Facebook aggira la nuova protezione privacy Apple: ecco come ci geolocalizza anche senza consenso - Cyber Security 360

LA SCOPERTA

Facebook aggira la nuova protezione privacy Apple: ecco come ci geolocalizza anche senza consenso

Le app Facebook per iOS sarebbero in grado di bypassare i controlli privacy imposti dagli aggiornamenti del sistema operativo Apple riuscendo a raccogliere sempre e comunque dati di localizzazione degli utenti dall’accelerometro e dal mix con altri dati. Una scoperta importante che potrebbe avere impatti notevoli. Facciamo il punto

3 giorni fa
M
Andrea Michinelli

Avvocato, FIP (IAPP), LA ISO/IEC 27001:2013

Facebook non manca di riservare sorprese in ambito di protezione dei dati: secondo alcune ricerche sarebbe ora noto che le app Facebook per iOS riuscirebbero a bypassare i controlli privacy imposti dagli aggiornamenti del sistema operativo Apple, raccogliendo sempre e comunque dati di localizzazione degli utenti che, prevedibilmente, sarebbero utilizzati per identificare e profilare commercialmente gli stessi. Volenti o nolenti.

Mesi fa, parlando delle innovazioni privacy (“ATT” – App Tracking Transparency) adottate da Apple per iOS a partire dalla versione 14, si prevedevano facilmente reazioni da parte degli altri big player come Google e Facebook, cioè da parte di chi si basa maggiormente sull’uso di dati personali per scopi pubblicitari, vendendo spazi e servizi basati sui dati profilati degli utenti.

Un aspetto fondamentale in questa battaglia è il mercato dei dispositivi iOS, smartphone e tablet, fiorente fonte di dati personali e che dopo le restrizioni di Apple – cioè nuove opzioni di blocco dei tracciamenti in particolare quanto all’uso dell’identificativo pubblicitario del dispositivo (IDFA) – ha subito conseguentemente un forte, prevedibile contraccolpo.

Apple, svolta privacy con la iOS 14.5: ecco che cambia

È notizia recente che Facebook ha registrato, anche a causa di ciò, un forte calo in Borsa, ben del 5%: gli inserzionisti avrebbero lamentato costi pubblicitari aumentati a fronte di picchi negativi circa le prestazioni reali degli annunci sui dispositivi iOS.

Facebook replica che avrebbe sottostimato determinate metriche, dopo le novità di Apple e in ogni modo ha annunciato di adottare strategie come il miglioramento della modellazione delle conversioni e l’intensificazione degli investimenti in vista delle festività natalizie del 2021. Ma non è tutto, visto quanto emerso circa le strategie che occultamente sarebbero in corso.

La geolocalizzazione “obbligata”

I dispositivi Apple sono muniti generalmente di hardware dedicato alla geolocalizzazione del dispositivo (e, di conseguenza, dell’utente che lo utilizza), ad es. tramite GPS. L’hardware in gioco qui è però quello pensato per usi diversi: l’accelerometro, ovvero sensori (di solito tre, uno per asse) dedicati a misurare le vibrazioni o l’accelerazione di movimento dell’oggetto in cui sono posti, traducendo la loro grandezza meccanica in una grandezza elettrica.

WHITEPAPER
Quali sono le strategie da seguire per difendersi contro gli attacchi di phishing?
Sicurezza
Cybersecurity

Negli smartphone sono, di solito, di tipo MEMS – Micro Electro-Mechanical System, microsistemi elettromeccanici – e sono impiegati dalle app e dai dispositivi ad es. per ruotare lo schermo, contare i passi dell’utente e via dicendo.

Ebbene, l’utilizzo della app di Facebook (come anche di quella Instagram, mentre riguarderebbe limitatamente quella di WhatsApp) sui dispositivi iOS comporterebbe l’uso di tale feature, sempre e comunque: l’app mostra il monitoraggio della posizione utente, sfruttando anche i dati dell’accelerometro.

L’attivazione continuata e la registrazione continua di dati permetterebbe a Facebook di monitorare gli spostamenti dell’utente durante la giornata, a prescindere dal fatto che l’utente abbia disabilitato la funzione di tracciamento tramite iOS o tramite le impostazioni della app di Facebook.

Non sarebbe tutto qui: sfruttando altri dati ancora, Facebook può integrare e arricchire le proprie profilazioni e inferenze circa i comportamenti e il profilo degli utenti – dati come ad es. gli indirizzi IP, i metadati allegati a video e immagini e via dicendo.

L’aspetto più sconcertante è quello delle impostazioni interne dell’app di Facebook: tra queste figura la possibilità di disabilitare il tracciamento della posizione. Il che farebbe presupporre all’utente che sia sufficiente, per evitare il tracciamento.

Due ricercatori, Talal Haj Bakry e Tommy Mysk, avrebbero invece acclarato il contrario pubblicandolo in un post su Twitter. Il punto è che pur disabilitando tale funzione, la app potrebbe ricavare i dati di geolocalizzazione dall’accelerometro e dal mix con altri dati.

I soli dati dell’accelerometro permettono di comprendere, tra l’altro, la posizione del corpo dell’utente e certi comportamenti nello spazio fisico. In combinazione con il barometro interno, ugualmente presente nei dispositivi iOS, si possono ricavare altri dati come ad esempio la temperatura nello spazio in cui si trova il dispositivo.

Manca l’ultimo tassello: come potrebbe Facebook inferire con sufficiente certezza il posizionamento utente da questo insieme di dati, sì corposo ma che non parrebbe direttamente rivelatore? Semplice: confrontando i dati raccolti con quelli di un altro utente presente nello stesso spazio. L’altro utente potrebbe aver lasciato attiva la geolocalizzazione, rivelando la sua posizione esatta, mentre i suoi dati di accelerometro e barometro potrebbero essere identici a quelli del primo utente, quello che invece ha disattivato l’opzione.

A questo punto è chiaro che tali utenti “non tracciati”, con forte probabilità, si trovano nello stesso luogo di quelli localizzati, e dunque si avrebbe una geolocalizzazione attuata tramite inferenze dai dati altrui.

Non è finita qui: l’hardware predetto può arrivare a misurare dati biometrici, come il battito cardiaco e la frequenza respiratoria. Le conseguenze sulla profilazione utente sono evidenti.

Tutto ciò a insaputa degli utenti stessi che, a questo punto, per impedire il fenomeno di “tracciamento occulto”, non avrebbero altra scelta che di disinstallare la app stessa, la quale altrimenti procederebbe ininterrottamente a ricavare i dati indicati, senza sosta.

Il vulnus per la privacy utente

Facebook dichiara che l’accelerometro sarebbe utilizzato solo per una certa funzione della app (cioè “Shake to report” spam o altri messaggi non graditi), non smentendo che tuttavia l’accesso ai dati continuerebbe, pur dopo aver disattivato tale funzione.

Letto quanto scoperto dai ricercatori, se confermato, porterebbe a un facile elenco delle avvenute violazioni della normativa privacy comunitaria da parte di Facebook: trasparenza insufficiente (l’informativa di Facebook), mancanza di consenso specifico e comunque di un qualche strumento per bloccare i trattamenti indesiderati di dati. In particolare, l’informativa succinta “privacy label” presente sull’Apple store rivela qui i suoi limiti, vista la genericità delle indicazioni su “altri dati”, “posizione” e “dati sull’utilizzo”.

Non molto meglio va leggendo l’informativa estesa di Facebook, ove non si fa, anzitutto, un chiaro distinguo tra i trattamenti praticati tramite app o tramite browser. Nella sezione sui tipi di dati utilizzati non si prefigura chiaramente l’uso dei dati dell’accelerometro (fonte mai menzionata nel testo; si potrebbe forse far ricadere in fattispecie come “Attività eseguite e informazioni su di te fornite dalle altre persone”, “Informazioni e contenuti che fornisci” come i metadati, “Il tuo utilizzo” dei prodotti Facebook, “Informazioni sul dispositivo” tra le quali si fatica a rinvenire quelle dell’accelerometro o similia – nulla di tutto ciò è chiaro né sufficientemente granulare e dettagliato).

Circa la finalità specifica d’utilizzo riportiamo quanto indicato circa “Informazioni relative alla posizione: usiamo le informazioni relative alla posizione, come la posizione attuale, il luogo di residenza, i luoghi che ami visitare e le aziende e le persone nelle vicinanze per fornire, personalizzare e migliorare i nostri Prodotti, comprese le inserzioni, per te e le altre persone. Le informazioni basate sulla posizione possono basarsi su elementi come l’esatta posizione del dispositivo (se ci consenti di ottenerla), gli indirizzi IP e le informazioni derivanti dall’uso che tu e altre persone fate dei Prodotti Facebook (ad es. le registrazioni o gli eventi a cui partecipate)”. In qualche modo la finalità d’uso dei dati è esposta ma è davvero arduo che un utente possa dedurre (sospettare?) quanto appena detto da queste poche righe.

A questo punto non ci dilunghiamo in lunghi approfondimenti analisi sulle basi giuridiche (consenso, legittimo interesse ecc.) che nell’informativa sono a malapena accennate (è presente un’elencazione che non le distingue per finalità, leggiamo solo che il trattamento potrà avvenire “In modo coerente con il consenso concesso, che può essere revocato in qualsiasi momento attraverso le Impostazioni di Facebook e le Impostazioni di Instagram” oppure per un generico legittimo interesse).

È presente però un link ad ulteriori specifiche su queste basi e che ci raccontano qualcosa in più: a proposito di trattamenti a consenso si ribadisce la possibilità di revocare il consenso per “la raccolta di informazioni che ci consenti di ricevere attraverso le impostazioni del dispositivo attivate (ad es. accesso a posizione GPS, fotocamera o foto), in modo da poterti offrire le funzioni e i servizi descritti quando attivi le impostazioni”.

Per i trattamenti basati sul legittimo interesse, invece, non parrebbe rinvenirsi nulla di applicabile al nostro caso, salvo non vi si vogliano ricomprendere le vaghe dichiarazioni di “fornire, personalizzare e migliorare i Prodotti Facebook” oppure di “comunicare, scoprire e interagire con informazioni e community pertinenti ai loro interessi”, qualunque cosa significhino.

Senza peraltro che Facebook dica nulla sul test di bilanciamento di interessi o altre valutazioni degli interessi e delle libertà degli utenti sul tema (ex art. 6.1.f GDPR e Parere n. 6/2014 del WP29). Ulteriormente rammentiamo che la Direttiva ePrivacy 2002/58/UE, recepita nel nostro Codice nazionale privacy del 2003, tuttora prescrive che l’uso di dati di ubicazione sarebbe soggetto alla base consensuale oppure all’anonimizzazione, oltre che a un uso strettamente circoscritto (art. 126 del Codice).

Aggiungiamo che, stando a quanto indicato sopra, l’uso della localizzazione (soprattutto con l’uso dei dati dell’accelerometro ecc.) per identificare un interessato potrebbe costituire trattamento di dati particolari biometrici (afferenti a “caratteristiche fisiche, fisiologiche o comportamentali”) e richiedere una base di trattamento ex art. 9 GDPR, come il consenso esplicito.

Queste criticità sono limitate solo al dominio di Apple o anche a quelli di altri produttori, in particolare pensando ai milioni di dispositivi muniti di Android e correlate app di Facebook, tanto per menzionare la fetta più rilevante di utenti?

Infine accenniamo che altri ancora sono i tavoli su cui si sta giocando la battaglia Apple – Facebook – Google: a seguito di un’azione legale presso l’antitrust USA, in ottobre è stato reso noto che Facebook e Google avrebbero collaborato, fin dal 2020, per eludere le restrizioni privacy ATT imposte da Apple, in particolare mirando ad aggirare le limitazioni del browser Safari per identificare l’utente, pur non accedendo ai cookie, sfruttando il browser fingerprinting.

Il fingerprinting del browser: cos’è e come funziona il tracciamento delle nostre attività online

Conclusioni

Già in passati contributi avevamo prefigurato come il tramonto dei cookie di terza parte potrà portare, per compensare, a eccessi nell’uso di altre tecniche probabilistiche di identificazione e profilazione utente, come accade già dall’uso del citato browser fingerprinting.

E fronteggiare le nuove tecniche è molto più difficile rispetto ai cookie: opporsi a tecniche che spesso – come appena illustrato nel caso Facebook – sono talmente radicate nei vari strati dei sistemi è impossibile, manca una protezione efficace anzitutto tecnicamente.

Vedremo se in futuri interventi del produttore Apple i limiti appena accennati potranno essere superati e così arrivare a fornire davvero un controllo all’utente circa i propri dati, sebbene lo scenario si tinga sempre più di fosche tinte per il digital advertising e il complicato rapporto con la privacy.

Addio ai cookie di terze parti: ecco le nuove strategie di promozione dei brand

WHITEPAPER
Certificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderiscono
Legal
Privacy
@RIPRODUZIONE RISERVATA

Articolo 1 di 5