analisi

IMMUNI, sugli smartphone Android funzionerà solo se hai la geolocalizzazione attiva. E Google ti localizza?

di |

La domanda da porsi è: Google è in grado di associare le notifiche di esposizione da Covid-19 con la posizione degli utenti che utilizzeranno IMMUNI sugli smartphone Android? E Big G potrebbe utilizzare questi dati, ad esempio per il marketing di prossimità?

Una ventina di giorni fa, prima della pubblicazione della scheda tecnica di IMMUNI, abbiamo messo in luce la possibile adozione del GPS per far funzionare l’app (Immuni userà anche il Gps e non solo il Bluetooth?). Quell’articolo nasceva dalla registrazione di un dubbio di non poco conto, e quanto avvenuto nelle ultime ore confermano i nostri timori. 

La domanda da porsi è: Google è in grado di associare le notifiche di esposizione da Covid-19 con la posizione degli utenti che scaricheranno ed utilizzeranno IMMUNI sugli smartphone Android?

Questo è infatti il grave rischio a cui si potrà andare incontro con la scelta del Governo italiano di adottare le API di Google (quelli di Apple non richiedono la geolocalizzazione) per supportare IMMUNI.

Non stiamo dicendo che Google localizzerà e utilizzerà, per altre finalità, i dati di tracciamento personale degli utenti che useranno IMMUNI su Android, ma potrebbe farlo. 

Ha tutta la tecnologia a supporto e nessuna clausola imposta dal governo che ne scongiuri l’uso. E lo Stato italiano si sta fidando della promessa di Google. 

Voi vi fidereste? 

Noi no, considerato il fatto che Google è stato più volte sanzionato con multe milionarie inflitte dalla Commissione europea e da alcuni garanti Privacy europei per la violazione delle norme sulla protezione dei dati personali. (Il link alle multe a Google).

Ma analizziamo tutti i punti della vicenda.

“Perché la geolocalizzazione su Android deve essere attiva?”

Sulla nuova interfaccia Android realizzata per le app di Stato anti Covid-19 Google ha scritto:

“La geolocalizzazione del dispositivo deve essere attiva per poter rilevare i dispositivi Bluetooth nelle vicinanze, ma per le notifiche di esposizione da Covid-19 non viene usata la posizione del dispositivo”.

Tradotto: quando Immuni invierà l’alert alle persone che sono venute tra loro a contatto, per un minimo di 5 minuti a un massimo di 30 minuti, con almeno una di esse risultata positiva al virus, non userà la posizione dei dispositivi. Ma allora perché Google chiede agli utenti di IMMUNI di attivare la geolocalizzazione?

Benché l’app Immuni non richieda l’accesso alla posizione dell’utente, il suo funzionamento si basa sulle Android Exposure Notification API. Queste fanno parte dei Google Play Services che sono responsabili, tra le varie cose, di fornire alle applicazioni autorizzate l’accesso alla posizione dell’utente– ci ha spiegato Giuseppe Broccia, Android Engineer e cofondatore di Longwave.studio – A partire da Android 6.0 (versione minima supportata dall’app IMMUNI) una app che intende effettuare la scansione dei dispositivi Bluetooth nelle vicinanze deve necessariamente ottenere dall’utente l’autorizzazione all’accesso della localizzazione e sullo smartphone devono essere attivi i servizi di localizzazione. Questo vale anche per le suddette Android Exposure API”.

La richiesta di autorizzazione è stata introdotta su Android per chiedere il consenso degli utenti, in quanto tramite la semplice scansione dei dispositivi bluetooth nelle vicinanze è possibile ottenere la posizione dell’utente – ha aggiunto Giuseppe Broccia – Un esempio è quello delle Google Proximity Beacon API e delle Google Places API che consentono di registrare beacon Bluetooth (o di utilizzare quelli pubblici già disponibili) per ascoltare i dati trasmessi, tra cui latitudine e longitudine”.

Il ruolo enorme dei Beacon Bluetooth, dispositivi acchiappa dati che il vostro smartphone non rileva

Google non necessita del GPS, inteso come hardware, per avere una localizzazione dello smartphone, perché lo può fare attraverso i Beacon Bluetooth posizionati nelle città e, in particolare, dei negozi. 

Google Play Services necessitano infatti della geolocalizzazione attiva per effettuare le scansioni dei dispositivi Bluetooth. Per cui Google potrebbe essere in grado di associare le notifiche di esposizione da Covid-19 con la posizione degli utenti che useranno IMMUNI sugli smartphone Android, in quanto esiste anche la possibilità che Google si colleghi ai server IMMUNI (come farebbe IMMUNI stessa) per scaricare la lista delle TEK (Temporary Exposure Keys).

Ma come funzionano i Beacon?

Sono sensori locali che operano su raggi d’azione molto piccoli. Sono elementi che rientrano nell’Internet delle Cose. Interagiscono con il sistema operativo del vostro smartphone, entrano in simbiosi con esso, e lo fanno silenziosamente. I beacon non registrano, trasmettono solamente le proprie informazioni agli smartphone nelle vicinanze. Sono gli smartphone a processare questo dato ricevuto. Come dire che apparentemente il Beacon non trasmette, riceve soltanto e riceve un sacco di informazioni su di voi. Può dare, con un errore di pochi centimetri, la vostra posizione. Può addirittura indicare a quale piano di uno stabile vi troviate. Ma è “undetectable”, non rilevabile, è “muto”: una specie di cannuccia che succhia silenziosamente tutto il succo d’arancia dal bicchiere che avete in mano, una sanguisuga che succhia i vostri dati e di cui voi non vi accorgete. 

Il Beacon dà inoltre costantemente l’associazione tra il vostro ID e la vostra posizione: una geolocalizzazione millimetrica che registra da dove venite, dove siete, dove andate senza alcun uso del GPS. 

E c’è anche il fatto che il proprietario del Beacon raccoglie autonomamente quei dati, solo se il consumatore ha sul telefono una app installata che sfrutta i beacon in questo modo, quantomeno quelli raccolti nel cono d’azione dei propri Beacon. Come dire che se sono in un Centro commerciale, i dati di ogni mio spostamento, i tempi di sosta, le persone con cui interagisco, le vetrine davanti a cui mi fermo, i bar dove mi ristorio, non sono solo registrati dal sistema operativo Android ma anche catturati dal proprietario dei Beacon, che inviano i dati al server del Centro commerciale o del negozio che possiede i Beacon installati.

Viene da chiedersi allora perché in Italia, al momento della scelta della app anti Covid-19, si sia fatta qualche settimana fa quella guerra di religione contro il GPS che avrebbe tracciato gli spostamenti in modo invasivo, per schierarsi a favore della soluzione Bluetooth, che a detta dei tanti esperti esibiti dal governo, sarebbe stata invece rispettosa della privacy.

Al contrario il Bluetooth registra tutto e anche in modo più preciso e trasforma il vostro smartphone in un distributore dei vostri dati personali, anche a Bluetooth spento.

Sebbene per il sistema Android l’opt-in di default è disattivato, ma l’attivazione è obbligatoria per usare varie funzionalità, per cui è molto probabile che l’utente abbia questa impostazione attiva, perché tale consenso è necessario per l’utilizzo di alcune funzionalità di uso quotidiano come assistente vocale, personalizzazione di Google maps, aggiornamenti traffico e altro.

C’è poi il caso di Apple, ugualmente allarmante. 

È proprio di pochi giorni fa l’annuncio di jailbreak del sistema operativo iOS, dell’ultima versione rilasciata.

Che vuol dire? Che un gruppo hacker denominato UncOver ha bypassato i sistemi di sicurezza di Apple, una procedura che consente di prender possesso del sistema operativo e usarlo a proprio piacimento se l’utente l’ha scaricato.

Questo ci colloca in un ambito di sicurezza, a proposito del quale non possiamo non rilevare che la stessa scelta del Bluetooth è la scelta più infausta che si potesse assumere. Per sua definizione il Bluetooth è, agli occhi degli hacker, come il miele per le mosche: il luogo più semplice da sfondare per rubare tutti i dati di questo mondo. E noi dovremmo mettere i nostri dati sanitari in queste mani?

È mai possibile che il premier Giuseppe Conte, il ministro dell’Innovazione Paola Pisano, il Commissario Straordinario Domenico Arcuri e le tante Task-force composte da esimi professori e grandi manager (con qualche portaborse) non avessero un contesto migliore nel quale collocare il sistema di scelte relative alla app di contrasto al Covid-19?

Gli identificativi casuali ed anonimi non sono generati da IMMUNI, ma da Apple e Google

Inoltre Apple e Google promettono, anche attraverso quanto riferito dal Governo italiano, che le “strette di mano digitali” che gli smartphone si scambiano non sono altro, tecnicamente, che identificativi casuali che il dispositivo dell’utente raccoglie e che vengono conservati in un log di esposizione per 14 giorni. 

Il dispositivo utilizzerà così il Bluetooth per trasmettere un identificativo casuale (gli “identificativi Bluetooth”), ossia una stringa di numeri casuali che cambia ogni 10–20 minuti. Gli identificativi, così è spiegato, vengono generati in modo codificato sul dispositivo a partire da una chiave generata casualmente (la “chiave casuale del dispositivo”) che cambia almeno ogni 24 ore per proteggere ulteriormente, a loro dire, la nostra privacy. 

Purtroppo, il problema è che tutti questi identificativi casuali ed anonimi non sono generati da IMMUNI, ma da Apple e Google, il che vuol dire che tutta la procedura si fonda sul fatto di fidarsi di Google ed Apple. 

E voi vi fidereste? 

Gli effetti collaterali e negativi dei Beacon Bluetooth, il caso Google Street View Car

La questione dei Beacon e della geolocalizzazione millimetrica (e quindi il tracciamento di ogni spostamento) che essi consentono è un caso non nato oggi.

Già nel 2010, le “Google Street View Car“, come riportato da Google stessa in un blog post, oltre a raccogliere foto e immagini 3D, collezionavano i dati delle reti Wi-Fi incontrate durante il percorso (MAC addressSSIDs). Tali dati venivano già utilizzati per migliorare i servizi di localizzazione Google, infatti associando il MAC Address del proprio Access point (indirizzo hardware univoco) con la posizione GPS registrata dall’auto, diventa possibile stimare con precisione la localizzazione di un utente tramite una semplice scansione delle reti WiFi nelle vicinanze. 

In quel caso, parliamo del 2010, come riportato da varie fonti (tra cui il Guardian), a seguito di un Data Audit richiesto dalla Data Protection Authority tedesca, si scoprì che Google aveva erroneamente collezionato (a causa di un legacy code parte di un progetto sperimentale) il traffico dati delle reti Wi-Fi in chiaro incontrate durante il percorso. Un bel vantaggio competitivo per Big G…

IMMUNI non è l’app di Stato, è solo un’interfaccia del protocollo di Apple e Google

Ma allora cos’è IMMUNI? Non chiamatela app di Stato.

È, semmai, l’applicazione reference delle API di Apple e Google che consentono le notifiche di esposizione al Covid-19. IMMUNI è solo una grafica personalizzata del protocollo delle due Big Tech.

Google, attraverso l’interfaccia che ha realizzato e che verrà utilizzata dall’app, potrebbe agevolmente venire in possesso dei dati di localizzazione dei cittadini che useranno l’applicazione. 

E come Google potrebbe utilizzare questi dati? Ad esempio per il marketing di prossimità, sempre con il consenso degli utenti.

La soluzione di Apple e Google basata su Bluetooth ed integrata direttamente nei sistemi operativi di iOS e Android, ad emergenza Covid-19 terminata, potrebbe essere utilizzata da altre applicazioni installate dagli utenti (e quindi da aziende di targeting degli annunci pubblicitari), come fa l’app di Tiger, per mandare alert di proximity marketing. E i due Big Tech possono/potranno cedere non gli identificativi degli smartphone, ma possono cedere i “contatti”, ossia il mio “contatto” di circa due-tre minuti con questo o quel prodotto commerciale in questa o quella vetrina o negozio. Come è noto, già da tempo il Bluetooth è usato a scopi di geotracking di prossimità.

Facciamo un esempio di un ipotetico tracciamento commerciale: una società pubblicitaria potrebbe inserire Beacon Bluetooth nei negozi che raccolgono i codici di tracciamento dei contatti emessi dai clienti con i propri smartphone iOS ed Android. 

Se poi l’app della stessa società riceve da Apple e da Google l’accesso all’API, quindi la possibilità della ricostruzione dei “contatti”, non i dati identificativi degli utenti, ma il “contatto” di circa due-tre minuti con i pannolini al supermercato, allora il gioco è fatto.

Nel caso di Google, non conoscendo i dettagli implementativi dei Google Play Services, in quanto non open-source, non è possibile stabilire come questi dati vengano processati.

Viene da chiedersi se governo e Commissario Straordinario si siano dotati di strumenti per controllare eventuali abusi, anche da parte dei due Big Tech. Sarebbe anche utile sapere, nel caso in cui fossero state adottate delle misure, di quali misure si tratti.

Ma purtroppo sappiamo che non è facile avere queste informazioni.

Da giorni chiediamo al Commissario Straordinario Domenico Arcuri, con insistenza e senza alcun successo, la pubblicazione del contratto da egli sottoscritto con la società Bending Spoons proprietaria di Immuni e selezionata dalla ministra Paola Pisano. 

In conclusione, l’intera vicenda relativa alla app IMMUNI va ben oltre la semplice utilizzazione di una soluzione tecnologica di contrasto al Covid-19.

Allo stato attuale nessuno sa quali saranno le code di tale utilizzazione: e nessuno lo sa perché nessuno si è preoccupato di indagare, chiedere, reclamare spiegazioni. Tutto sotto la spinta del “facciamo presto per salvare vite umane”.

Ora siamo in Fase 2. Abbiamo meno vittime da Covid-19. Forse non ci servirà più neanche la app IMMUNI. Ma dal momento che tutte le parti in commedia vogliono usarle, avere qualche elemento di contesto e di governance sarebbe un obbligo, considerato che l’iniziativa riguarda le responsabilità dello Stato e dei suoi organi.