Redazione RHC : 4 Febbraio 2025 12:08
Una singola app installata su un iPhone nuovo di zecca può rivelare i dati personali dell’utente, anche se quest’ultimo ha vietato il tracciamento. A questa conclusione è arrivato un un ricercatore conosciuto con lo pseudonimo Tim.
In iOS esiste da tempo la funzione “Chiedi all’app di non tracciare” che dovrebbe proteggere i tuoi dati personali. In realtà, impedisce solo alle app di ricevere l’identificativo pubblicitario (IDFA) del dispositivo. In Apple per molto tempo hanno assicurato che, grazie a questa opzione, gli sviluppatori non sarebbero stati in grado di tracciare l’utente, ad esempio tramite e-mail. Ma la realtà si è rivelata diversa.
Tim ha preso un iPhone 11 pulito, lo ha ripristinato alle impostazioni di fabbrica e ha installato un solo gioco dello sviluppatore KetchApp, che ha oltre 200 app sull’App Store. Per monitorare tutto ciò che il gioco invia alla rete, il ricercatore ha impostato un server proxy.
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Ciò che vide metterebbe in apprensione qualsiasi fan della Apple: l’app inviava dati ogni frazione di secondo. Ogni pacchetto conteneva più di 200 parametri diversi, tra cui le coordinate del dispositivo. Tutte queste informazioni sono andate direttamente ai creatori del motore di gioco Unity su cui è stato realizzato il gioco. Tim ha notato che le coordinate non erano molto precise: l’iPhone funzionava senza scheda SIM, solo tramite Wi-Fi.
Ma la cosa più sorprendente è che i dati con timestamp e indirizzi IP sono andati ai server di Facebook, nonostante sul telefono non ci fosse alcuna applicazione Meta e lui stesso non avesse dato il suo consenso. La funzione “Chiedi all’app di non tracciare” ha reimpostato l’identificativo pubblicitario, ma l’app ha comunque raccolto molte altre informazioni sensibili.
Ogni richiesta conteneva più di 20 identificatori diversi: identificatore del fornitore (IFV), ID della transazione (TID), ID della sessione (SID), ID del dispositivo e ID dell’utente (UID). L’app registrava anche la luminosità dello schermo, la dimensione della memoria, la carica della batteria e perfino se le cuffie erano collegate.
I dati sono poi stati trasmessi a Moloco, un’azienda che opera come Demand-Side Platform (DSP) e afferma di coprire 6,7 miliardi di dispositivi in oltre 190 Paesi. Queste piattaforme non si limitano a collegare gli inserzionisti agli spazi pubblicitari in tempo reale, ma estraggono anche enormi quantità di dati sugli utenti per indirizzare meglio gli annunci. Allo stesso tempo, qualsiasi partecipante all’asta può avere accesso a una parte o addirittura a tutti i dati raccolti.
Tim ha trovato centinaia di aziende che commerciano questo tipo di dati. Alcuni suggeriscono di collegare gli identificatori pubblicitari (MAID) ai dati reali delle persone e di mantenere aggiornate tali informazioni. Il ricercatore ha persino scoperto un’azienda che collega direttamente gli ID pubblicitari a nomi completi, indirizzi e-mail, numeri di telefono e indirizzi di casa.
Quando Tim ha provato ad acquistare i propri dati, è stato fermato dal prezzo: l’accesso a un database con informazioni su milioni di utenti costava tra i 10 e i 50 mila dollari. Inoltre, chiunque può acquistarlo, non solo i servizi speciali. Secondo il ricercatore, questi database contengono gli itinerari di viaggio di chiunque abbia giocato anche solo un po’ con le app gratuite.
Come proteggersi? Non consentire alle applicazioni di accedere alla geolocalizzazione, sostituire i dati GPS, inviare informazioni false, abilitare filtri DNS (servizi DNS privati o Pi-Hole) e ad-blocker. Tuttavia, alcuni analisti ritengono che sia impossibile proteggersi completamente dalle minacce: gli sviluppatori hanno imparato a eludere la protezione, ad esempio tramite indirizzi IP codificati in modo rigido.
RedazioneQuest’autunno, abbiamo avuto un bel po’ di grattacapi con il cloud, non so se ci avete fatto caso. Cioè, AWS, Azure, e dopo Cloudflare. Tutti giù, uno dopo l’altro. Una sfilza di interruzioni ...
Il CERT-AGID ha rilevato recentemente una sofisticata campagna di phishing mirato che sta prendendo di mira gli studenti dell’Università di Padova (UniPd). L’operazione, ancora in corso, sfrutta ...
Gli esperti del Group-IB hanno presentato un’analisi dettagliata della lunga campagna di UNC2891, che ha dimostrato la continua sofisticatezza degli schemi di attacco agli sportelli bancomat. L’at...
L’azienda israeliana NSO Group ha presentato ricorso contro una decisione di un tribunale federale della California che le vieta di utilizzare l’infrastruttura di WhatsApp per diffondere il softwa...
Una vulnerabilità, contrassegnata come CVE-2025-61757, è stata resa pubblica Searchlight Cyber giovedì scorso. I ricercatori dell’azienda hanno individuato il problema e hanno informato Oracle, c...
