Privacy, così gli hacker possono sapere tutto di noi con la geolocalizzazione

0

Stalker e malintenzionati possono violare le protezioni utilizzando i sistemi di tracciamento degli annunci pubblicitari

Per ogni passo che fai, per ogni tuo respiro, io ti seguirò. Grazie alla pubblicità geolocalizzata che appare sulle app di smartphone e tablet, oggi un hacker abbastanza motivato da investire 1.000 euro in advertising può seguire i nostri movimenti quotidiani. Lo rivela uno studio dei ricercatori in informatica Paul Vines, Franziska Roesner e Tadayoshi Kohno dell'Università di Washington per l'ACM Workshop on Privacy in the Electronic Society 2017 di Dallas.

Ciò che rende possibili violazioni della privacy senza precedenti è uno stratagemma che fa leva sul sistema di geolocalizzazione degli annunci pubblicitari. E' noto che quando usiamo un'app che, come quasi tutte quelle gratuite, visualizza pubblicità, e abbiamo la funzionalità GPS attiva sullo smartphone, gli inserzionisti possono vedere sulla piattaforma di gestione delle loro campagne pubblicitarie, una delle cosiddette piattaforme DSP (demand-side provider), la locazione geografica in cui ci trovavamo quando abbiamo visualizzato il banner pubblicitario pagato da quell'inserzionista.

Questa non è una fonte particolare di preoccupazione, perché si dà per scontato che a Coca Cola o a Swatch non interessi sapere come si sta muovendo per la città un singolo, preciso individuo. Le cose cambiano, e di molto, quando a gestire la piattaforma pubblicitaria digitale non è un'azienda commerciale, ma uno stalker informatico o un ficcanaso che ha un interesse specifico nel seguire le tracce di una data persona. In questo caso – spiegano gli autori dello studio – la prima informazione che lo stalker deve avere è il Mobile Advertising ID (MAID) del soggetto da seguire. E' un dato conservato in un cookie sullo smartphone e lo identifica univocamente. E' questo che permette di tracciare una persona nei suoi spostamenti, perché lo stalker, con un normale accesso a uno dei normali strumenti di gestione campagne pubblicitarie (gli autori ne hanno sperimentati una ventina tra quelli più usati sul mercato), può scegliere di restringere la targettizzazione della sua (fasulla) campagna pubblicitaria a quell'unico MAID corrispondente al suo "bersaglio".

A quel punto allo stalker è sufficiente impostare un bid – si indica così il prezzo che un inserzionista è disposto a pagare perché vengano visualizzate le sue pubblicità – sufficientemente alto da superare in valore tutti i bid degli inserzionisti concorrenti: in questo modo avrà la sicurezza che il soggetto da spiare vedrà soltanto i banner inviati dallo spione e non quelli, per dire, di Amazon o Expedia. Nell'esperimento riportato nello studio, con un bid di 0,05 dollari per impression (ossia un prezzo pari a 50 dollari CPM, secondo la terminologia classica del web marketing, assai più alto delle normali campagne pubblicitarie online) i ricercatori hanno vinto nel 90% dei casi le aste che decidono quali banner saranno mostrati all'utente.

Questo accorgimento – e un budget sufficiente a pagare un numero di visualizzazioni sufficiente a seguire il bersaglio – rende possibile il pedinamento digitale per la città: ogni volta che, magari al bar o in auto mentre sono fermo al semaforo, uso l'app (allo spione basta impostare la sua campagna perché venga mostrata sulle app più usate), le mie coordinate geografiche, con una precisione di pochi metri, vengono inviate allo stalker. Che può così scoprire i miei itinerari e usarli per i suoi scopi.

Con buona pace delle piattaforme pubblicitarie: gli autori dello studio riportano che nessuna delle venti piattaforme utilizzate li ha contattati per chiedere il motivo di quelle campagne pubblicitarie così singolari – perché indirizzate a una sola persona – lanciate dai ricercatori per i loro esperimenti di pedinamento digitale in remoto. L'allarme privacy lanciato dai ricercatori americani ha una sua ragion d'essere, ma bisogna anche tener presente che non è cosa da tutti sapere che un certo MAID è associato a una persona con nome e cognome: è un'informazione che può avere solo un hacker che riesca a carpirlaOAS_RICH(‘Bottom’); attraverso il traffico WiFi (il cosiddetto "sniffing") o un amministratore della rete aziendale che, animato da propositi indiscreti, decida di annotarsi il MAID che lo smartphone di un dato impiegato invia alla rete locale quando si connette al WiFi dell'ufficio.

[ Fonte articolo: Repubblica ]

LASCIA UN COMMENTO

Please enter your comment!
Please enter your name here

*