{"id":27794,"date":"2023-06-05T10:40:12","date_gmt":"2023-06-05T08:40:12","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=27794"},"modified":"2023-06-05T10:40:12","modified_gmt":"2023-06-05T08:40:12","slug":"gps-agps-supl-tracking-protection","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/gps-agps-supl-tracking-protection\/27794\/","title":{"rendered":"I servizi di geolocalizzazione ti spiano?"},"content":{"rendered":"

La notizia che Qualcomm, uno dei principali fornitori di chip per smartphone, ha tracciato<\/a> gli utenti con il suo servizio di geolocalizzazione ha suscitato di recente un certo scalpore nella stampa specializzata. In questo post andremo a fondo della questione e discuteremo di come ridurre al minimo il monitoraggio indesiderato della geolocalizzazione. Innanzitutto, vediamo come funziona la localizzazione.<\/p>\n

In che modo i dispositivi mobili determinano la posizione dell\u2019utente<\/h2>\n

Il metodo di geolocalizzazione tradizionale consiste nel ricevere un segnale satellitare dai sistemi GPS, GLONASS, Galileo o Beidou. Tramite questi dati, il ricevitore<\/em> (il chip nello smartphone o nel dispositivo di navigazione) esegue i calcoli e stabilisce la propria posizione. Si tratta di un metodo abbastanza accurato che non prevede la trasmissione di informazioni da parte del dispositivo, ma solo la ricezione. Tuttavia, questo metodo di geolocalizzazione presenta notevoli inconvenienti: non funziona in ambienti chiusi e richiede molto tempo se il ricevitore non viene utilizzato tutti i giorni. Ci\u00f2 \u00e8 dovuto al fatto che il dispositivo deve conoscere la posizione esatta dei satelliti per poter eseguire il calcolo, quindi deve scaricare il cosiddetto almanacco<\/a>, che contiene informazioni sulla posizione e sul movimento dei satelliti. Il recupero dei dati richiede dai cinque ai dieci minuti se si esegue il download direttamente dal satellite.<\/p>\n

Come alternativa molto pi\u00f9 rapida al download diretto dal satellite, i dispositivi possono scaricare l\u2019almanacco<\/em> da Internet in pochi secondi tramite una tecnologia denominata A-GPS (Assisted GPS), o GPS assistito. Secondo le specifiche originali, vengono trasmessi solo i dati dei satelliti disponibili al momento, ma diversi sviluppatori hanno aggiunto una previsione settimanale delle posizioni dei satelliti per velocizzare il calcolo delle coordinate anche nel caso il ricevitore non disponga della connessione a Internet per alcuni giorni. La tecnologia \u00e8 nota come Predicted Satellite Data Service (PSDS<\/a>) e il servizio Qualcomm citato in precedenza \u00e8 l\u2019implementazione pi\u00f9 notevole realizzata finora. Lanciato nel 2007, il servizio era denominato \u201cgpsOne XTRA\u201d, ma \u00e8 stato rinominato \u201cIZat XTRA Assistance\u201d nel 2013 e nella sua versione pi\u00f9 recente \u00e8 chiamato \u201cQualcomm GNSS Assistance Service\u201d.<\/p>\n

Come funziona la ricezione del segnale satellitare al chiuso e che cos\u2019\u00e8 SUPL<\/h2>\n

Come accennato in precedenza, un altro problema relativo alla localizzazione tramite un segnale satellitare \u00e8 che potrebbe non essere disponibile al chiuso, quindi esistono altri modi per determinare la posizione di uno smartphone. Il metodo classico degli anni \u201990 \u00e8 quello di verificare quali stazioni base cellulari possono essere ricevute nella posizione corrente e calcolare la posizione approssimativa del dispositivo confrontando l\u2019intensit\u00e0 del segnale rispetto alla posizione esatta delle stazioni.<\/p>\n

Con alcune modifiche, questo metodo \u00e8 supportato anche dalle moderne reti LTE. Gli smartphone sono inoltre in grado di verificare la presenza di hotspot Wi-Fi nelle vicinanze e determinarne la posizione approssimativa. Questa operazione \u00e8 in genere resa possibile da database centralizzati che archiviano informazioni sui punti di accesso Wi-Fi e fornite da servizi specifici, come i servizi di localizzazione di Google.<\/p>\n

Tutti i metodi di geolocalizzazione esistenti sono definiti da SUPL (Secure User Plane Location), uno standard supportato da operatori mobili e sviluppatori di smartphone, microchip e sistemi operativi. Qualsiasi applicazione che abbia bisogno di conoscere la posizione dell\u2019utente la ottiene dal sistema operativo mobile utilizzando la combinazione pi\u00f9 rapida e accurata di metodi attualmente disponibili.<\/p>\n

La privacy non \u00e8 garantita<\/h2>\n

L\u2019accesso ai servizi SUPL non comporta necessariamente una violazione della privacy dell\u2019utente, ma di fatto spesso alcuni dati vengono divulgati. Quando il telefono determina la posizione utilizzando le stazioni base cellulari nelle vicinanze, l\u2019operatore di telefonia mobile sa esattamente chi ha inviato la richiesta e dove si trovava in quel momento. Google monetizza i propri servizi di localizzazione registrando<\/a> la posizione e l\u2019identificatore dell\u2019utente, sebbene dal punto di vista tecnico questo non sia necessario.<\/p>\n

Come per il sistema A-GPS, i server teoricamente possono fornire i dati richiesti senza raccogliere gli identificatori degli abbonati o archiviare i relativi dati. Tuttavia, molti sviluppatori eseguono entrambe le operazioni. L\u2019implementazione standard di SUPL in Android invia allo smartphone l\u2019IMSI<\/a> (numero univoco della SIM) nell\u2019ambito di una richiesta SUPL. Il client Qualcomm XTRA sullo smartphone trasmette gli \u201cidentificatori tecnici\u201d degli abbonati<\/a>, inclusi gli indirizzi IP. Secondo Qualcomm, i dati vengono \u201cde-identificati\u201d: i record che collegano gli identificatori e gli indirizzi IP degli abbonati sono eliminati dopo 90 giorni, quindi vengono utilizzati esclusivamente per determinati \u201cscopi aziendali\u201d.<\/p>\n

Un punto importante: i dati di una richiesta A-GPS non possono essere utilizzati per definire la posizione dell\u2019utente.<\/strong> L\u2019almanacco disponibile dal server \u00e8 lo stesso in qualsiasi parte della Terra: \u00e8 il dispositivo dell\u2019utente che calcola la posizione. In altre parole, tutto ci\u00f2 che i proprietari di questi servizi possono archiviare sono le informazioni su un utente che invia una richiesta al server a una determinata ora, ma non la posizione dell\u2019utente.<\/p>\n

Le accuse contro Qualcomm<\/h2>\n

Le pubblicazioni che criticano Qualcomm citano una ricerca<\/a> condotta da un certo Paul Privacy<\/em> e pubblicata sul sito Web Nitrokey. Il documento afferma che gli smartphone con chip Qualcomm inviano, a insaputa degli utenti, i loro dati personali ai server dell\u2019azienda tramite un protocollo HTTP non criptato. Questo avverrebbe senza alcun controllo, poich\u00e9 la funzionalit\u00e0 \u00e8 implementata a livello hardware.<\/p>\n

Nonostante i problemi di privacy dei dati citati in precedenza che interessano servizi come Qualcomm GNSS Assistance Service, la ricerca in qualche modo presenta informazioni fuorvianti e contiene una serie di imprecisioni:<\/p>\n