Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il tuo smartphone potrebbe identificarti anche quando stai semplicemente controllando il meteo. Una ricerca condotta dagli specialisti di Buchodi ha scoperto che l’app meteo preinstallata su molti dispositivi Samsung è in grado di generare una sorta di impronta digitale persistente dell’utente. Questo identificatore deriva dalle città salvate nelle impostazioni e può distinguere quasi univocamente il proprietario del telefono.
L’app invia regolarmente richieste al server meteo api.weather.com, gestito da The Weather Company. In ogni richiesta compare un parametro chiamato placeid: una stringa di 64 caratteri esadecimali che funziona come un hash associato a una specifica località salvata nel dispositivo. A prima vista, questo identificatore non rappresenta un utente ma soltanto una città o un punto sulla mappa.
Tuttavia, combinando più placeid provenienti dallo stesso smartphone, i ricercatori hanno scoperto che è possibile creare un profilo estremamente distintivo. Analizzando 9.211 richieste generate da 42 dispositivi Samsung nell’arco di cinque giorni, il team ha osservato che quasi ogni combinazione di città salvate risultava unica. Tra 29 utenti monitorati, sono emerse 28 combinazioni diverse: nel 96,4% dei casi l’insieme delle città identificava una sola persona.
Più località vengono aggiunte nell’app, maggiore diventa la precisione dell’identificazione. Una singola città può essere condivisa da molti utenti, ma due o tre città insieme creano una combinazione molto rara. Nel campione analizzato, il 95,8% dei singoli placeid compariva soltanto su un dispositivo, dimostrando quanto questa “biografia geografica” possa diventare un indicatore stabile dell’utente.
Un aspetto particolarmente interessante, riportano i ricercatori, è che questa impronta digitale non dipende dalla rete utilizzata. Durante lo studio, il 64,3% dei partecipanti ha cambiato indirizzo IP, passando tra Wi-Fi domestico, reti universitarie e connessioni mobili. Nonostante ciò, l’insieme dei placeid è rimasto invariato. Ciò significa che cambiare rete o utilizzare una VPN non elimina questo identificatore, perché è legato alle città salvate e non alla connessione.
Inoltre, l’app include chiavi di accesso integrate al servizio meteo e in alcune richieste trasmette anche le coordinate geografiche precise oltre al placeid. Sebbene la connessione sia cifrata e quindi invisibile a osservatori esterni, i dati arrivano direttamente ai server del servizio meteo. Considerando i precedenti scandali nel settore – come la causa intentata nel 2019 dalla città di Los Angeles contro aziende legate ad app meteo per l’uso dei dati di posizione a fini pubblicitari – questa scoperta riaccende il dibattito su quanto una semplice app meteo possa rivelare sulla vita quotidiana degli utenti.
