ALLERTA PERICOLI INFORMATICI

Scopri se i servizi di geolocalizzazione ti spiano

Scopri se i servizi di geolocalizzazione ti spiano
Scritto da gestore

Scopri come funzionano i servizi di geolocalizzazione e chi viene a conoscenza della posizione del tuo smartphone.

La notizia che Qualcomm, uno dei principali fornitori di chip per smartphone, haย tracciatoย gli utenti con il suo servizio di geolocalizzazione ha suscitato di recente un certo scalpore nella stampa specializzata. In questo post andremo a fondo della questione e discuteremo di come ridurre al minimo il monitoraggio indesiderato della geolocalizzazione. Innanzitutto, vediamo come funziona la localizzazione.

Intermezzo promozionale ... continua la lettura dopo il box:

In che modo i dispositivi mobili determinano la posizione dellโ€™utente

Il metodo di geolocalizzazione tradizionale consiste nel ricevere un segnale satellitare dai sistemi GPS, GLONASS, Galileo o Beidou. Tramite questi dati, ilย ricevitoreย (il chip nello smartphone o nel dispositivo di navigazione) esegue i calcoli e stabilisce la propria posizione. Si tratta di un metodo abbastanza accurato che non prevede la trasmissione di informazioni da parte del dispositivo, ma solo la ricezione. Tuttavia, questo metodo di geolocalizzazione presenta notevoli inconvenienti: non funziona in ambienti chiusi e richiede molto tempo se il ricevitore non viene utilizzato tutti i giorni. Ciรฒ รจ dovuto al fatto che il dispositivo deve conoscere la posizione esatta dei satelliti per poter eseguire il calcolo, quindi deve scaricare il cosiddettoย almanacco, che contiene informazioni sulla posizione e sul movimento dei satelliti. Il recupero dei dati richiede dai cinque ai dieci minuti se si esegue il download direttamente dal satellite.

Come alternativa molto piรน rapida al download diretto dal satellite, i dispositivi possono scaricare lโ€™almanaccoย da Internet in pochi secondi tramite una tecnologia denominata A-GPS (Assisted GPS), o GPS assistito. Secondo le specifiche originali, vengono trasmessi solo i dati dei satelliti disponibili al momento, ma diversi sviluppatori hanno aggiunto una previsione settimanale delle posizioni dei satelliti per velocizzare il calcolo delle coordinate anche nel caso il ricevitore non disponga della connessione a Internet per alcuni giorni. La tecnologia รจ nota come Predicted Satellite Data Service (PSDS) e il servizio Qualcomm citato in precedenza รจ lโ€™implementazione piรน notevole realizzata finora. Lanciato nel 2007, il servizio era denominato โ€œgpsOne XTRAโ€, ma รจ stato rinominato โ€œIZat XTRA Assistanceโ€ nel 2013 e nella sua versione piรน recente รจ chiamato โ€œQualcomm GNSS Assistance Serviceโ€.

Come funziona la ricezione del segnale satellitare al chiuso e che cosโ€™รจ SUPL

Come accennato in precedenza, un altro problema relativo alla localizzazione tramite un segnale satellitare รจ che potrebbe non essere disponibile al chiuso, quindi esistono altri modi per determinare la posizione di uno smartphone. Il metodo classico degli anni โ€™90 รจ quello di verificare quali stazioni base cellulari possono essere ricevute nella posizione corrente e calcolare la posizione approssimativa del dispositivo confrontando lโ€™intensitร  del segnale rispetto alla posizione esatta delle stazioni.

Con alcune modifiche, questo metodo รจ supportato anche dalle moderne reti LTE. Gli smartphone sono inoltre in grado di verificare la presenza di hotspot Wi-Fi nelle vicinanze e determinarne la posizione approssimativa. Questa operazione รจ in genere resa possibile da database centralizzati che archiviano informazioni sui punti di accesso Wi-Fi e fornite da servizi specifici, come i servizi di localizzazione di Google.

Tutti i metodi di geolocalizzazione esistenti sono definiti da SUPL (Secure User Plane Location), uno standard supportato da operatori mobili e sviluppatori di smartphone, microchip e sistemi operativi. Qualsiasi applicazione che abbia bisogno di conoscere la posizione dellโ€™utente la ottiene dal sistema operativo mobile utilizzando la combinazione piรน rapida e accurata di metodi attualmente disponibili.

La privacy non รจ garantita

Lโ€™accesso ai servizi SUPL non comporta necessariamente una violazione della privacy dellโ€™utente, ma di fatto spesso alcuni dati vengono divulgati. Quando il telefono determina la posizione utilizzando le stazioni base cellulari nelle vicinanze, lโ€™operatore di telefonia mobile sa esattamente chi ha inviato la richiesta e dove si trovava in quel momento. Google monetizza i propri servizi di localizzazioneย registrandoย la posizione e lโ€™identificatore dellโ€™utente, sebbene dal punto di vista tecnico questo non sia necessario.

Come per il sistema A-GPS, i server teoricamente possono fornire i dati richiesti senza raccogliere gli identificatori degli abbonati o archiviare i relativi dati. Tuttavia, molti sviluppatori eseguono entrambe le operazioni. Lโ€™implementazione standard di SUPL in Androidย invia allo smartphone lโ€™IMSIย (numero univoco della SIM) nellโ€™ambito di una richiesta SUPL. Il client Qualcomm XTRA sullo smartphoneย trasmette gli โ€œidentificatori tecniciโ€ degli abbonati, inclusi gli indirizzi IP. Secondo Qualcomm, i dati vengono โ€œde-identificatiโ€: i record che collegano gli identificatori e gli indirizzi IP degli abbonati sono eliminati dopo 90 giorni, quindi vengono utilizzati esclusivamente per determinati โ€œscopi aziendaliโ€.

Un punto importante:ย i dati di una richiesta A-GPS non possono essere utilizzati per definire la posizione dellโ€™utente.ย Lโ€™almanacco disponibile dal server รจ lo stesso in qualsiasi parte della Terra: รจ il dispositivo dellโ€™utente che calcola la posizione. In altre parole, tutto ciรฒ che i proprietari di questi servizi possono archiviare sono le informazioni su un utente che invia una richiesta al server a una determinata ora, ma non la posizione dellโ€™utente.

Le accuse contro Qualcomm

Le pubblicazioni che criticano Qualcomm citano unaย ricercaย condotta da un certoย Paul Privacyย e pubblicata sul sito Web Nitrokey. Il documento afferma che gli smartphone con chip Qualcomm inviano, a insaputa degli utenti, i loro dati personali ai server dellโ€™azienda tramite un protocollo HTTP non criptato. Questo avverrebbe senza alcun controllo, poichรฉ la funzionalitร  รจ implementata a livello hardware.

Nonostante i problemi di privacy dei dati citati in precedenza che interessano servizi come Qualcomm GNSS Assistance Service, la ricerca in qualche modo presenta informazioni fuorvianti e contiene una serie di imprecisioni:

  • Nei vecchi smartphone le informazioni potevano effettivamente essere trasmesse tramite HTTP non sicuro, ma nel 2016 Qualcomm haย corretto la vulnerabilitร  di XTRA.
  • In base al contratto di licenza, tramite i servizi XTRA possono essere trasmesse informazioni come un elenco delle applicazioni installate, ma test pratici (ispezione dei pacchetti e analisi delย codice sorgenteย di Android) non hanno mostrato alcuna prova che ciรฒ avvenga effettivamente.
  • Contrariamente alle affermazioni iniziali dei ricercatori, la funzione di condivisione dei dati non รจ incorporata nel microchip (baseband) ma implementata a livello di sistema operativo, quindi puรฒ sicuramente essere controllata, sia dagli sviluppatori del sistema operativo che dalla community di modding. La sostituzione e la disattivazione di servizi SUPL specifici in uno smartphone รจ una capacitร  notaย dal 2012, ma questa operazione รจ stata eseguita per velocizzare il funzionamento del GPS anzichรฉ per motivi di privacy.

Protezione dallo spionaggio: per tutti e per i piรน attenti

Qualcomm (probabilmente) non ci traccia. Detto questo, il tracciamento tramite la geolocalizzazione รจ possibile, ma a un livello completamente diverso: leย app meteoย e altri programmi apparentemente innocui che utilizzi ogni giorno lo eseguono sistematicamente. Quello che suggeriamo a tutti di fare รจ una cosa semplice ma importante:ย ridurre al minimo il numero di app che hanno accesso alla posizione. Dopo tutto, รจ possibile scegliere manualmente un luogo per ricevere le previsioni del tempo e lโ€™inserimento di un indirizzo di consegna durante gli acquisti online non รจ un grosso problema.

Chi desidera evitare qualsiasi registrazione della propria posizione deve eseguire alcuni passaggi di protezione aggiuntivi:

  • Disabilitare sullo smartphone tutti i servizi di geolocalizzazione tranne il buon vecchio GPS.
  • Utilizzare strumenti avanzati per impedire al telefono di accedere ai servizi SUPL. A seconda del modello di smartphone e del tipo di sistema operativo, รจ possibile farlo tramite ilย filtro del server DNS, un firewall di sistema, unย router di filtroย o leย impostazioni dello smartphone
  • รˆ meglio evitare di utilizzare del tutto i cellulari! Anche eseguendo tutte le operazioni precedenti, lโ€™operatore di telefonia mobile conosce comunque la tua posizione approssimativa in qualsiasi momento.

Fonte : https://www.kaspersky.it/blog/gps-agps-supl-tracking-protection/27794/