Vai al contenuto

privacy

Basta uno squillo per localizzare chiunque? Chiedo aiuto tecnico per una verifica

Mi è stato segnalato questo articolo su Mastdatabase.co.uk che, se confermato, rivelerebbe la presenza di un errore di configurazione di un operatore cellulare che renderebbe possibile a qualunque persona localizzare qualunque altro utente semplicemente facendogli squillare il telefono.

In sintesi, secondo l’articolo, se si è utenti della rete cellulare britannica O2 e la si usa per chiamare un altro utente della stessa rete facendo una chiamata VoLTE (Voice over LTE), i dati che si ricevono includono anche l’identificativo della cella di rete sotto la quale si trova il chiamato. Questo permette di localizzarlo con notevole precisione.

Chiedo aiuto per verificare a) se quello che viene affermato è vero b) qualora sia vero, se vale anche per altri operatori di altri paesi.

In pratica, l‘articolo suggerisce di usare l’app Network Signal Guru (manuale) su un telefono Android rootato e di chiamare un altro utente facendo una cosiddetta chiamata VoLTE, un servizio che è attivo per default sulla maggior parte dei cellulari recenti (info Swisscom; info Fastweb).

L‘app, durante la chiamata, dovrebbe visualizzare i dati diagnostici della rete cellulare. Secondo l’articolo, sulla rete O2 questi dati diagnostici includono l’IMEI e l’IMSI del chiamante e anche quelli del chiamato, ma soprattutto includono l’header Cellular-Network-Info, che fornisce il tipo di cella usato dal chiamato, il suo Location Area Code e il suo Cell ID.

Immettendo questi dati in uno strumento online come Cellmapper.net si ottiene l’indicazione su una mappa della macrocella della rete cellulare che è stata usata dal chiamato durante la telefonata. In altre parole, si può sapere in che città si trova una persona semplicemente chiamandola. Nelle città dotate di microcelle, si può localizzare una persona con estrema precisione. Questa situazione avviene anche se il chiamato è in roaming all’estero ed è un errore di configurazione dell’operatore; non c’è nulla che l’utente possa fare.

Qualcuno riesce a confermare/smentire? Ho installato Network Signal Guru su un mio cellulare (non rootato) e ho provato a chiamare un altro mio cellulare, ma nei log correttamente generati dall’app non ho trovato informazioni come quelle descritte nell’articolo. In compenso ho trovato informazioni di localizzazione e velocità stupendamente dettagliate.

Screenshot dei dati presentati da Cellmapper.net per una zona a caso di Lugano (non è dove abito io e non mi trovo lì).

Stravaleaks: guardie del corpo presidenziali pubblicano online i propri percorsi di fitness

Un’inchiesta giornalistica di Le Monde segnala un esempio clamoroso di tracciabilità eccessiva e pericolosa indotta dalla vanità: le guardie del corpo di vari capi di stato, da Biden a Trump a Putin a Macron, pubblicano regolarmente i propri percorsi di fitness su Strava, rivelando così le proprie identità, le proprie abitazioni, i luoghi dove vanno in vacanza e ovviamente rivelando anche dove si trovano o si troveranno i leader che sono chiamati a proteggere.

Queste guardie del corpo, infatti, spesso raggiungono in anticipo i luoghi dei summit che dovrebbero in teoria restare segreti fino all’ultimo minuto per evidenti ragioni di sicurezza. Pubblicando la propria localizzazione, con tanto di percorsi seguiti per le proprie corse di allenamento e punti di partenza e di arrivo precisi, tolgono qualunque velo di riservatezza agli spostamenti delle persone protette.

Ma come hanno fatto i giornalisti di Le Monde a risalire alle loro identità e quindi sapere chi cercare su Strava? Hanno usato un po’ di buon sano, paziente e diligente giornalismo investigativo, combinato con la competenza informatica. Nel caso delle guardie del corpo presidenziali statunitensi, l’indagine parte dalla conoscenza di un fatto: questi specialisti si addestrano per diversi mesi al centro James J. Rowley, vicino a Washington. Un dato pubblico e presente anche su Wikipedia.

Ovviamente si tengono in forma fisica mentre sono in questo centro, e lo fanno per esempio correndo nelle vicinanze. Basta quindi andare su Strava e cercare con pazienza chi posta attività su Strava in quella zona e poi posta altre corse nei luoghi in cui si trova il presidente USA nelle date corrispondenti agli spostamenti presidenziali. Il metodo è spiegato in questo video (in francese; embed qui sotto).

Uno dei video esplicativi di Le Monde.

Il problema dell’eccesso di condivisione di dati personali non riguarda solo i politici: tocca anche qualunque persona esposta al rischio di stalking (in particolare le donne) e chiunque abbia un incarico sensibile che lo espone al rischio di aggressioni o rapimenti. Tocca anche chi semplicemente ha un bella bicicletta, di quelle costose, e se la vede rubare perché i ladri scoprono online dove abita e quali sono le abitudini della vittima, come è stato raccontato nel programma radiofonico Millevoci della ReteUno RSI al quale ho partecipato ieri (una clip audio del mio intervento è qui).

Va notato che le impostazioni predefinite di Strava nascondono i primi e ultimi 200 metri di ogni percorso; è un buon inizio, ma non è sufficiente.

Fonti aggiuntive: Cyberdaily.au, RTS.ch, Le Monde (in inglese, anche qui).