Facebook, ecco come sfrutta i sensori dell’iPhone per aggirare le protezioni privacy - Cyber Security 360 I NOSTRI SERVIZISERVIZISeguiciAREA PREMIUMWhitepaperEventiWebinarCANALICybersecurity nazionaleMalware e attacchiNorme e adeguamentiSoluzioni aziendaliCultura cyberL'esperto rispondeNews analysisChi siamoTRACCIAMENTO ONLINEHomeNorme e adeguamentiPrivacy e Dati personaliCondividi questo articolo
Facebook ha trovato il modo per aggirare le protezioni privacy dell’App Transaperncy Framework di Apple e accedere a una notevole quantità di dati personali “indiretti” rilevati dai sensori dell’iPhone. Ecco in che modo e i consigli pratici per limitare la raccolta di questo tipo di informazioni
02 Dic 2021FElio FrancoAvvocato, Founder presso Franco, Pirro & PartnersTutto è iniziato con Apple che, nel solco della difesa della privacy dei propri utenti, ha introdotto con iOS 14.5 l’App Transaperency Framework, ossia una particolare funzione che consente agli utenti di disabilitare il tracciamento delle app, di modo da ridurre notevolmente i loro meccanismi di profilazione: la novità ha avuto così tanto successo che si stima che quasi il 90% degli utenti iOS l’abbiano attivata in un periodo molto breve.
È inutile sottolineare che i big player dell’advertising online come Google e Facebook siano subito ricorsi a soluzioni che permettano loro di continuare a ottenere ricavi importanti dai loro servizi.
Se la prima sta tentando nuove strade, come la creazione di insiemi di utenti suddivisi per gusti, la seconda, invece, cerca di aggirare le limitazioni accedendo ai dati dell’accelerometro, del giroscopio e del barometro per georeferenziare i propri iscritti a loro insaputa e, quindi, per profilarli onde inviare loro annunci pertinenti.
Indice degli argomentiSensori dell’iPhone: fatta la legge, trovato l’hack
Ogni iPhone attualmente in circolazione è dotato di tre sensori i cui dati possono essere sfruttati dalle app per tutta una serie di funzioni:
WEBINAR27 Gennaio 2022 - 15:00PIPL, tra privacy e cyber security: quello che devi sapere sulla normativa cineseLegalSicurezzaIscriviti al WebinarFacebook ha, però, trovato il modo di utilizzare entrambi i sensori per aggirare l’App Transparency Framework di Apple, sfruttandone un punto debole: infatti, i dati dei tre sensori sono liberamente disponibili per tutti gli sviluppatori, senza limitazioni di sorta, e possono essere, quindi, strutturati, elaborati e analizzati in modo da ottenere una misurazione precisa del luogo in cui si trova l’utente, anche se costui ha disabilitato la condivisione della propria posizione tramite GPS.
Come? Il social di Meta raccoglie i dati raccolti dai sensori del telefono dell’utente e li confronta con le informazioni raccolte da chi, invece, non ha disabilitato la georeferenziazione, sia su iOS che su Android.
Con una base così ampia di dati da poter confrontare, il raffronto fra i dati raccolti dai tre sensori dell’utente che ha voluto limitare la propria profilazione con quelli di coloro che, invece, non hanno limitato nulla, riesce ad aggirare le misure restrittive di iOS.
L’importanza delle vibrazioni
L’allarme proviene dalle pagine di Forbes, da cui i ricercatori Talal Haj Bakry e Tommy Mysk mettono in guardia dal fatto che Facebook legge costantemente i dati dell’accelerometro, al fine di creare gruppi omogenei di utenti che producono lo stesso pattern di vibrazioni.
Nemmeno a dirlo, anche le altre app di Meta, WhatsApp e Instagram, sono così invasive, di modo da creare dei profili sempre più precisi dei propri utenti.
Per dovere di cronaca, è opportuno precisare che la prima registra continuamente i dati dell’accelerometro e del giroscopio, ufficialmente per offrire all’utente l’effetto parallasse degli sfondi delle chat; la seconda, invece, raccoglie gli accennati dati solo ed esclusivamente se si usa Direct, ossia il servizio integrato di messaggistica privata.
Meta, le cui app dominano le classifiche di download dell’Apple App Store da anni nelle categorie Social Network e Foto e Video, ha dichiarato che le informazioni relative ai dati dell’accelerometro servono solo ed esclusivamente per le funzionalità di shake-to-report (ossia per segnalare un problema o un abuso all’assistenza clienti dell’app) o, ancora, per migliorare le funzioni relative all’uso della fotocamera o per consentire la visualizzazione delle foto a 360°.
Come se ciò non bastasse, Talal e Mysk hanno rilevato che i dati raccolti da qualsiasi tipo di sensore dell’iPhone sono, di fatto, disponibili a tutti gli sviluppatori e, a volte, anche senza che vengano garantiti i permessi per raccoglierli: dunque, v’è il concreto pericolo che gli sviluppatori di Facebook possano sfruttarli in danno della privacy degli utenti.
I dati del GPS sono anche nella galleria fotografica
Come se ciò non bastasse, Facebook ha trovato un modo anche per ottenere i dati relativi alla geolocalizzazione dell’utente anche da altre fonti, pur sempre presenti in iPhone e alle quali, spesso, l’utente medio non bada.
Ad esempio, se si concede l’accesso all’intera libreria fotografica del proprio smartphone, l’app si occuperà di leggere i metadati di ogni fotografia al fine di determinare, con precisione, la posizione dell’utente.
Ancora, le app di Meta possono georeferenziare i propri iscritti anche dalla lettura dell’indirizzo IP del dispositivo da loro utilizzato.
Come limitare la raccolta dei dati
Fortunatamente, ci sono due modi per limitare la raccolta di questo tipo di informazioni: il primo è quello di non consentire a Facebook, WhatsApp e Instagram l’accesso indiscriminato al rullino fotografico, ma, invece, passare loro solo gli elementi che si vogliono effettivamente pubblicare.
Il secondo è quello di sottoscrivere un abbonamento a iCloud+, incluso anche nel piano da un paio di euro al mese, che consente di utilizzare un private relay per anonimizzare il proprio indirizzo IP e crittografare i dati scambiati con i server.
L’impronta digitale del dispositivo
Apple, oltre a non consentire più l’accesso all’IDFA (cioè l’identificativo univoco per gli inserzionisti), ha da sempre scoraggiato l’uso delle pratiche che consentono il c.d. device fingerprinting, ossia la registrazione di una impronta digitale che identifichi un determinato dispositivo in maniera univoca.
Ovviamente, ciò non comporta la reale identificazione dell’utente che lo usa, ma, quanto meno, di una “persona” a lui associata.
Purtroppo, però, quanto appena illustrato evidenzia come Meta possa raccogliere altri dati in modo da profilare i propri utenti.
Se, quindi, si vuole evitare di essere profilati per il tramite di dati “indiretti”, l’unica soluzione è quella di disinstallare Facebook, WhatsApp, Messenger e Instagram dai propri smartphone.
WHITEPAPERCertificazioni GDPR: tutti i vantaggi per le organizzazioni che vi aderisconoLegalPrivacyScarica il White PaperScarica il Whitepaper@RIPRODUZIONE RISERVATAPersonaggiEElio FrancoArgomentiAappleFfacebookIiOSIiPhonePPrivacyCanaliNorme e adeguamentiPPrivacy e Dati personaliPrivacy e Dati personaliDATA PROTECTION