06-17
di Paolo Attivissimo
Facebook, geolocalizzazione, privacy, ReteTreRSI, sorveglianza, tracciamento

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/06/17 14:30.

Se avevate ancora qualche dubbio sul fatto che chi usa i social network non è un cliente ma è un prodotto da vendere, un recente annuncio di Facebook dovrebbe togliervelo.

Facebook ha infatti annunciato che userà la geolocalizzazione, fornita dallo smartphone dell’utente tramite il GPS integrato e la scansione automatica delle reti Wi-Fi vicine, e la abbinerà alle pubblicità viste, allo scopo di informare i rivenditori su quanti utenti vedono la loro pubblicità su Facebook e poi vanno nei loro negozi.

Sarà inoltre possibile sapere quanti di questi utenti effettuano anche un acquisto. Gli utenti, in cambio, avranno il vantaggio di essere avvisati dell’ubicazione del negozio più vicino nel quale è disponibile il prodotto reclamizzato.

Facebook non è l’unica o la prima a offrire un servizio del genere: Google lo fa già con AdWords dal 2014, secondo Sophos. Va detto anche che l’utente non sarà identificato personalmente, perché i dati verranno raccolti in forma aggregata.

Se comunque questo genere di tracciamento vi inquieta, disattivate i servizi di localizzazione: se avete un iPhone o uno smartphone Android che usa la versione 6.0 o successiva di Android, potete farlo selettivamente per l’app di Facebook.

Per l’iPhone, andate in Impostazioni – Privacy – Localizzazione – Facebook e scegliete Mai. Fatelo anche per Messenger, Instagram e WhatsApp, che fanno parte della famiglia di Facebook.

Per gli Android 6.0 o successivi, andate in Impostazioni – Geolocalizzazione – Facebook – Autorizzazioni e disattivate Posizione. Questo è il percorso sul mio Nexus 5x; altri modelli, mi segnalano nei commenti, ne propongono differenti. Per esempio, provate Impostazioni – Generali – Gestione Telefono – Applicazioni – Facebook – Autorizzazioni e disattivate La tua posizione. In alternativa, provate Impostazioni – Applicazioni – Gestione Applicazioni – Facebook – Autorizzazioni e disattivate la voce Posizione. Ripetete la procedura per Messenger, Instagram e WhatsApp. Per gli Android precedenti è disponibile soltanto la disabilitazione generale della geolocalizzazione, spegnendo GPS e Wi-Fi.

Quando Google ti pedina: la cronologia delle posizioni

Questo articolo vi arriva grazie alla gentile donazione di “p.tiziano” e “maurizio.bucc*”. L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2016/05/18 1:25.

La mappa qui accanto mostra quello che Google sa dei miei spostamenti il 9 dicembre scorso. Sa anche quando sto camminando.

Come mai? Perché ho un telefonino Android e tempo fa ho accettato una delle tante richieste di Google di attivare i suoi servizi di geolocalizzazione. Se l’avete fatto anche voi, Google registra anche la vostra cronologia delle posizioni: conserva, in altre parole, un diario digitale dettagliato di dove eravate ogni giorno e ogni ora da quando avete attivato il telefonino. Inquietante. Trovate la vostra cronologia, se ne avete una, a questo link generale (ognuno vede la propria).

2015/11/11: Di recente è stato reso disponibile anche un link alternativo più conciso, https://www.google.com/maps/timeline.

Sto facendo dei test per capire i criteri e i metodi con i quali Google raccoglie questi dati di posizione. Finora ho notato alcuni fenomeni:

C’è una periodicità di 50 minuti nell’archiviazione delle posizioni: anche se non ci si muove, Google registra la posizione corrente con questo intervallo regolare.
Spostare il telefonino non genera un evento posizionale che viene registrato.
Alcuni dati di posizione vengono registrati anche con il GPS spento.
Non ho dati di posizione prima della fatidica data del 21 dicembre 2012. Complotto? 🙂

Dalle segnalazioni dei lettori sembra che questa raccolta cronologica possa essere disattivata andando nelle impostazioni della Cronologia delle posizioni dell’account Google, cliccando su Disattiva e poi su Salva (devo ancora provare). Ma attenzione: disattivare la cronologia non elimina i dati già registrati, che invece vanno rimossi andando nella Gestione cronologia e cancellando il singolo evento, la cronologia di un giorno specifico oppure tutta la cronologia.

2015/11/11: Un altro modo per gestire i dati della cronologia è andare a questo link, cliccare sull’icona dell’ingranaggio e scegliere Sospendi la cronologia delle posizioni oppure Elimina tutta la cronologia delle posizioni.

Per disattivare la raccolta di dati di posizione da parte di Google sul singolo dispositivo mobile Android si può andare (sul dispositivo stesso) in Impostazioni – Google – Impostazioni posizione e disattivare Consenti accesso app Google a tua posizione. Le app non-Google usano invece la voce Impostazioni – Servizi per la posizione.

2016/05/18: In Android 6.0.1, si va in Impostazioni – Geolocalizzazione e si può scegliere se attivare o non attivare la geolocalizzazione in generale oppure si può disattivare la singola app. Per cancellare tutto si tocca invece (sempre da Impostazioni – Geolocalizzazione) la voce Cronologia delle posizioni Google e si sceglie se attivare o disattivare la localizzazione effettuata tramite il dispositivo oppure se eliminare la cronologia delle posizioni toccando l’opzione Elimina cronologia delle posizioni.

Questo genere di tracciamento così capillare è una forte dimostrazione di quante tracce lasciamo in giro e di quanto è facile, per servizi come Google, compilarle e analizzarle.

Fra l’altro, l’analisi non è sempre corretta: per esempio, Google è convinto che io abbia preso un aereo a Rimini il 2 dicembre per poi rientrare a Rimini il giorno stesso (screenshot qui accanto), ma in realtà sono semplicemente passato accanto all’aeroporto in auto. Google pensa anche che io abbia preso un volo dall’aeroporto di Agno il 19 agosto, ma non sono neppure passato da Agno.

Per quanto sia invadente questo tracciamento, perlomeno ha il vantaggio di offrire anche al pedinato la possibilità di consultare i dati raccolti (diversamente da quanto fa l’NSA, per esempio), per cui è possibile ricordarsi dove ci si trovava a una certa ora di un certo giorno (ed eventualmente usare questi dati per dimostrarlo). Per contro, significa che chiunque riesca a mettere le mani sul nostro account Google può non solo leggere tutta la nostra mail privata, ma anche sapere tutti i nostri spostamenti passati.

Continuerò a fare vari test nei prossimi giorni. Per esempio:

Accendere o spegnere il WiFi fa differenza?
Disabilitare del tutto la trasmissione dati del dispositivo mobile fa differenza?
Se il dispositivo mobile non si connette a Internet (tramite rete cellulare o WiFi) per qualche giorno, i dati vengono tenuti in cache?
Come si comporta questo tracciamento durante il roaming? (Risposta preliminare qui sotto)
Cosa succede se ho due dispositivi mobili che usano lo stesso account? (Risposta di @giank2139: questo)
Se non ho nessun dispositivo mobile, Google mi traccia lo stesso quando mi collego a un WiFi pubblico e apro il mio account Google?

Se scoprite qualcosa e vi va di darmi una mano, i commenti sono a vostra disposizione. Dai primi commenti arriva appunto la segnalazione dell’utile pagina di spiegazioni di Google (in italiano). Segnalo anche questa pagina di Google, che descrive le fonti usate per determinare la posizione: GPS, WiFi, identificativo della cella di rete telefonica. Interessante questa nota: “Con il Wi-Fi non occorre neanche essere collegati a una rete per ottenere una maggiore precisione nella localizzazione.”

Tracciamento in roaming

Un caso pratico personale di tracciamento in roaming fornisce dati bizzarri. Il 2 dicembre sono partito da Riccione per tornare al Maniero Digitale. Questa è la mappa di Google, con la visualizzazione completa di tutti gli eventi di posizione, riferita al mio telefonino Android principale, che ha una SIM svizzera:

Durante la mia presenza in Italia non ho mai attivato il roaming dati e non mi sono mai collegato al WiFi dell’albergo (ho solo visualizzato la sua schermata di login). Sono andato in Rete usando un telefonino italiano come access point. Come ha fatto Google a tracciare correttamente la mia presenza a Riccione?

Non ci sono altri dati di posizione per buona parte del viaggio (in auto) fino alle 15:32:03, quando sono ancora in territorio italiano (in provincia di Varese, a Uboldo e poi a Gerenzano 45 secondi più tardi). Il dato successivo è alle 16:12:35, in territorio svizzero. Come ha fatto Google ad acquisire questi dati posizionali in territorio italiano?

Tracciamento in roaming con GPS spento

Il 12 dicembre ho fatto un salto in Italia, a Olgiate Comasco, una decina di chilometri oltre la frontiera, tenendo il GPS del mio telefonino Android spento. Google ha registrato dettagliatamente i miei spostamenti in Svizzera, ma non ha traccia di quelli in Italia. Anzi, ha perso il tracciamento ben prima che io raggiungessi la frontiera. Questo può essere significativo in termini di completezza illusoria del tracciamento: Google sembra avermi tracciato dettagliatamente, ma in realtà ho effettuato un attraversamento di frontiera di cui Google non ha informazioni.

Possibile caching dei dati durante tethering WiFi

Il 13 dicembre sono andato dal Maniero Digitale alla sede della RSI a Lugano, tenendo attivati GPS e WiFi sul mio telefonino Android. Al mio arrivo in studio, alle 10, ho attivato il tethering via WiFi per un paio d’ore. Almeno per buona parte di queste due ore (non ho controllato per tutto il tempo) i dati di posizione non si sono aggiornati: la pagina di Google mi dava come ultima posizione quella delle 9:58.

Tuttavia al mio rientro a casa, durante il quale ho disattivato il tethering, ho visto che i dati presentati nella cronologia si erano aggiornati a includere anche gli orari nei quali il tethering era attivo. Questo sembra indicare che ci sia una sorta di cache sul telefonino.