Alcune applicazioni mobili tracciano la vostra posizione e la comunicano segretamente ai servizi che vendono dati. Quasi certamente utilizzate almeno una di queste app senza nemmeno saperlo. Come scoprire quali app possono essere problematiche e cosa si può fare?
Quali sono le app mobili che registrano i vostri spostamenti?
Costin Raiu, direttore del GReAT di Kaspersky, quando per via della pandemia da COVID-19, ha visto una proiezione degli spostamenti dei ragazzi durante le vacanze primaverili da una spiaggia della Florida al resto degli Stati Uniti, non ha pensato alla situazione in sé quanto alle applicazioni che registrano la posizione degli utenti. Il servizio ha utilizzato una ricerca che includeva i dati di localizzazione di X-Mode. Ma X-Mode dove ha preso questi dati?
X-Mode distribuisce un SDK, un componente che gli sviluppatori possono incorporare nelle loro app e, a seconda del numero di utenti regolari delle app, paga mensilmente gli sviluppatori per includerlo. In cambio, l’SDK raccoglie i dati di localizzazione, così come alcuni dati dei sensori degli smartphone, come il giroscopio, e li invia ai server X-Mode. In seguito, X-Mode vende i dati presumibilmente anonimi a chi desidera acquistarli.
X-Mode sostiene che l’SDK non ha un impatto enorme sulla durata della batteria, utilizzando solo circa l’1%-3% della carica, quindi gli utenti in pratica non si accorgeranno nemmeno dell’SDK e non ne saranno infastiditi. X-Mode sostiene inoltre che la raccolta dei dati in questo modo è “sicuramente legale” e che l’SDK rispetta pienamente il Regolamento Generale sulla Protezione dei Dati (GDPR).
Quante di queste applicazioni di monitoraggio sono in circolazione?
Raiu si è chiesto: i suoi stessi movimenti sono stati registrati? Il modo più semplice per scoprirlo era quello di identificare gli indirizzi dei server command & control utilizzati dagli SDK di tracciamento e di monitorare il traffico di rete in uscita dal suo dispositivo. Se un’applicazione sul suo smartphone comunicava con almeno un server di questo tipo, significava che i suoi movimenti erano stati registrati. Per completare il compito, Raiu aveva bisogno di conoscere gli indirizzi dei server. Durante la conferenza SAS@home di quest’anno ha parlato proprio di questa sua ricerca.
Dopo un po’ di ingegneria inversa, qualche congettura, qualche decifrazione e qualche ricerca, ha trovato gli indirizzi e ha scritto un frammento di codice che lo ha aiutato a scoprire se un’applicazione stesse cercando di accedervi. In sostanza ha scoperto che, se un’applicazione ha una certa linea di codice, allora utilizza l’SDK di tracciamento.
Raiu ha trovato più di 240 applicazioni diverse con l’SDK incorporato. In totale, queste applicazioni sono state installate più di 500 milioni di volte. Se partiamo dal presupposto piuttosto approssimativo che un utente di età media abbia installato una tale app una sola volta, vuol dire che circa 1 persona su 16 in tutto il mondo ha un’app di tracciamento installata sul proprio dispositivo. Una casistica piuttosto importante. La vostra possibilità di essere uno di questi utenti è, beh, 1 su 16.
Inoltre, X-Mode è solo una delle decine di aziende del settore.
Oltre a questo, ogni app può contenere anche più di un SDK. Ad esempio, mentre Raiu stava cercando un’app che includesse l’SDK X-Mode in questione, ha scoperto altri cinque componenti di altre aziende che stavano raccogliendo dati sulla posizione. Ovviamente, lo sviluppatore cercava di ricavare più soldi possibile dalla app, e non era nemmeno un’app gratuita. Pagare per un’applicazione non significa, purtroppo, che i creatori non stiano cercando di ricavarci ancora più soldi.
Cosa si può fare per evitare il tracciamento?
Il problema con gli SDK di tracciamento è che, quando si scarica un’applicazione, non si sa se contiene tali componenti di tracking della posizione. L’applicazione può avere un motivo legittimo per chiedere la vostra posizione, molte applicazioni si basano sulla posizione per funzionare correttamente. Ma una tale app potrebbe anche vendere i dati relativi alla vostra posizione, ed è difficile da determinare.
Per aiutare gli utenti esperti di tecnologia a ridurre al minimo le probabilità di essere monitorati, Raiu ha creato un elenco dei server C&C utilizzati dagli SDK per il tracciamento. La troverete sulla sua pagina personale di GitHub. Un computer RaspberryPi su cui è installato i software Pi-hole e WireGuard può aiutare a individuare il traffico nella rete domestica e a indentificare le applicazioni che cercano di contattare tali server.
Quanto sopra probabilmente va un po’ oltre le competenze tecniche della maggior parte delle persone, ma si possono almeno ridurre le possibilità di essere rintracciati da tali applicazioni e servizi limitando le autorizzazioni delle applicazioni.
- Verificate quali applicazioni hanno il permesso di utilizzare la vostra posizione. In questo post potete trovare informazioni su come farlo con Android 8; le versioni successive non differiscono in modo significativo. Ed ecco come fermare il tracking della posizione su iOS. Se pensate che un’app non abbia davvero bisogno di un tale permesso, non esitate a revocarlo;
- Date alle app il permesso di utilizzare la vostra posizione solo mentre le utilizzate. La maggior parte delle app non ha bisogno di conoscere la vostra posizione quando sono in esecuzione in background, avere questa opzione può essere molto utile;
- Eliminate le app che non usate più. Se non avete aperto un’app da, diciamo, un mese o più, è probabile che non ne avete bisogno; e se ne avrete bisogno nel futuro, potete sempre reinstallarla;
- Tenete presente che i componenti di localizzazione non sono certo il peggio che si possa trovare in un’app, anche nelle app legittime distribuite attraverso gli store ufficiali. Alcune app possono essere assolutamente dannose e altre possono diventarlo dopo essere state vendute o semplicemente aggiornate. Ecco perché consigliamo di utilizzare una soluzione di sicurezza robusta come Kaspersky Internet Security for Android, che protegge da ogni tipo di minaccia per dispositivi mobili.