Black days della sicurezza digitale:pericolo privacy per i campanelli Ring e il browser Safari

In occasione del Data Privacy Day, diversi enti e società impegnate nella tutela dei dati personali, oltre a fornire consigli su come tutelarsi al meglio , hanno condiviso gli ultimi dettagli in merito a varie emergenze relative alla sicurezza digitale, tra cui alcune che riguardano i sistemi di sicurezza di Amazon venduti col brand Ring, ed il browser Safari di Apple.

Da alcuni test condotti mediante un device cavia, la EFF (Electronic Frontier Foundation) ha scoperto come una versione androidiana (la 3.21.1, nelle scorse ore improvvisamente sostituita dalla 3.22.1) dell’app Ring per il controllo dei campanelli smart omonimi (dal 2018 di proprietà di Amazon) inviasse diversi dati a società di terze parti.

Tra queste ultime, risultano branch.io (destinataria ad es. dell’IP del device e del modello), MixPanel (oltre ai dati del device, anche la mail e il nome dell’utente), AppsFlyer (anche i dati dei sensori, come accelerometro, giroscopio, magnetometro, e quelli dei crash improvvisi registrati dall’apposito servizio di Google noto come Crashalytics), e Facebook: la piattaforma di Menlo Park, anche se non associata in termini di account, ad ogni accesso dell’utente nell’app Ring, guadagnerebbe alcuni dati del terminale mobile, quali la lingua di default, la risoluzione dello schermo, il tempo d’inattività, il numero di blocchi/sblocchi, etc.

Il tutto, a quanto pare, sarebbe solo parzialmente citato nella policy sulla privacy, varata il 22 maggio 2018, all’interno della quale si fa riferimento alla possibilità di condividere i dati degli utenti con società d’analisi per comprendere l’uso del proprio sito e delle companion app.

Una delle maggiori piaghe del web consiste nel “Cross-site tracking“, che permette ai circuiti pubblicitari, seguendo il pellegrinare dell’utente di sito in sito, di proporgli sempre le stesse ads, in una sorta di uno stalking 2.0: Apple, per rimediare a ciò, con macOS High Sierra e iOS 11, sin dal 2017, ha implementato in Safari la tecnologia ITP (Intelligent Tracking Prevention) che, in sostanza, evita che i siti si scambino l’ID pubblicitario dell’utente (sì che non possa essere riconosciuto).

Il problema, ha rilevato Google, è che ITP – nell’assolvere alla sua funzione – memorizza non pochi dati sui siti attraversati dall’utente e, a causa di una vulnerabilità sfruttabile con 5 attacchi diversi, un hacker potrebbe facilmente venire in possesso di tal tesoro digitale. Per fortuna, i tecnici di Mountain View hanno avvertito per tempo Apple che, però, a fronte delle dichiarazioni ufficiali di fix avvenuto nel Dicembre 2019, secondo il googleiano Justin Schuh, non avrebbe ancora messo mano in alcun modo a quanto emerso.

Torna in alto