Cerca nel blog

2010/07/02

Google Street View ha sniffato password e mail via Wifi

Wifi e Street View, Google ha sniffato troppo


Ricordate la polemica a maggio di quest'anno intorno alla scoperta che le automobili di Google Street View, il servizio che permette di percorrere virtualmente le strade delle città del mondo, avevano raccolto i dati trasmessi dagli apparati Wifi non cifrati di privati e aziende in più di 30 paesi?

Google aveva dichiarato che la raccolta, finalizzata a catalogare identità e posizione delle reti Wifi per i propri servizi gratuiti di localizzazione, era stata effettuata in modo errato ma comunque poteva riguardare "normalmente... solo frammenti" di dati, perché le sue auto si spostano continuamente, uscendo quindi rapidamente dal raggio d'azione della singola rete Wifi, e i ricevitori installati nelle auto di Google "cambiano automaticamente canale circa cinque volte al secondo".

Successivamente è emerso che in quei "frammenti" di dati ci sono password ed e-mail degli utenti, secondo l'ente francese CNIL (Commission nationale de l’informatique et des libertés), che ha avuto accesso ai dati raccolti da Google. E c'è una domanda di brevetto, depositata da Google a novembre del 2008, che può essere interpretata come un tentativo di brevettare proprio questo genere di raccolta ed analisi di dati Wifi, secondo i legali di una class action avviata negli Stati Uniti contro Google da un gruppo di utenti che temono di essere stati intercettati. Google dice che il brevetto non ha nulla a che vedere con lo sniffing (intercettazione) di pacchetti Wifi.

La situazione è molto confusa: le autorità irlandesi, austriache, britanniche e danesi hanno chiesto a Google di cancellare i dati raccolti in quei paesi (cosa che Google ha fatto in presenza di verificatori indipendenti), ma altri stati, come Germania, Spagna, Francia, Belgio, Nuova Zelanda, Italia e Svizzera, hanno chiesto di conservarli per un esame. E altri ancora, come l'Australia, devono decidere che fare, mentre negli Stati Uniti ci sono varie iniziative a livello dei singoli stati e a livello federale. C'è ancora da capire se sia stato commesso un reato secondo le leggi vigenti nei singoli paesi e nell'Unione Europea.

Google ha pubblicato un rapporto, redatto da una società di sicurezza, che getta luce sul funzionamento del software di sniffing utilizzato dalle auto di Street View e sembra confermare che l'intercettazione ha riguardato soltanto i dati che venivano trasmessi dai sistemi Wifi degli utenti in forma non cifrata e non protetta. Questo significa che quei dati erano intercettabili da chiunque e che gli utenti sono responsabili di non aver rispettato le regole fondamentali della sicurezza delle reti senza fili.

Cosa deve fare un utente preoccupato? Innanzi tutto cifrare la propria rete Wifi usando le apposite funzioni descritte nel manuale degli apparati di rete, e poi cambiare le proprie password. Naturalmente, se l'utente ha la propria casella di posta su Gmail o ha un account per altri servizi di Google, cambiarne la password potrebbe essere una misura lievemente superflua.

Fonti: Infoworld, Ft.com, Punto Informatico, NY Times, The Register.

Nessun commento: