Tracciamento con ultrasuoni: l’arma segreta dietro a Immuni

Grazie a questa tecnologia, il possessore dello smartphone che ha caricato una App “traditrice” – come potrebbe essere quella del governo – può essere schedato in ogni minimo dettaglio della sua vita

tempo di lettura 7 minuti

Credevate che i pericoli rilevati alla App Immuni, da noi più volte denunciati, fossero finiti? Non è così. L’aspetto su cui invitiamo tutti a porre l’attenzione oggi ruota attorno a un concetto, già rilevato in passato da comunità scientifiche e ora – si è visto – particolarmente applicabile su Immuni: il rapporto tra questa App e gli ultrasuoni. Ovvero il fatto che, grazie a questi ultimi, l’App possa essere veicolo di informazioni e dati personali diversi da quelli per cui ci è imposta e che possono finire, come sempre, nelle mani di malintenzionati… siano essi multinazionali o governi.

Cerchiamo di spiegarci. Già alcuni anni fa, le società di marketing digitale (come quelle che hanno contribuito alla realizzazione di Immuni) hanno iniziato a utilizzare segnali ad ultrasuoni per verificare e tracciare gli interessi delle persone (in possesso di smartphone) cui veniva indirizzato un determinato messaggio pubblicitario. In pratica, grazie agli ultrasuoni, il possessore dello smartphone che ha caricato un’applicazione “traditrice” – come appunto potrebbe essere Immuni – può essere schedato in ogni minimo dettaglio della sua vita.

Lo spiega uno studio “Privacy Threats through Ultrasonic Side Channels on Mobile Devices”, realizzato da ricercatori della Technische Universitaet Braunschweig, di Brunswick, in Germania. «Il tracciamento dei dispositivi è una grave minaccia per la privacy degli utenti, in quanto consente di spiare le loro abitudini e attività» scrivono. «Una pratica recente incorpora gli ultrasuoni nell’audio e li traccia utilizzando il microfono dei dispositivi mobili. Questo canale consente di identificare la posizione corrente di un utente, spiare le sue abitudini di visione della Tv o collegare i suoi diversi dispositivi mobili. Si tratta di una nuova tecnica di tracciamento».

I canali laterali a ultrasuoni sui dispositivi mobili possono rappresentare una minaccia per la privacy di un utente, poiché consentono, per esempio, di spiare le abitudini di visualizzazione Tv di un utente, localizzarne la posizione o addirittura indebolire le tecniche di anonimizzazione. Questo quando l’utente ha installato una normale applicazione mobile (come potrebbe essere anche Immuni) sensibile ai segnali ad ultrasuoni (attraverso il microfono in background) senza naturalmente averlo detto.

Tracciamento tra dispositivi

I segnali a ultrasuoni consentono anche di capire quali dispositivi mobili appartengono allo stesso individuo. Quando si riceve ripetutamente lo stesso segnale, i dispositivi sono generalmente vicini tra loro e probabilmente appartengono allo stesso utente. Di conseguenza, un inserzionista può tenere traccia del comportamento dell’utente e delle abitudini di acquisto sui suoi dispositivi.

Combinando diverse fonti di informazioni, l’inserzionista può mostrare annunci pubblicitari più personalizzati. Allo stesso modo, un “malintenzionato” può collegare tra loro dispositivi privati e aziendali di un utente, se ricevono lo stesso segnale ultrasonico, fornendo così un potenziale vettore di infezione per attacchi mirati.

Tracciamento della posizione

Un segnale a ultrasuoni consente poi a chi paga per avere queste informazioni di tracciare il movimento dell’utente all’interno anche senza bisogno del GPS. Per esempio, una farmacia emette un segnale ultrasonico con un identificatore di posizione. Questa informazione rivela dove e quando un individuo vi si reca.

Inoltre, il malintenzionato di turno può capire quando le persone si incontrano o sono molto vicine tra loro. Cosa, anche questa, molto pericolosa dal punto di vista della privacy e che Immuni, come altre App di governi totalitari, afferma di non fare perché non userà la localizzazione GPS. Ma, come si è dettto, il problema che esce dalla porta potrebbe rientrare dalla finestra.

De-anonimizzazione

Il canale laterale attraverso codici a ultrasuoni rende possibile la de-pseudonimizzazione di Bitcoin e la de-anonimizzazione degli utenti Tor. Per esempio, il solito malintenzionato può rivelare la relazione tra un indirizzo Bitcoin e l’identità dell’utente reale. Il malintenzionato è, quindi, in grado di ottenere un profilo utente dettagliato e completo creando un canale laterale ad ultrasuoni tra il dispositivo mobile e un mittente audio.

«Il nostro studio su tre tecnologie commerciali di tracciamento a ultrasuoni – afferma lo studio tedesco – rivela che i meccanismi di tracciamento delineati non sono una minaccia teorica, ma attivamente implementati (per esempio Shopkick e Lisnr) o almeno in fase di implementazione (ad esempio SilverPush)».

Anche qui il pensiero corre a Immuni, e a quella “frasetta” per cui i dati sarebbero resi del tutto anonimi entro fine anno – ma come, non dovrebbero esserlo da subito?

Conclusioni

Ecco, quindi, come si prospetta il problema. Immaginiamo che un qualunque dispositivo digitale, per esempio la nostra TV, emetta un segnale inaudibile per noi ma captabile dal nostro smartphone (appunto un ultrasuono). Il telefonino passa il segnale a una App che può riceverlo, anche se destinata a tutt’altro (per esempio Immuni). Questa a sua volta trasmette dati e informazioni personali a un server informandolo su dove siamo, cosa stiamo facendo cosa stiamo guardando…. chi c’è con noi (anche lui obbligato ad avere Immuni). Lo stesso potrà ripetersi in qualsiasi luogo (ufficio, negozio, casello autostradale… ovunque) dotato di strumenti digitali.

Alla fine, il binomio ultrasuoni – App “traditrice” avrà condiviso tutto, ma proprio tutto di te, anche le tue attività, le tue preferenze, i tuoi gusti le tue frequentazioni politiche…

Sappaino che l’App Immuni è sotto la lente del Copasir che, sicuramente, si starà occupando anche di questo. O così, almeno, auspichiamo. Altrimenti i rischi potrebbero essere irreparabili.