Privacy e sicurezza a rischio con le app di incontri

Tecniche come la trilaterazione consentono di trovare le coordinate dell’account dell’utente mettendone a rischio la privacy e la propria sicurezza

Le app di incontri utilizzano tradizionalmente i dati di localizzazione, offrendo l’opportunità di connettersi con persone vicine e aumentando le possibilità di incontri nella vita reale. Alcune app possono anche visualizzare la distanza dell’utente dagli altri registrati all’app. Questa funzione è molto utile per coordinare gli incontri, indicando se un potenziale partner si trova o meno nei paraggi.
Tuttavia, condividere apertamente la propria distanza con altri utenti può creare seri problemi di sicurezza. I rischi diventano evidenti quando si considera il potenziale uso improprio da parte di un individuo curioso dotato di conoscenze avanzate di tecniche come la trilaterazione, che consente di determinare le coordinate dell’utente conoscendo le coordinate di diversi punti e la loro distanza dall’utente target. In alcuni casi, è sufficiente conoscere le distanze precise di due punti e la distanza approssimativa di un terzo.
Check Point Research (CPR) ha analizzato diverse applicazioni di incontri con oltre 10 milioni di download complessivi per comprenderne la sicurezza per gli utenti. La ricerca si è concentrata su un’app specifica, chiamata “Hornet”, che presenta delle vulnerabilità che consentono di conoscere la posizione precisa dell’utente: un grave rischio per la privacy.
In sintesi
  • Tecniche come la trilaterazione consentono agli aggressori di determinare le coordinate dell’utente, utilizzando le informazioni sulla distanza.
  • Nonostante le misure di sicurezza, l’app per incontri Hornet – una popolare app per incontri con oltre 10 milioni di download – presentava delle vulnerabilità che consentivano di determinare con precisione la posizione dell’utente, anche se questi disabilitavano la visualizzazione della loro distanza. Check Point Research ha sviluppato un metodo che, in esperimenti riproducibili, ha permesso di localizzare l’utente con un’approssimazione di soli 10 metri.
  • Gli sviluppatori di Hornet hanno implementato nuove misure per minimizzare i rischi potenziali, che hanno portato a una diminuzione della precisione di localizzazione a 50 metri.
CPR ha scoperto che l’applicazione Hornet invia coordinate precise al server. I creatori di Hornet sono consapevoli dei rischi potenziali del posizionamento degli utenti, come indicato sul loro sito web. Tuttavia, sostengono di proteggere le posizioni degli utenti randomizzando la distanza visualizzata nell’applicazione, rendendo, a loro avviso, impossibile determinare la posizione esatta. Purtroppo non è così.
Al momento della ricerca, le misure adottate da Hornet non erano sufficienti a proteggere le coordinate degli utenti, consentendo di determinare la loro posizione con un’accuratezza molto elevata.
Seguendo il processo di divulgazione responsabile, si è cercato di contattare il team di Hornet, fornendo loro i risultati della ricerca. Poco prima di questa pubblicazione, è stato riesaminatal’applicazione Hornet. Check Point Research può confermare che gli sviluppatori hanno già implementato le misure necessarie per ridurre significativamente l’accuratezza della determinazione delle coordinate da parte degli utenti.
Capire la geolocalizzazione e i possibili pericoli:
La geolocalizzazione è una tecnologia che utilizza i dati acquisiti dal dispositivo informatico di un individuo (come uno smartphone, un tablet o un computer portatile) per identificare o stimare la posizione geografica reale di tale dispositivo. Queste informazioni possono spaziare da dettagli di localizzazione molto precisi (come un indirizzo specifico o le coordinate della posizione) ricavati tramite GPS (Global Positioning System) a dati di localizzazione meno precisi ottenuti tramite indirizzo IP, Wi-Fi, reti cellulari o beacon Bluetooth.
La tecnologia di geolocalizzazione, pur essendo vantaggiosa, presenta diversi rischi, soprattutto per quanto riguarda la privacy e la sicurezza all’interno delle app. Tra questi, le potenziali violazioni della privacy dovute all’accesso non autorizzato ai dati, la condivisione involontaria dei dati sulla posizione con terzi, i rischi di tracciamento e sorveglianza e le vulnerabilità di sicurezza come lo spoofing della posizione. Queste informazioni potrebbero essere sfruttate da stalker, ladri o altri malintenzionati.

Metodologia per determinare la distanza

In Hornet e in applicazioni simili, gli utenti nei risultati della ricerca sono ordinati in ordine di distanza. Se nei risultati della ricerca troviamo due utenti che consentono di visualizzare la loro distanza e l’utente target si trova tra loro nei risultati della ricerca, possiamo determinare la distanza approssimativa dall’utente target come valore medio di due distanze note.
Tuttavia, la presenza di utenti vicini all’obiettivo non è una condizione necessaria. Per determinare la distanza dall’utente, è necessario registrare un account aggiuntivo, le cui coordinate possono essere controllate.
È possibile determinare la distanza tra due utenti dividendo in modo iterativo l’intervallo a metà e posizionando un account aggiuntivo nel punto intermedio. Analizzando i risultati della ricerca e affinandola in base alla presenza dell’utente target, restringendo progressivamente la distanza tra il target e l’account aggiuntivo, si può ottenere la precisione desiderata.

Metodologia di trilaterazione

È stata utilizzata la trilaterazione in due fasi. La prima è stata eseguita utilizzando due punti di riferimento per ottenere due possibili posizioni candidate (punti di intersezione dei cerchi). Dopodiché sono state utilizzate le informazioni sulla distanza dal terzo punto di riferimento per selezionare la soluzione corretta.
Se si conosce l’area in cui si trova l’account dell’utente all’interno di un diametro di 10 km, come per esempio nel caso di una piccola città, intorno a quest’area, si possono generare in modo casuale 30 serie di punti di riferimento in un anello con un raggio interno di 5 km e un raggio esterno di 10 km.
Come risultato della trilaterazione per ogni gruppo di punti di riferimento, è stata ricavata una serie di possibili coordinate per il punto di destinazione. L’errore di questa geolocalizzazione oscilla tra un massimo di 350 metri, e un minimo di soli 2 metri. È stato quindi calcolato il valore medio di latitudine e longitudine per tutti i punti. La distanza tra il valore medio e il punto di destinazione è risultata essere di 24 metri. Con una probabilità del 95%, la precisione della geolocalizzazione è stata di 200 metri.

Migliorare l’accuratezza della geolocalizzazione

Essendo in grado di determinare la posizione approssimativa, sono stati generati punti di riferimento a una distanza di 1-2 chilometri intorno alla regione in cui si supponeva si trovasse l’obiettivo. Abbiamo quindi ottenuto molte stime della posizione del bersaglio. Gli errori di geolocalizzazione erano distribuiti in modo quasi uniforme, con un minimo di 1,5 metri e un massimo di 70 metri. È stata anche calcolata la latitudine e la longitudine media dei risultati. Il punto medio risultante era a meno di 5 metri di distanza dal punto di destinazione.
Quando si tratta di applicazioni per incontri, l’esposizione della geolocalizzazione degli utenti comporta rischi significativi per la privacy. Gli esperimenti di CPR hanno rivelato potenziali vulnerabilità nell’applicazione di incontri Hornet, che conta oltre 10 milioni di download. La metodologia di stima della distanza sviluppata, combinata con la trilaterazione che utilizza un gran numero di punti di riferimento, ha dimostrato una precisione molto elevata nel determinare la posizione degli utenti.
Gli sviluppatori di Hornet hanno applicato delle modifiche per mitigare i rischi, riducendo la precisione della localizzazione a 50 metri. Questo miglioramento, pur essendo significativo, consente comunque a un attaccante motivato di determinare coordinate approssimative.
CPR consiglia vivamente agli utenti di prestare attenzione alle autorizzazioni concesse alle app e di tenersi informati sui potenziali rischi e sulle migliori pratiche per la protezione della privacy e della sicurezza quando si tratta di dati di geolocalizzazione. Disabilitando i servizi di localizzazione, gli utenti possono impedire alle app di tracciare i loro spostamenti e di raccogliere informazioni sui loro movimenti. Questa misura può salvaguardare efficacemente la privacy degli utenti e impedire la condivisione dei dati personali con entità esterne.

LASCIA UN COMMENTO

Per favore inserisci il tuo commento!
Per favore inserisci il tuo nome qui

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.

LEGGI ANCHE

Gli ultimi articoli