Come proteggersi dallo spionaggio tramite uXDT

Gen 10, 2017 Marco Schiaffino Approfondimenti, RSS, Tecnologia, Vulnerabilità 0

La tecnologia a ultrasuoni permette la profilazione degli utenti e può essere usata come strumento per individuare chi naviga in anonimato. Ecco come arginarla.

Si chiama uXDT (ultrasound cross-device tracking) ed è una tecnologia tornata all’onore delle cronache dopo che è stata indicata come un possibile strumento per individuare chi naviga in anonimato.

A farlo è stato lo stesso team di ricercatori che, tra il 2015 e il 2016, ha segnalato i rischi legati a una funzione che rappresenta un serio pericolo per la privacy di chi naviga su Internet.

Anche quando utilizzata per scopi “normali”, infatti, uXDT rappresenta in ogni caso uno strumento decisamente “antipatico”.

Nata con lo scopo di migliorare il livello di profilazione dei visitatori dei siti Web, la tecnologia in sintesi consente di utilizzare banner pubblicitari confezionati ad hoc per comunicare con i dispositivi mobile attraverso gli ultrasuoni (sfruttando il microfono dei device) e raccogliere così informazioni sui dispositivi utilizzati dal legittimo proprietario.

Una delle prime aziende a lanciare sul mercato sistemi di tracciamento basati su uXDT è stata SIlverPush. Lo slogan è “Metti insieme persone, dispositivi e dati”.

“Perché il tutto funzioni è necessario che sul dispositivo mobile sia installata un’app in grado di ricevere e interpretare i comandi inviati tramite ultrasuoni” spiega Federico Maggi, uno dei ricercatori che ha curato lo studio.

Ma come individuare un’app con funzioni simili? “Per sfruttare uXDT è sufficiente che l’app abbia accesso al microfono, un permesso che di solito viene accordato senza troppi problemi” precisa Maggi.

Qualsiasi applicazione con caratteristiche simili, quindi, può potenzialmente rappresentare un “cavallo di troia” per abilitare il tracciamento dei dispositivi.

Le tecniche per arginare questa forma di profilazione, però, al momento scarseggiano e gli sviluppatori delle grandi aziende sembrano essere ben poco sensibili al tema.

“Il metodo più semplice ed efficace per arginare possibili abusi di uXDT è quello di prevedere sul sistema operativo dei dispositivi mobili un permesso ad hoc per l’uso di comandi via ultrasuoni” spiega Maggi. “In alternativa è possibile agire sulla fonte, bloccando l’emissione di ultrasuoni dal computer”.

Versioni embrionali di questi strumenti di controllo sono disponibili sul sito che ospita lo studio dei ricercatori, sotto forma di una patch per Android che introduce un permesso per l’uso degli ultrasuoni e di un’estensione per Google Chrome (battezzata SilverDog) che “taglia” le frequenze emesse dal computer, escludendo la possibilità che vengano emessi ultrasuoni.