Le forze dell'ordine hanno tracciato 500 milioni di dispositivi utilizzando dati pubblicitari

Le forze dell'ordine hanno utilizzato le reti pubblicitarie per tracciare 500 milioni di dispositivi

Un nuovo rapporto di Citizen Lab ha portato alla luce uno strumento di sorveglianza chiamato Webloc che le forze dell'ordine negli Stati Uniti, in Ungheria e in El Salvador stanno utilizzando per monitorare fino a 500 milioni di dispositivi mobili in tutto il mondo. Lo strumento non si basa sulle tradizionali intercettazioni telefoniche o sulle intercettazioni ordinate dai tribunali. Invece, sfrutta la stessa infrastruttura pubblicitaria che alimenta le app gratuite sul tuo telefono.

Le scoperte sollevano seri interrogativi su come i governi acquisiscano e utilizzino i dati disponibili in commercio, e su cosa ciò significhi per la privacy delle persone comuni che non sono mai state sospettate di alcun reato.

Cos'è Webloc e come funziona?

Webloc raccoglie dati dalle app mobili e dalle reti pubblicitarie digitali. Quando si utilizza un'app gratuita, questa condivide tipicamente informazioni con le reti pubblicitarie per mostrare annunci mirati. Tali dati includono spesso un identificatore del dispositivo, coordinate di posizione precise e attributi del profilo come età stimata, interessi e comportamento di navigazione.

Webloc aggrega queste informazioni e le rende consultabili dalle forze dell'ordine. Le autorità possono utilizzarlo per tracciare i movimenti storici di un dispositivo, identificare dove una persona vive o lavora e costruire un profilo comportamentale dettagliato, il tutto senza ottenere un tradizionale mandato per i dati di localizzazione.

La portata dello strumento è sorprendente. Le reti pubblicitarie operano a livello globale e raccolgono dati in modo passivo, il che significa che il proprietario di un dispositivo non deve fare nulla di insolito per comparire nel dataset. Semplicemente usare app che mostrano annunci pubblicitari può essere sufficiente.

Sorveglianza senza mandato attraverso una porta sul retro commerciale

Il quadro giuridico in questo caso è rilevante. I tribunali in molte giurisdizioni hanno imposto restrizioni su come i governi possono raccogliere dati di localizzazione direttamente dai gestori telefonici o dai sistemi GPS. Ma l'acquisto o la concessione in licenza degli stessi dati attraverso intermediari commerciali ha esistito in una zona grigia che i legislatori sono stati lenti ad affrontare.

Il rapporto di Citizen Lab sottolinea che questa non è una scappatoia ipotetica. I governi la stanno attivamente sfruttando. Il coinvolgimento di agenzie in tre paesi con sistemi giuridici molto diversi suggerisce che gli strumenti di tipo Webloc siano attraenti proprio perché aggirano i requisiti di mandato che si applicherebbero ai metodi di sorveglianza diretta.

Ungheria ed El Salvador hanno entrambe precedenti nell'utilizzo di tecnologie di sorveglianza contro giornalisti, attivisti e oppositori politici, il che rende la scoperta di questo strumento particolarmente significativa per i ricercatori in materia di libertà civili.

Cosa significa questo per te

Non è necessario essere una persona di interesse per le forze dell'ordine affinché questo ti riguardi. I dati raccolti dalle reti pubblicitarie sono indiscriminati. Fluiscono dal tuo dispositivo ogni volta che un'app contatta un server pubblicitario, indipendentemente da ciò che stai facendo o da chi sei.

Alcuni punti pratici che vale la pena comprendere:

• Gli identificatori del dispositivo sono persistenti. L'ID pubblicitario del tuo telefono è progettato per seguirti attraverso le app. Reimpostarlo periodicamente riduce la continuità del tuo profilo, anche se non elimina completamente la raccolta dei dati.
• Le autorizzazioni di localizzazione sono importanti. Le app che richiedono l'accesso preciso alla posizione in background sono quelle che più probabilmente contribuiscono al tipo di dati raccolti da Webloc. Esaminare e limitare le autorizzazioni di localizzazione per le app che non ne hanno realmente bisogno è un passo semplice e diretto.
• La raccolta dati basata sulla pubblicità è in gran parte invisibile. A differenza di un cookie di tracciamento di un sito web che si può teoricamente cancellare, i dati che fluiscono attraverso gli SDK pubblicitari mobili non vengono mostrati agli utenti in alcun modo significativo.
• Le VPN possono limitare alcune esposizioni. Mascherare il proprio indirizzo IP riduce un dato che le reti pubblicitarie utilizzano per correlare la tua attività e approssimare la tua posizione, anche se una VPN da sola non impedisce a un'app di leggere le coordinate GPS del tuo dispositivo se hai concesso tale autorizzazione.
• Le impostazioni del sistema operativo orientate alla privacy sono utili. Sia Android che iOS hanno aggiunto opzioni per limitare il tracciamento pubblicitario a livello di sistema. Abilitare queste opzioni non ti rende invisibile, ma riduce la ricchezza del profilo che può essere costruito.

Il rapporto di Citizen Lab è un promemoria che l'economia dei dati costruita per servire gli inserzionisti è diventata anche un'infrastruttura per la sorveglianza di stato. Le due cose non sono mai state del tutto separate, ma la scala e i dettagli operativi qui rivelati rendono il collegamento concreto.

La risposta più efficace non è il panico, ma un cambiamento deliberato delle abitudini. Esamina le app sul tuo dispositivo, limita le autorizzazioni che non servono a uno scopo chiaro e tratta l'accesso alla localizzazione come un'autorizzazione sensibile piuttosto che come una di routine. Questi passaggi non proteggeranno nessuno da un'indagine determinata e ben dotata di risorse, ma riducono significativamente l'esposizione passiva a programmi di raccolta dati in blocco come Webloc.

Mentre i governi e i tribunali continuano a dibattere su dove debbano essere tracciati i confini legali, gli utenti che comprendono come funziona questa pipeline di dati sono in una posizione migliore per proteggersi al suo interno.