Tecnologia

In che modo gli smartphone tracciano davvero gli utenti | Blog ufficiale di Kaspersky

Ogni volta che un'app mobile mostra un annuncio pubblicitario, la posizione e altri dati vengono condivisi con centinaia di aziende. Come bloccarli?

Mar 7, 2025 - 21:06
 0
In che modo gli smartphone tracciano davvero gli utenti | Blog ufficiale di Kaspersky

Probabilmente lo saprete già: i nostri smartphone sono sempre in ascolto. Ma la verità è che non ne hanno bisogno. Le informazioni condivise con i broker di dati da praticamente ogni app dello smartphone (dai giochi alle app meteo) sono più che sufficienti per creare un profilo dettagliato sugli utenti. Per molto tempo, il “tracciamento online” ha significato che i motori di ricerca, i sistemi pubblicitari e gli inserzionisti sapessero tutti quali siti Web visitava un utente. Ma da quando sono comparsi gli smartphone, la situazione è peggiorata notevolmente: ora gli inserzionisti sanno dove gli utenti vanno fisicamente e con quale frequenza. Quindi, come ci riescono?

Ogni volta che un’app mobile si prepara a mostrare un annuncio, si svolge un’asta rapidissima per determinare quale annuncio specifico verrà visualizzato in base ai dati inviati dallo smartphone. Anche se viene visualizzato solo l’annuncio vincente, tutti i partecipanti all’asta ricevono dati sul potenziale spettatore, ovvero tu. Un recente esperimento ha dimostrato quante aziende ricevono queste informazioni, quanto sono dettagliate e quanto siano inefficaci le funzionalità integrate negli smartphone, come “Do Not Track” (Non tracciare) e “Opt Out of Personalized Ads” (Disattiva annunci personalizzati), nel proteggere gli utenti. Tuttavia, ecco alcuni metodi di protezione consigliati!

Quali dati ricevono gli inserzionisti?

Ogni app mobile è progettata in modo diverso, ma la maggior parte inizia a “diffondere” dati alle reti pubblicitarie prima ancora di visualizzare qualsiasi annuncio. Nell’esperimento menzionato in precedenza, un gioco per dispositivi mobili ha immediatamente inviato un’ampia gamma di dati alla rete Unity Ads al momento del lancio:

  • Informazioni sullo smartphone, tra cui la versione del sistema operativo, il livello della batteria, le impostazioni sulla luminosità e il volume e la memoria disponibile
  • Dati sull’operatore di rete
  • Tipo di connessione internet
  • Indirizzo IP completo del dispositivo
  • Codice fornitore (identificativo dello sviluppatore del gioco)
  • Codice utente univoco (IFV): un identificatore collegato allo sviluppatore del gioco e utilizzato da un sistema pubblicitario
  • Un altro codice utente univoco (IDFA/AAID): un identificatore pubblicitario condiviso da tutte le app sullo smartphone
  • Posizione attuale
  • Consenso al tracciamento degli annunci (sì/no)

È interessante notare che la posizione viene trasmessa anche se il servizio è disattivato sullo smartphone. Si tratta comunque di un dato approssimativo, calcolato in base all’indirizzo IP. Tuttavia, grazie ai database pubblici che corrispondono agli indirizzi fisici e Internet, questa approssimazione può essere sorprendentemente accurata, con una precisione che arriva fino al quartiere della città o addirittura all’edificio. Se i servizi di localizzazione sono abilitati e consentiti per l’app, vengono trasmessi dati precisi sulla posizione.

Nello stesso esperimento, il consenso per il monitoraggio degli annunci è stato contrassegnato come “Accettato dall’utente”, nonostante l’autore dell’esperimento non avesse fornito tale consenso.

Chi ottiene i dati e con quale frequenza?

Il flusso di dati viene inviato a tutte le piattaforme pubblicitarie integrate nell’app. Spesso esistono più piattaforme di questo tipo e un complesso algoritmo determina quale verrà utilizzata per mostrare l’annuncio. Tuttavia, alcuni dati vengono condivisi con tutte le reti connesse, anche quelle su cui al momento non vengono mostrati annunci pubblicitari. Oltre alla già citata Unity (la cui piattaforma pubblicitaria genera il 66% dei ricavi per gli sviluppatori che utilizzano questo motore di gioco), tra le altre piattaforme principali figurano quelle di Facebook, Microsoft, Google, Apple, Amazon e decine di aziende specializzate come ironSource.

Successivamente, la rete pubblicitaria che attualmente visualizza gli annunci nell’app invia un ampio set di dati degli utenti a un sistema di offerte in tempo reale (RTB). Qui, vari inserzionisti analizzano i dati e fanno offerte per mostrare i loro annunci, il tutto a velocità incredibili. Visualizzi l’annuncio vincente, ma le informazioni sulla tua posizione, insieme all’ora esatta, all’indirizzo IP e a tutti gli altri dati, vengono condivise con ogni partecipante all’asta. Secondo l’autore dell’esperimento, questi dati vengono raccolti da centinaia di aziende poco chiare, alcune delle quali potrebbero essere società fittizie di proprietà di agenzie di intelligence.

Questo video dell’esperimento mostra come le connessioni ai server pubblicitari venissero effettuate decine di volte al secondo e persino Facebook ricevesse dati nonostante nessuna app Meta fosse installata sullo smartphone dello sperimentatore.

L’illusione dell’anonimato

Ai proprietari di reti pubblicitarie piace affermare di utilizzare dati anonimi e depersonalizzati per il targeting degli annunci. In realtà, i sistemi pubblicitari fanno di tutto per identificare con precisione gli utenti su diverse app e dispositivi.

Nel set di dati sopra menzionato sono elencati due diversi codici utente: IFV e IDFA/AAID (IDFA per Apple, AAID per Android). A ogni sviluppatore di app viene assegnato un IFV separato al dispositivo dell’utente. Tre giochi dello stesso sviluppatore invieranno lo stesso IFV quando vengono mostrati gli annunci. Nel frattempo, le app di altri sviluppatori invieranno i propri IFV. L’IDFA/AAID, invece, è un identificatore pubblicitario univoco assegnato all’intero smartphone. Se gli utenti accettano la “personalizzazione degli annunci” nelle impostazioni del telefono, tutti i giochi e le app nel dispositivo utilizzeranno lo stesso IDFA/AAID.

Se si disattiva la personalizzazione degli annunci o si nega il consenso, l’IDFA/AAID viene sostituito con degli zeri. Ma gli IFV continueranno ad essere inviati. Combinando i dati trasmessi ad ogni visualizzazione di annuncio, le reti pubblicitarie possono creare un dossier dettagliato sugli utenti “anonimi”, collegando la loro attività su diverse app attraverso questi identificatori. Non appena l’utente inserisce il proprio indirizzo e-mail, il numero di telefono, i dati di pagamento o l’indirizzo di casa, ad esempio quando effettua un acquisto online, l’identificatore anonimo può essere collegato a queste informazioni personali.

Come abbiamo spiegato nel nostro articolo sulla fuga di dati di Gravy Analytics, i dati sulla posizione sono così preziosi che alcune aziende che si spacciano per broker pubblicitari sono state create esclusivamente per raccoglierli. Grazie all’IFV, in particolare all’IDFA/AAID, è possibile mappare gli spostamenti del “Signor X” e spesso de-anonimizzarlo utilizzando solo questi dati.

A volte non è nemmeno necessaria un’analisi complessa del movimento. I database che collegano gli identificatori degli annunci a nomi completi, indirizzi di casa, e-mail e altri dati altamente personali possono essere facilmente venduti da broker senza scrupoli. In questi casi, i dati personali dettagliati e una cronologia completa della posizione costituiscono un dossier completo sull’utente.

Come proteggersi dal tracciamento degli annunci?

Nella pratica, né leggi severe come il GDPR né le impostazioni della privacy integrate forniscono una protezione completa contro i metodi di tracciamento descritti sopra. Premere semplicemente un pulsante in un’app per disattivare la personalizzazione degli annunci non è nemmeno una mezza misura: è più simile a un decimo di misura. Il fatto è che in questo modo viene rimosso solo un identificatore dai dati di telemetria, mentre il resto dei dati viene comunque inviato agli inserzionisti.

Casi come la fuga di dati di Gravy Analytics e lo scandalo che ha coinvolto il broker di dati Datastream dimostrano la portata del problema. Il settore del monitoraggio degli annunci pubblicitari è enorme e sfrutta quasi tutte le app, non solo i giochi. Inoltre, i dati sulla posizione vengono acquistati da una vasta gamma di enti, dalle agenzie pubblicitarie alle agenzie di intelligence. A volte gli hacker ottengono queste informazioni gratuitamente se un broker di dati non riesce a proteggere adeguatamente i propri database. Per ridurre al minimo l’esposizione dei dati a tali divulgazioni, bisognerà adottare alcune importanti precauzioni:

  • Consentire l’accesso alla posizione solo alle app che ne hanno realmente bisogno per la loro funzione principale (ad esempio app di navigazione, mappe o servizi taxi). Ad esempio, i servizi di consegna o le app bancarie non hanno effettivamente bisogno della posizione per funzionare, tanto meno i giochi o le app per lo shopping. È sempre possibile inserire manualmente un indirizzo di consegna.
  • In generale, è opportuno concedere alle app le autorizzazioni minime necessarie. Non consentire loro di tracciare le attività su altre app e non concedere loro l’accesso completo alla galleria fotografica. È stato sviluppato un malware in grado di analizzare i dati delle foto utilizzando l’intelligenza artificiale e sviluppatori di app senza scrupoli potrebbero potenzialmente fare lo stesso. Inoltre, tutte le foto scattate con lo smartphone includono di default, tra le altre informazioni, anche i geotag.
  • È possibile configurare un servizio DNS sicuro con funzionalità di filtro degli annunci sullo smartphone. Questo bloccherà una quantità significativa di telemetria pubblicitaria.
  • Prova a utilizzare app che non contengono pubblicità. In genere si tratta di applicazioni FOSS (Free Open Source Software) oppure a pagamento.
  • Su iOS, disattiva l’utilizzo dell’identificatore pubblicitario. Su Android, eliminalo o reimpostalo almeno una volta al mese (purtroppo non è possibile disattivarlo completamente). Queste azioni riducono la quantità di informazioni raccolte sugli utenti, ma non eliminano del tutto il tracciamento.
  • Se possibile, evita di utilizzare “Accedi con Google” o altri servizi simili nelle app. Prova a utilizzare le app senza creare un account. Ciò rende più difficile per gli inserzionisti raccogliere le tue attività su diverse app e servizi in un profilo pubblicitario unificato.
  • Riduci al minimo il numero di app installate sullo smartphone ed elimina regolarmente quelle inutilizzate: potrebbero comunque tracciarti anche se non le utilizzi attivamente.
  • Utilizza soluzioni di sicurezza robuste su tutti i dispositivi, come Kaspersky Premium. Questo aiuta a proteggersi dalle app più aggressive, i cui moduli pubblicitari possono essere dannosi quanto uno spyware.
  • Nelle impostazioni Kaspersky dello smartphone, attiva le opzioni Anti-Banner ed Navigazione privata su iOS, oppure Esplorazione protetta su Android. Ciò rende molto più difficile il tracciamento.

Se la sorveglianza tramite smartphone non ti preoccupa ancora, ecco alcune storie agghiaccianti su chi ci spia e su come lo fa:

Leggi Di Più

Tag:

Articolo precedente

*****SPAM***** Your private information has been stolen because of suspicious ev...

Articolo successivo

App nascoste Android: cosa sono e come trovarle

Articoli Correlati

Apple accelera sull’AI: Siri ed Apple Intelligence passano sotto la guida di una veterana di Cupertino

Apple accelera sull’AI: Siri ed Apple Intelligence pass...

Gen 26, 2025  0

Final Fantasy Crystal Chronicles lascia iOS per via di un bug critico

Final Fantasy Crystal Chronicles lascia iOS per via di ...

Feb 14, 2025  0

Sicurezza e controllo con NordLayer: la VPN su misura per le imprese

Sicurezza e controllo con NordLayer: la VPN su misura p...

Mar 10, 2025  0