Poco meno di una settimana fa i colleghi di 404 Media hanno pubblicato sulla propria testata una inquietante indagine che, a leggerne i contenuti, vanifica tutti gli sforzi volti a tutelare la propria privacy online. Sembra quasi una di quelle teorie complottiste, che vogliono agenzie governative sorvegliare obiettivi di qualsivoglia tipo. Ma questo non è un film o una serie Tv di spionaggio, ma la realtà.
L’indagine, nel caso non bastasse il materiale raccolto dai cronisti che si sono occupati della stesura, è avvalorata dalle risposte di Google a Joseph Cox, giornalista investigativo dalla brillante carriera, oltre agli studi di un’agenzia di ricerca austriaca, Cracked Labs. Ad emergere dall’oblio uno strumento in grado di trarre informazioni del comportamento degli utenti di smartphone, attraverso le pubblicità. Tutto questo ha un nome ed è Patternz.
Gli annunci pubblicitari delle applicazioni i nuovi spyware?
Diverse applicazioni di uso comune, dalle più alle meno popolari, presentano annunci pubblicitari per potersi sostenere. Fin qui tutto normale, ma le informazioni che possono reperire sono molte, se le pubblicità hanno scopo malevolo. In Europa siamo in qualche modo protetti dalle leggi emesse dal Parlamento europeo, come ad esempio il Gdpr o il più recente Data Act. Ma alle volte può essere anche solo un deterrente, benché multe e sanzioni non siano certo irrisorie. Tuttavia Oltreoceano non esiste una legislazione rigorosa come nel Vecchio Continente. E i dati, lo sappiamo già, sono il nuovo oro. Ma ad essere esposti, anche giornalisti, attivisti e politici europei.
L’indagine dei colleghi di 404 Media si è basata su una serie di materiali con scopi di marketing, che in seguito alla pubblicazione dell’indagine, sono stati rimossi dalle piattaforme. I contenuti mostravano come le pubblicità all’interno delle app mobili, fossero in grado di fornire gli strumenti idonei alla sorveglianza da parte di aziende di spionaggio e dei clienti governativi, attraverso il tool Patternz. Tutto questo è ed era possibile attraverso un ingegnoso, ma complesso sistema in grado di sfruttare la pubblicità sulle applicazioni.
Secondo Rafi Torn, Ceo di Patternz, in un video del 2023 ora rimosso, le app che analizzavano i comportamenti degli utenti erano più di 600.000. «Il telefono cellulare diventa di fatto il braccialetto di tracciamento» afferma l’amministratore delegato nel video cancellato, stando a quanto riportato da Joseph Cox. Un tracciamento possibile «da qualsiasi app che contenga annunci pubblicitari».
Cosa viene illustrato nel video
Cox racconta quanto illustrato all’interno del video. Ton è riuscito ad accedere al profilo di un utente per mostrare come è facile reperire molte informazioni di qualsiasi genere. Come i luoghi visitati con tanto di coordinate Gps, marca e modello del telefono, il software, le applicazioni utilizzate, dati personali e così via.
Patternz poi crea un profilo più completo, in cui inserisce gli interessi di quel particolare profilo a cui è assegnato un Id univoco, più altre informazioni utili a chi ne fruirà. Ma non finisce qui. Chi utilizza Patternz lo può sfruttare anche per veicolare messaggi personalizzati sul profilo di un particolare obiettivo. In questo caso, potrà essere facilmente installato sul dispositivo della vittima un trojan o altri software in grado potenzialmente di utilizzare il telefono per ottenere immagini dalle fotocamere, dal microfono, etc.
Come viene installato Patternz attraverso la Rtb
Prima di capire come viene installato lo spyware, è necessario comprendere come funziona la pubblicità che appare ovunque su Internet, dalle app ai siti Web. La pubblicità mostrata sulle varie piattaforme, ubbidisce ad un sistema chiamato Real-Time Bidding (Rtb). Si tratta di un processo automatico di acquisto di spazi pubblicitari. Le inserzioni vengono vendute nel corso di aste in tempo reale, per ogni singola visualizzazione. Ciò avviene nel momento in cui un utente carica una determinata pagina (o applicazione).