TRACCIAMENTO ONLINE

Facebook, ecco come sfrutta i sensori dell’iPhone per aggirare le protezioni privacy

Facebook ha trovato il modo per aggirare le protezioni privacy dell’App Transaperncy Framework di Apple e accedere a una notevole quantità di dati personali “indiretti” rilevati dai sensori dell’iPhone. Ecco in che modo e i consigli pratici per limitare la raccolta di questo tipo di informazioni

02 Dic 2021
F
Elio Franco

Avvocato, Founder presso Franco, Pirro & Partners

Tutto è iniziato con Apple che, nel solco della difesa della privacy dei propri utenti, ha introdotto con iOS 14.5 l’App Transaperency Framework, ossia una particolare funzione che consente agli utenti di disabilitare il tracciamento delle app, di modo da ridurre notevolmente i loro meccanismi di profilazione: la novità ha avuto così tanto successo che si stima che quasi il 90% degli utenti iOS l’abbiano attivata in un periodo molto breve.

È inutile sottolineare che i big player dell’advertising online come Google e Facebook siano subito ricorsi a soluzioni che permettano loro di continuare a ottenere ricavi importanti dai loro servizi.

Se la prima sta tentando nuove strade, come la creazione di insiemi di utenti suddivisi per gusti, la seconda, invece, cerca di aggirare le limitazioni accedendo ai dati dell’accelerometro, del giroscopio e del barometro per georeferenziare i propri iscritti a loro insaputa e, quindi, per profilarli onde inviare loro annunci pertinenti.

Facebook aggira la nuova protezione privacy Apple: ecco come ci geolocalizza anche senza consenso

Sensori dell’iPhone: fatta la legge, trovato l’hack

Ogni iPhone attualmente in circolazione è dotato di tre sensori i cui dati possono essere sfruttati dalle app per tutta una serie di funzioni:

dal 14 al 17 giugno 2022
FORUM PA 2022: Le sfide globali della cybersecurity e della sovranità digitale
Sicurezza
Privacy
  • i primi due sono l’accelerometro e il giroscopio che, lavorando spesso in coppia, servono, ad esempio, a determinare la rotazione dello schermo per adattare le finestre delle app e mostrarne il contenuto “nel verso giusto”, oltre, magari, a controllare veicoli virtuali nei videogiochi o, ancora, a realizzare delle buone riprese fotografiche;
  • il terzo, invece, è il barometro, che può essere utilizzato per misurare l’altitudine a cui si trova l’utente, ma anche a determinare se ha corso in pendenza, calcolando la differenza fra due o più punti diversi lungo il suo percorso.

Facebook ha, però, trovato il modo di utilizzare entrambi i sensori per aggirare l’App Transparency Framework di Apple, sfruttandone un punto debole: infatti, i dati dei tre sensori sono liberamente disponibili per tutti gli sviluppatori, senza limitazioni di sorta, e possono essere, quindi, strutturati, elaborati e analizzati in modo da ottenere una misurazione precisa del luogo in cui si trova l’utente, anche se costui ha disabilitato la condivisione della propria posizione tramite GPS.

Come? Il social di Meta raccoglie i dati raccolti dai sensori del telefono dell’utente e li confronta con le informazioni raccolte da chi, invece, non ha disabilitato la georeferenziazione, sia su iOS che su Android.

Con una base così ampia di dati da poter confrontare, il raffronto fra i dati raccolti dai tre sensori dell’utente che ha voluto limitare la propria profilazione con quelli di coloro che, invece, non hanno limitato nulla, riesce ad aggirare le misure restrittive di iOS.

L’importanza delle vibrazioni

L’allarme proviene dalle pagine di Forbes, da cui i ricercatori Talal Haj Bakry e Tommy Mysk mettono in guardia dal fatto che Facebook legge costantemente i dati dell’accelerometro, al fine di creare gruppi omogenei di utenti che producono lo stesso pattern di vibrazioni.

Nemmeno a dirlo, anche le altre app di Meta, WhatsApp e Instagram, sono così invasive, di modo da creare dei profili sempre più precisi dei propri utenti.

Per dovere di cronaca, è opportuno precisare che la prima registra continuamente i dati dell’accelerometro e del giroscopio, ufficialmente per offrire all’utente l’effetto parallasse degli sfondi delle chat; la seconda, invece, raccoglie gli accennati dati solo ed esclusivamente se si usa Direct, ossia il servizio integrato di messaggistica privata.

Meta, le cui app dominano le classifiche di download dell’Apple App Store da anni nelle categorie Social Network e Foto e Video, ha dichiarato che le informazioni relative ai dati dell’accelerometro servono solo ed esclusivamente per le funzionalità di shake-to-report (ossia per segnalare un problema o un abuso all’assistenza clienti dell’app) o, ancora, per migliorare le funzioni relative all’uso della fotocamera o per consentire la visualizzazione delle foto a 360°.

Come se ciò non bastasse, Talal e Mysk hanno rilevato che i dati raccolti da qualsiasi tipo di sensore dell’iPhone sono, di fatto, disponibili a tutti gli sviluppatori e, a volte, anche senza che vengano garantiti i permessi per raccoglierli: dunque, v’è il concreto pericolo che gli sviluppatori di Facebook possano sfruttarli in danno della privacy degli utenti.

I dati del GPS sono anche nella galleria fotografica

Come se ciò non bastasse, Facebook ha trovato un modo anche per ottenere i dati relativi alla geolocalizzazione dell’utente anche da altre fonti, pur sempre presenti in iPhone e alle quali, spesso, l’utente medio non bada.

Ad esempio, se si concede l’accesso all’intera libreria fotografica del proprio smartphone, l’app si occuperà di leggere i metadati di ogni fotografia al fine di determinare, con precisione, la posizione dell’utente.

Ancora, le app di Meta possono georeferenziare i propri iscritti anche dalla lettura dell’indirizzo IP del dispositivo da loro utilizzato.

Come limitare la raccolta dei dati

Fortunatamente, ci sono due modi per limitare la raccolta di questo tipo di informazioni: il primo è quello di non consentire a Facebook, WhatsApp e Instagram l’accesso indiscriminato al rullino fotografico, ma, invece, passare loro solo gli elementi che si vogliono effettivamente pubblicare.

Il secondo è quello di sottoscrivere un abbonamento a iCloud+, incluso anche nel piano da un paio di euro al mese, che consente di utilizzare un private relay per anonimizzare il proprio indirizzo IP e crittografare i dati scambiati con i server.

L’impronta digitale del dispositivo

Apple, oltre a non consentire più l’accesso all’IDFA (cioè l’identificativo univoco per gli inserzionisti), ha da sempre scoraggiato l’uso delle pratiche che consentono il c.d. device fingerprinting, ossia la registrazione di una impronta digitale che identifichi un determinato dispositivo in maniera univoca.

Ovviamente, ciò non comporta la reale identificazione dell’utente che lo usa, ma, quanto meno, di una “persona” a lui associata.

Purtroppo, però, quanto appena illustrato evidenzia come Meta possa raccogliere altri dati in modo da profilare i propri utenti.

Se, quindi, si vuole evitare di essere profilati per il tramite di dati “indiretti”, l’unica soluzione è quella di disinstallare Facebook, WhatsApp, Messenger e Instagram dai propri smartphone.

WEBINAR
25 Maggio 2022 - 14:30
Cybersecurity 360Summit: nuove strategie, nuove minacce e nuove difese!
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Articolo 1 di 4