Servizi di localizzazione: ecco come tracciare uno smartphone con GPS disattivato
I ricercatori di Princeton hanno dimostrato che la posizione di un utente può essere determinata combinando le informazioni provenienti dal dispositivo e da fonti pubbliche.
La disattivazione dei servizi di localizzazione tramite Wi-Fi e GPS è spesso ritenuta un modo per difendere la nostra privacy, bloccando il tracciamento sia verso gli inserzionisti pubblicitari che verso eventuali utenti malintenzionati.
Con il termine localizzazione o geolocalizzazione, si intende la possibilità di identificare in maniera più o meno precisa la posizione geografica di un oggetto nel mondo.
La geolocalizzazione può avvenire tramite diverse tecnologie:
- localizzazione tramite un segnale radio detta anche radiolocalizzazione
- localizzazione tramite una rete cablata
- localizzazione ibrida, radio e rete cablata
Le tecnologie più utilizzate dai servizi di localizzazione sono:
- localizzazione tramite il sistema GPS basato su segnali radio satellitari
- localizzazione tramite la rete telefonica mobile
- localizzazione tramite la rete WiFi pubblica
- localizzazione tramite la rete internet (indirizzo IP)
- localizzazione tramite sistemi proprietari (ad esempio i sistemi RECCO e ARVA usati per localizzare eventuali vittime di valanghe)
Nel caso di utilizzo di uno smartphone, le tecnologie utilizzabili dai servizi di localizzazione sono almeno 4: GPS, rete telefonica voce, rete WiFi, rete telefonica dati (internet).
Tuttavia, i nostri telefoni possono essere monitorati anche con la localizzazione disattivata.
Alcuni ricercatori della Princeton University hanno pubblicato insieme a IEEE il loro ultimo rapporto dal titolo PinMe: Tracking a Smartphone User around the World.
Lo studio, dimostra chiaramente la quantità di dati che gli smartphone raccolgono e come questi dati potrebbero essere utilizzati per attaccare la privacy degli utenti.
Con l’uso massivo di smartphone che rilevano, raccolgono ed elaborano informazioni preziose sull’ambiente, assicurare la privacy della posizione geografica dell’utente è diventata una delle preoccupazioni più importanti nell’età moderna
Come aggirare la privacy dei servizi di localizzazione combinando i dati del telefono con le informazioni pubbliche
Alcuni recenti studi dimostrano come sia possibile elaborare i dati raccolti da uno smartphone per individuare la geolocalizzazione del proprietario del telefono, anche quando l’utente non intende condividere le informazioni sulla posizione, ad esempio quando il Global Positioning System (GPS) è spento.
È infatti possibile attaccare la riservatezza sugli spostamenti e sulla posizione geografica degli utilizzatori, combinando i dati raccolti dai sensori dal telefono con le informazioni disponibili pubblicamente.
Nel suo studio, il gruppo discute su come gli attaccanti non abbiano bisogno di sapere quale sia la posizione iniziale del bersaglio o su come sia possibile sfruttare alcune funzionalità del dispositivo (come ad esempio i dati dell’accelerometro) per costruire in anticipo i potenziali percorsi.
Per dimostrare la loro tesi, i ricercatori hanno implementato PinMe, una applicazione software che sfrutta i dati sensoriali e non sensoriali memorizzati sugli smartphone per compromettere la privacy della posizione dell’utente.
PinMe, ad esempio, può utilizzare la pressione dell’aria dell’ambiente e incrociare le informazioni reperibili pubblicamente (come ad esempio mappe di elevazione) per stimare la posizione dell’utente quando tutti i servizi di localizzazione, come il GPS, sono disattivati.
Le informazioni utilizzate potrebbero includere anche dati non sensoriali, come il fuso orario dello smartphone e lo stato della rete.
I ricercatori hanno detto che questi dati “apparentemente benigni” memorizzati dagli smartphone e spesso accessibili da app di terze parti potrebbero essere utilizzati insieme a “dati ausiliari” disponibili pubblicamente come
- Mappe
- Tabelle dei tempi di trasporto
- Database aereoportuali
- Bollettini meteorologici
- Orari dei treni
per sviluppare un attacco contro la privacy della posizione dell’utente.
Ad esempio, utilizzando l’indirizzo IP del dispositivo, è possibile fare un’ipotesi della città in cui si trova l’utente, mentre i dati del barometro potrebbero essere utilizzati per verificare se un utente è su un aereo.
Come funziona PinMe
Con lo sviluppo di PinMe, i ricercatori sono stati in grado di estrarre informazioni memorizzate sugli smartphone che non richiedono l’autorizzazione per l’accesso e combinarle con alcuni dati pubblici per individuare la posizione del telefono.
Ad esempio, utilizzando i dati di
- Giroscopi
- Accelerometri
- Sensori di altitudine
gli studiosi sono stati in grado di monitorare la velocità con cui si muoveva la persona, la direzione del viaggio, il momento in cui il soggetto si era fermato e l’altitudine.
Dopo aver aggregato questi dati, hanno usato algoritmi per determinare la posizione iniziale dell’utente e la presunta modalità di viaggio (aereo, treno, a piedi).
Successivamente, hanno utilizzato mappe accessibili pubblicamente (come OpenStreetMap e le mappe di elevazione) per disegnare il percorso di un utente.
Hanno anche aggiunto nei loro dati le letture di temperatura, umidità e pressione dell’aria per aumentare la precisione della rilevazione.
Guardando quante app di fitness dati stanno raccogliendo i dati dei loro utenti (basati su giroscopi, accelerometri e altri sensori), è facile per gli sviluppatori di app tenere traccia della geolocalizzazione delle persone.
Questo accesso mette gli utilizzatori a rischio di esposizione verso eventuali malintenzionati, come abbiamo visto nel caso di Strava dove è trapelata online l’esatta posizione geografica del personale militare.
Prateek Mittal, assistente professore nel Dipartimento di ingegneria elettrica di Princeton e co-autore di PinMe ha dichiarato:
“PinMe dimostra come le informazioni provenienti da sensori apparentemente innocui, possono essere sfruttate utilizzando tecniche di apprendimento automatico per dedurre dettagli sensibili sulle nostre vite.”
Gli esperti di sicurezza hanno definito questo attacco “estremamente potente” e stanno incoraggiando la comunità a lavorare su soluzioni che potrebbero consentire agli utenti di prevenire queste situazioni di pericolo.
Chi si occupa di prevenire attacchi a sicurezza e privacy degli utenti, ha chiesto ai produttori di sistemi operativi di introdurre interruttori on/off anche sui sensori, per consentire agli utenti di impedire alle app di estrarre informazioni quando il commutatore è disattivato.
Nel frattempo, viene raccomandato agli utenti di continuare a tenere disattivati i sensori di posizione e i servizi di localizzazione perché aiuta a rendere la vita difficile ad eventuali malintenzionati.