Italia
Smartphone, la spia
che sa sempre
dove ci troviamo
Ecco come siamo geolocalizzati in una giornata-tipo
Ecco come siamo geolocalizzati in una giornata-tipo
Ognuno di noi produce una scia digitale di informazioni su di sé. Ricostruirla però non è facile. Ci provano aziende, compagnie internet e governi. Mentre gli utenti rischiano di fare la fine dei sei ciechi nella favola dell’elefante, obbligati ad avere solo una conoscenza parziale e frammentata dell’animale. Quell’animale, in questo caso, sono i nostri dati, siamo noi.
Abbiamo ricomposto per un giorno la nostra attività digitale a partire da uno smartphone, tenendo presente che la localizzazione geografica è oggi l’aspetto più importante della nostre tracce digitali. È l’Eldorado dell’industria della pubblicità, è cruciale per i governi e le intelligence.
«Il telefono è un rilevatore di posizione», commenta Fieke Jansen, della Ong Tactical Tech. «Ci localizza con la triangolazione dei ripetitori mobili, la localizzazione Gps dei satelliti, e i dati Wi-Fi. Informazioni a disposizione del proprio operatore telefonico, che possono essere usate anche dal nostro sistema operativo e dalle app che scarichiamo, se diamo loro il permesso».
Il telefono, e le app che ci stanno sopra, tracciano e memorizzano le nostre posizioni non solo quando usiamo le mappe o i navigatori. Un esempio? Se si possiede un iPhone, basta guardare nelle impostazioni alla voce «Posizioni frequenti». Il telefono prende nota dei luoghi visitati giorno per giorno e li raggruppa in quelli più frequentati. Soprattutto, tiene conto di quanto tempo viene speso in ogni luogo. Ad esempio, l’iPhone ha registrato la mia presenza a Pavia, per un convegno il 26 novembre, segnando esattamente dove sono stata e per quanto tempo.
Un partner geloso potrebbe usare solo questi dati - mettendo le mani per pochi minuti sul nostro telefonino - per mappare esattamente come e dove passiamo il tempo. Ma chi potrebbe avere queste informazioni?
«Tali dati vengono conservati unicamente sul tuo dispositivo e non vengono inviati ad Apple senza il tuo consenso», scrive nella policy l’azienda della Mela morsicata, specificando, con un margine di ambiguità, che «verranno usati per fornirti dei servizi personalizzati».
In ogni caso, l’attivazione dei servizi di localizzazione - che non possono essere mai definitivamente «spenti» - comporta l’invio periodico al colosso di Cupertino delle posizioni in cui un utente ha acquistato o anche solo usato delle app. E l’iPhone potrà inviare la sua posizione ad Apple anche per fornire pubblicità. Del resto, già oggi ci sono aziende specializzate nel costruire profili aggregati del comportamento delle persone sulla base dei posti che visitano più spesso. Per farlo si appoggiano ad alcune app scaricate dai consumatori, che sono state «autorizzate» a mapparne gli spostamenti.
I dati di localizzazione possono essere usati da applicazioni insospettabili. Ad esempio, nel nostro caso, Google, dato che abbiamo una casella Gmail e altri strumenti legati alla Grande G. Per toccare con mano basta andare all’indirizzo Google.it/locationhistory. Se la storia della localizzazione geografica era attiva, qui abbiamo un diario di tutti i nostri spostamenti, giorno per giorno, ora per ora, metro per metro.
«Molta gente non sa di avere la location history attiva, anche da tempo. Che a volte è usata perfino da partner gelosi - con cui magari si condivide innocentemente la password di Gmail - per spiare i movimenti dell’altro», commenta Paolo Dal Checco, consulente tecnico forense per procure e tribunali.
Per altro andrebbero aggiunte, a questo «diario personale» non sempre consapevole, anche le registrazioni tenute da Google dei comandi vocali, se si usano su dispositivi Android o sulla app per iPhone/iPad. «A volte si attivano senza che l’utente se ne accorga, in momenti in cui non vorrebbe essere registrato», spiega Dal Checco. Sono dati che restano online, a disposizione dell’utente - e di Google.
Nel giorno in cui sono andata a Pavia, ho anche mandato dieci email, via Gmail. Cosa sa Google della mia corrispondenza? Conosce a chi ho mandato queste dieci mail, quando e da quale indirizzo IP - indirizzo che identifica un dispositivo connesso in rete. «Chi fornisce servizi di posta elettronica al pubblico per legge deve tenere traccia di mittente e suo IP, destinatario, timestamp (data e ora) ma a volte tengono anche dimensione del messaggio e subject», commenta Dal Checco. Naturalmente, in questo caso, anche i nostri messaggi, le lettere, i contenuti restano sui server della Grande G. E possono essere consegnati alle forze dell’ordine su richiesta (con un mandato, in teoria).
Le informazioni citate sopra - chi scrive a chi e quando, quanto, ecc - sono i cosiddetti metadati. Non sono il contenuto della comunicazione ma i dati relativi alla stessa. Si tratta delle informazioni più sottovalutate dagli utenti (ma non dai governi). Per rendere giustizia ai metadati bisogna considerarli nel loro sviluppo temporale. Nella loro quantità.
Per visualizzare quello che dicono di me i metadati della mia casella di posta utilizzo quindi uno strumento come Immersion, una piattaforma sviluppata dal Massachusetts Institute of Technology. Se ci si logga usando il proprio profilo Gmail, il sito analizza i metadati di tutte le nostre mail, limitandosi a mittente, destinatario e ora/data. Poi raffigura i grafi di tutte le nostre connessioni - con i nomi dei nostri contatti - anno dopo anno. Si vedono gruppi amicali, lavorativi e l’intensità della relazione di ogni contatto con noi. Visualizzare online tutto ciò è una ricerca del tempo perduto in versione cyberpunk. Roba da far rizzare i capelli sulla testa.
Nel corso di quella stessa giornata mi sono scambiata anche cinque messaggi via Whatsapp, cinque via iMessage, due via Telegram. Poniamo per comodità che fossero tutti cifrati nel modo più sicuro: ovvero attraverso una cifratura detta end-to-end, che va da dispositivo a dispositivo, in cui solo i due utenti che comunicano hanno le chiavi per decifrare i messaggi. Un livello di protezione che dovrebbe essere possibile in tutte le app citate, anche se nel caso di WhatsApp non è chiaro se sia stato effettivamente esteso a tutti. Anche in tal modo, i messaggi hanno lasciato comunque una scia di metadati. Ovvero, nella maggior parte dei casi, chi fornisce il servizio ha le informazioni su mittenti, destinatari e data di invio. Cioè di chi comunica con chi e quando, anche se Telegram specifica nella policy di non averle più a disposizione dopo un imprecisato periodo di tempo.
Di nuovo, i metadati vanno visti tutti assieme. Come scrive online l’esperto di cybersicurezza The Grugq: «Quando registri un account su Telegram, la app carica l’intero registro dei contatti sui suoi server. Ciò gli consente di costruire una enorme mappa delle relazioni sociali di tutti i suoi utenti e di come si conoscono l’un l’altro. È molto difficile rimanere anonimi mentre si usa questa app». Riassumendo: Telegram ha di sicuro la mia rete di relazioni. E per un tempo imprecisato ha anche i metadati delle mie comunicazioni, incluse quelle «segrete».
Il fatto è che sull’analisi dei metadati stanno lavorando tutti, dalle aziende ai governi, anche per analisi predittive. Per sapere cioè come si comporteranno le persone. «Con i metadati puoi strutturare un’analisi comportamentale del singolo, o identificare deviazioni dal modello normale», commenta Alberto Pelliccione, esperto di sicurezza informatica offensiva e difensiva. «Semmai uno dei problemi della raccolta di dati (data mining) oggi è che per quanto ti sforzi di anonimizzare le informazioni, riesci sempre a identificare i comportamenti del singolo».
Tornando a noi, sempre nel giorno del convegno di Pavia, ho anche fatto cinque telefonate, mandato tre sms, navigato su internet via cellulare. Che dati ho lasciato? Il mio operatore telefonico ha certamente conservato mittente, destinatario, tipo di chiamata, data, durata, dati della cella telefonica. Informazioni che vengono conservate per circa due anni. Conservati per un anno anche i dati telematici, relativi all’uso di Internet, data e ora della connessione, indirizzi IP e la cella.
Il mio fornitore di connessione internet non tiene invece conto dei siti visitati, se sono stata su Wikileaks, su un forum di droghe, di medicina o su un blog di politica. Cosa che invece vorrebbe fare il governo inglese.
I dettagli sulla navigazione - e su quello che facciamo su ogni sito - sono in ogni caso raccolti da una miriade di altri soggetti commerciali. Quasi ogni sito che visitiamo è infatti tracciato da qualcuno, attraverso varie tecnologie, dai cookies a tecniche più raffinate che attribuiscono a ogni utente una sorta di impronta digitale. Quando, di ritorno dal convegno, ho visitato i siti del «Guardian» e dell’«Economist», in realtà mi sono anche connessa ai server di decine di altre aziende che mi tracciano. «Sono soggetti che sanno cosa fai su quel sito», spiega Claudio Agosti, ideatore del progetto Trackography.org. E quando sono andata su un noto sito italiano specializzato in vendita di abiti online, c’erano ben 15 tracker di altre aziende «in ascolto» di quello che facevo per fornirmi pubblicità mirata o rivendersi i dati.
Questi dati sono poi raccolti, processati, analizzati, aggregati e rivenduti. Ci sono aziende specializzate che creano profili individuali o di gruppo.
I profili così costruiti mescolano informazioni ricavate online con quelle ottenute offline - ad esempio dalle carte fedeltà dei negozi. Il processo di unificare i dati online e offline degli utenti si chiama onboarding. Gli stessi social network comprano - da colossi specializzati nel brokeraggio di dati, come Acxiom, che ha un database su 700 milioni di persone divise in base a tremila attributi - le informazioni offline sugli utenti per arricchire i profili che già hanno in modo da vendere pubblicità iper-mirata. In che modo connettono identità online e offline? Ad esempio, attraverso il nostro numero di telefono. Che, come abbiamo visto, fa intravedere solo una coda della complessa scia di dati che ci lasciamo alle spalle. La coda di un elefante invisibile e destinato a crescere nel tempo.
Carola Frediani
Post
