{"id":23281,"date":"2020-11-13T15:12:28","date_gmt":"2020-11-13T13:12:28","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=23281"},"modified":"2020-11-13T15:13:08","modified_gmt":"2020-11-13T13:13:08","slug":"location-tracking-sdks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/location-tracking-sdks\/23281\/","title":{"rendered":"Le applicazioni mobili vi osservano"},"content":{"rendered":"

Alcune applicazioni mobili tracciano la vostra posizione e la comunicano segretamente ai servizi che vendono dati. Quasi certamente utilizzate almeno una di queste app senza nemmeno saperlo. Come scoprire quali app possono essere problematich<\/span><\/span>e<\/span><\/span>\u00a0e cosa si pu\u00f2 fare?<\/span><\/span>\u00a0<\/span><\/p>\n

Quali sono le app mobili che registrano i vostri spostamenti?<\/h2>\n

Costin Raiu, direttore del GReAT di Kaspersky, quando per via della pandemia da COVID-19, ha visto una proiezione<\/a> degli spostamenti dei ragazzi durante le vacanze primaverili da una spiaggia della Florida al resto degli Stati Uniti, non ha pensato alla situazione in s\u00e9 quanto alle applicazioni che registrano la posizione degli utenti. Il servizio ha utilizzato una ricerca che includeva i dati di localizzazione di X-Mode. Ma X-Mode dove ha preso questi dati?<\/p>\n

X-Mode distribuisce un SDK, un componente che gli sviluppatori possono incorporare nelle loro app e, a seconda del numero di utenti regolari delle app, paga mensilmente gli sviluppatori per includerlo. In cambio, l\u2019SDK raccoglie i dati di localizzazione, cos\u00ec come alcuni dati dei sensori degli smartphone, come il giroscopio, e li invia ai server X-Mode. In seguito, X-Mode vende i dati presumibilmente anonimi a chi desidera acquistarli.<\/p>\n

X-Mode sostiene che l\u2019SDK non ha un impatto enorme sulla durata della batteria, utilizzando solo circa l\u20191%-3% della carica, quindi gli utenti in pratica non si accorgeranno nemmeno dell\u2019SDK e non ne saranno infastiditi. X-Mode sostiene inoltre che la raccolta dei dati in questo modo \u00e8 \u201csicuramente legale\u201d e che l\u2019SDK rispetta pienamente il Regolamento Generale sulla Protezione dei Dati (GDPR).<\/p>\n

<\/strong><\/p>\n

Quante di queste applicazioni di monitoraggio sono in circolazione?<\/h2>\n

Raiu si \u00e8 chiesto: i suoi stessi movimenti <\/i>sono stati registrati? Il modo pi\u00f9 semplice per scoprirlo era quello di identificare gli indirizzi dei server command & control<\/a> utilizzati dagli SDK di tracciamento e di monitorare il traffico di rete in uscita dal suo dispositivo. Se un\u2019applicazione sul suo smartphone comunicava con almeno un server di questo tipo, significava che i suoi movimenti erano stati registrati. Per completare il compito, Raiu aveva bisogno di conoscere gli indirizzi dei server. Durante la conferenza SAS@home<\/a> di quest\u2019anno ha parlato proprio di questa sua ricerca.<\/p>\n

Dopo un po\u2019 di ingegneria inversa, qualche congettura, qualche decifrazione e qualche ricerca, ha trovato gli indirizzi e ha scritto un frammento di codice che lo ha aiutato a scoprire se un\u2019applicazione stesse cercando di accedervi. In sostanza ha scoperto che, se un\u2019applicazione ha una certa linea di codice, allora utilizza l\u2019SDK di tracciamento.<\/p>\n

Raiu ha trovato pi\u00f9 di 240 applicazioni diverse con l\u2019SDK incorporato. In totale, queste applicazioni sono state installate pi\u00f9 di 500 milioni di volte. Se partiamo dal presupposto piuttosto approssimativo che un utente di et\u00e0 media abbia installato una tale app una sola volta, vuol dire che circa 1 persona su 16 in tutto il mondo ha un\u2019app di tracciamento installata sul proprio dispositivo. Una casistica piuttosto importante. La vostra possibilit\u00e0 di essere uno di questi utenti \u00e8, beh, 1 su 16.<\/p>\n

Inoltre, X-Mode \u00e8 solo una delle decine di aziende del settore.<\/p>\n

Oltre a questo, ogni app pu\u00f2 contenere anche pi\u00f9 di un SDK. Ad esempio, mentre Raiu stava cercando un\u2019app che includesse l\u2019SDK X-Mode in questione, ha scoperto altri cinque componenti di altre aziende che stavano raccogliendo dati sulla posizione. Ovviamente, lo sviluppatore cercava di ricavare pi\u00f9 soldi possibile dalla app, e non era nemmeno un\u2019app gratuita. Pagare per un\u2019applicazione non significa, purtroppo, che i creatori non stiano cercando di ricavarci ancora pi\u00f9 soldi<\/em>.<\/p>\n

Cosa si pu\u00f2 fare per evitare il tracciamento?<\/h2>\n

Il problema con gli SDK di tracciamento \u00e8 che, quando si scarica un\u2019applicazione, non si sa se contiene tali componenti di tracking della posizione. L\u2019applicazione pu\u00f2 avere un motivo legittimo per chiedere la vostra posizione, molte applicazioni si basano sulla posizione per funzionare correttamente. Ma una tale app potrebbe anche vendere i dati relativi alla vostra posizione, ed \u00e8 difficile da determinare.<\/p>\n

Per aiutare gli utenti esperti di tecnologia a ridurre al minimo le probabilit\u00e0 di essere monitorati, Raiu ha creato un elenco dei server C&C utilizzati dagli SDK per il tracciamento. La troverete sulla sua pagina personale di GitHub<\/a>. Un computer RaspberryPi su cui \u00e8 installato i software Pi-hole e WireGuard pu\u00f2 aiutare a individuare il traffico nella rete domestica e a indentificare le applicazioni che cercano di contattare tali server.<\/p>\n

Quanto sopra probabilmente va un po\u2019 oltre le competenze tecniche della maggior parte delle persone, ma si possono almeno ridurre le possibilit\u00e0 di essere rintracciati da tali applicazioni e servizi limitando le autorizzazioni delle applicazioni.<\/p>\n