2022/02/25

Podcast RSI - AirTag Apple, stalking troppo facile: ecco come rimediare

logo del Disinformatico

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

I podcast del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo e i link alle fonti di questa puntata, sono qui sotto.

---

Sto pedinando digitalmente una donna per le vie di Lugano. La vedo mentre va a trovare un’amica, ha un incontro di lavoro, si ferma davanti ai negozi, entra in un centro commerciale e prende l’autobus per tornare a casa. La seguo comodamente, tramite un’apposita app sul mio smartphone, fino al suo indirizzo di abitazione. La cosa più strana è che i passanti mi stanno dando una mano a pedinarla, e neanche lo sanno.

Niente paura: la donna in questione è mia moglie e si è offerta volontaria per un test degli AirTag, i localizzatori elettronici di Apple, piccoli come bottoni, basati sulla tecnologia Bluetooth già usata per gli auricolari e per tanti altri accessori per smartphone, tablet e computer. Si attaccano per esempio alle chiavi di casa o a qualunque oggetto che si tema di perdere e permettono di ritrovarlo in caso di smarrimento. 

Non sono i primi localizzatori del genere sul mercato, ma gli AirTag hanno una caratteristica molto particolare: funzionano a grandi distanze, anche fuori dalla normale portata del Bluetooth, che è di qualche decina di metri, perché si appoggiano a tutti i telefonini Apple che si trovino nelle vicinanze. Lo fanno anche altri localizzatori di altre marche, come per esempio gli SmartTag di Samsung, ma nessun concorrente può contare su un numero così elevato di smartphone degli utenti, che diventano sensori inconsapevoli di una rete di tracciamento vastissima e capillare.

Finché un AirTag è a pochi metri dal suo proprietario, comunica direttamente usando i segnali radio del suo piccolo trasmettitore Bluetooth e gli può anche indicare in che esatta direzione e a che distanza si trova. Ma questo trasmettitore è intenzionalmente molto debole, per far durare a lungo la batteria incorporata. Così Apple usa una tecnica ingegnosa per estendere il raggio d’azione del suo localizzatore: qualunque iPhone che passi nelle vicinanze di qualunque AirTag e abbia il Bluetooth attivo riceve automaticamente il segnale identificativo di quell’AirTag e lo inoltra via Internet ad Apple. Se avete un iPhone, fate parte della rete di rilevamento degli AirTag e magari non lo sapete nemmeno.

[CLIP da Il Cavaliere Oscuro]

Lucius Fox: Hai trasformato ogni cellulare di Gotham in un microfono spia.

Batman: E in un generatore ricevitore ad alta frequenza.

Lucius Fox: Lei ha preso il mio concetto di sonar e lo ha applicato a tutti i telefoni della città. Con mezza città che le dà segnali, può tracciare la mappa di Gotham.

Per tutelare la privacy, il segnale di ogni AirTag ha una chiave digitale che è nota soltanto al localizzatore stesso e al proprietario, e i dati che vengono trasmessi sono ulteriormente mascherati tramite hashing. In parole povere, un passante il cui iPhone riceva   il segnale Bluetooth di un AirTag non può sapere a chi appartiene quel localizzatore o altre informazioni: si limita a ricevere gli impulsi radio e a inoltrare automaticamente i dati ricevuti, che non può decifrare. Ci sono anche vari altri strati di protezione digitale che permettono, in sostanza, soltanto al legittimo proprietario di un AirTag di ricevere informazioni da quell’AirTag.

Ma di fatto, praticamente tutti gli iPhone in circolazione sono sensori della rete di tracciamento di Apple. Questo è incredibilmente utile quando si tratta di ritrovare le proprie chiavi smarrite, o di localizzare la propria valigia in aeroporto magari mentre qualcuno la sta portando via per errore al posto della propria identica o la sta proprio rubando. Ma cosa succede se qualcuno decide di usare questo potere per pedinare una persona senza il suo consenso? È già accaduto: per esempio, negli Stati Uniti la modella Brooks Nader ha raccontato di aver trovato un AirTag non suo nella tasca del proprio cappotto dopo aver visitato un bar di Manhattan, e non è l’unico caso del suo genere.

Questi localizzatori, facilissimi da configurare, estremamente piccoli e discreti, poco costosi, con una durata che si misura in mesi e una portata enorme, possono essere annidati facilmente: in una tasca di un indumento, in uno zaino di scuola, in una cucitura di un cappotto, nelle pieghe della carrozzeria di un’automobile. Il loro design ultraminimalista non li identifica vistosamente come dei dispositivi di tracciamento. Sembrano, effettivamente, dei grossi bottoni bianchi. Si apre insomma l’era dello stalking digitale di massa, a portata dell’utente comune. Non occorre nessuna conoscenza tecnica.

----

Ovviamente Apple, come gli altri produttori di dispositivi analoghi, si è resa conto del rischio di abusi e ha integrato negli AirTag una serie di limitazioni apposite. 

Per esempio, qualunque AirTag che si allontani a lungo dal proprietario e rilevi di essere in movimento farà suonare un cicalino, per cui una vittima di stalking potrebbe udire questo avviso acustico e accorgersi di avere un localizzatore addosso. Ma dai primi test sembra che “a lungo” significhi fino a 24 ore, per cui c’è tempo in abbondanza per un pedinamento quotidiano, per esempio di una persona convivente. Inoltre il cicalino può essere difficile da udire se l’AirTag è sepolto sul fondo di una borsetta o applicato a un’automobile. E inevitabilmente è nato anche un mercato di AirTag modificati, nel quale il cicalino è completamente silenziato.

Apple ha predisposto anche un’altra misura antipedinamento: un AirTag che sia lontano dal proprietario e si muova insieme a voi farà comparire un avviso sul vostro telefonino, ma soltanto se avete un iPhone. Se avete uno smartphone di qualunque altra marca, niente avviso.

Chi ha uno smartphone Android può installare un’app di nome Tracker Detect, disponibile nel Play Store di Google, che permette di cercare manualmente eventuali AirTag indesiderati e indurli a produrre un avviso acustico (sempre che non siano stati modificati). Ci sono anche altre app che fanno una scansione generica di qualunque dispositivo Bluetooth, come LightBlue e BLE Scanner per iPhone o BLE Scanner e Bluetooth Scanner per Android. Anche Samsung offre un’app analoga, SmartThings, per i propri dispositivi di localizzazione [Android; iOS]. Ma in ogni caso si tratta di un procedimento macchinoso e manuale, che l’utente deve fare appositamente e periodicamente.

Chi trova un AirTag sconosciuto può inoltre appoggiarlo contro il proprio smartphone di qualunque marca (basta che sia dotato di sensore NFC) e riceverà un link che rivelerà il numero seriale e le tre cifre finali del numero di telefono del proprietario del localizzatore. Lo stesso link informerà anche su come disabilitare un AirTag trovato: in sostanza, spiegherà come si toglie la sua batteria.

Attenzione, però , ai falsi allarmi: alcuni utenti di iPhone hanno segnalato che il loro smartphone avvisava di aver rilevato un accessorio sconosciuto e quindi hanno temuto che si trattasse di un AirTag abusivo. In realtà l’avviso veniva prodotto da alcuni modelli di cuffie senza filo. Va chiarito anche che la localizzazione remota funziona bene soltanto se ci sono degli iPhone nelle immediate vicinanze. Se siete da soli in aperta campagna o su una strada poco battuta, gli AirTag non potranno comunicare la vostra presenza.

Se temete che qualcuno vi stia tracciando, insomma, queste app sono un aiuto, ma conviene abbinarne l’uso alla tecnica classica manuale di frugare nelle proprie borse, negli indumenti e in qualunque altro luogo in cui un malintenzionato potrebbe nascondere un localizzatore.

Da parte sua, Apple sta aggiornando iOS in modo che chi configura un AirTag riceva un avviso molto chiaro del fatto che usare questo dispositivo per tracciare le persone senza il loro consenso è un reato in molte regioni del mondo e del fatto che il dispositivo è progettato per essere rilevato da eventuali vittime e per consentire alle forze dell’ordine di richiedere informazioni che consentano di identificare il proprietario dell’AirTag. L’azienda dice di aver già collaborato con la polizia in diverse occasioni per rintracciare chi aveva piazzato abusivamente degli AirTag. È confortante, ma è anche una conferma del fatto che il problema è reale.

---

Una dimostrazione positiva della potenza di questi dispositivi di tracciamento è arrivata dalla Germania, dove la ricercatrice di sicurezza e attivista informatica berlinese Lilith Wittmann ha usato gli AirTag per dimostrare che un’agenzia governativa tedesca è in realtà una copertura di un’attività di spionaggio. Ha spedito per posta dei plichi contenenti questi localizzatori e ne ha tracciato il percorso, scoprendo che venivano reinviati a strutture usate dai servizi di intelligence tedeschi. Il tracciamento ha funzionato sfruttando presumibilmente gli iPhone degli stessi addetti dell’intelligence. Chi si occupa di sicurezza dovrà ora fare i conti anche con questo aspetto delle tecnologie commerciali.

---

I ricercatori di sicurezza, infatti, si sono lanciati sugli AirTag per studiarli e capire come ottimizzare le loro funzioni positive e indebolire quelle negative. L’Università di Darmstadt ha già messo gratuitamente a disposizione AirGuard, un’app disponibile nello store ufficiale di Android che per certi versi è più potente delle app fornite da Apple, perché fa una scansione periodica automatica alla ricerca di AirTag e simili. Se trova ripetutamente lo stesso dispositivo di tracciamento, l’app avvisa l’utente. Se usate quest’app, tutte le informazioni di localizzazione restano nel vostro telefonino. Se nessuno vi sta tracciando, l’app vi lascia in pace, restando vigile.

È indubbio che avere un dispositivo economico che permette di trovare i propri oggetti smarriti sia utile: la sfida tecnologica è trovare il modo di consentire questo potere senza allo stesso tempo rendere troppo facile un abuso. La soluzione perfetta è ancora tutta da trovare: nel frattempo, qualche aiuto tecnologico c’è, ma come sempre è indispensabile affidarsi anche al buon senso pratico. Ogni tanto vuotate la borsa, lo zaino e il cassetto dell’auto: magari troverete cose che credevate perse per sempre.

E se vi siete persi qualcuno dei nomi delle app citate in questo podcast, non c’è bisogno di un AirTag per recuperarli: trovate il testo integrale, con i link alle singole app, sul mio blog Disinformatico.info.

[il testo della seconda parte del podcast è qui]

Fonti aggiuntive: Sophos, Gizmodo, New York Times, Gizmodo, Engadget.

Nessun commento:

Posta un commento

Se vuoi commentare tramite Disqus (consigliato), vai alla versione per schermi grandi. I commenti immessi qui potrebbero non comparire su Disqus.

Pagine per dispositivi mobili