BLOG 24Care - 24Care

24 Care Srl - PI & CF 10185010963
Vai ai contenuti

NSA: attenzione ai dispositivi che raccolgono dati sulla posizione

24Care Srl
Pubblicato da Chinmay Rautmare in CURIOSITA' · 3 Agosto 2020
Tags: dispositivicheraccolgonodatisullaposizione
La US National Security Agency ha emesso un avviso che avverte coloro che lavorano nei settori della sicurezza e della difesa nazionale per mitigare i rischi posti dai dispositivi mobili e Internet of Things, insieme alle app, che raccolgono dati sulla posizione.


"Gli utenti dovrebbero essere consapevoli di questi rischi e agire in base alla loro situazione specifica e alla tolleranza al rischio", secondo l'avviso emesso martedì. "Quando l'esposizione della posizione potrebbe essere dannosa per una missione, gli utenti dovrebbero dare la priorità al rischio della missione e applicare le mitigazioni del monitoraggio della posizione nella misura più ampia possibile. Sebbene la guida in questo documento possa essere utile a un'ampia gamma di utenti, è intesa principalmente per [Nazionale Strategia di sicurezza / Dipartimento della Difesa] utenti del sistema. "

I dispositivi mobili, come smartphone e tablet, utilizzano una serie di tecnologie, tra cui il segnale cellulare stesso, GPS, WiFi e Bluetooth, per determinare la posizione dell'utente. L'NSA osserva che la disattivazione di alcuni di questi servizi può aiutare a ridurre la quantità di dati sulla posizione che un dispositivo trasmette. Ma osserva: "Anche se tutte le radio wireless sono disabilitate, numerosi sensori sul dispositivo forniscono dati sufficienti per calcolare la posizione. La disabilitazione completa di [Bluetooth] potrebbe non essere possibile su alcuni dispositivi, anche quando esiste un'impostazione per disabilitare BT. Quando la comunicazione è ripristinato, le informazioni salvate possono essere trasmesse. "


La NSA osserva che, poiché gli smartphone e altri dispositivi mobili si fidano intrinsecamente delle reti cellulari, i fornitori di servizi ricevono un flusso costante di dati da vari dispositivi, che possono rivelare dati sulla posizione e altri dettagli sull'utente.

Per effettuare chiamate 911 in caso di emergenza, questa è una funzione utile. La NSA rileva, tuttavia, che i provider vendono i dati degli utenti, inclusi i dati sulla posizione, e che una terza parte potrebbe intercettare i segnali cellulari utilizzando una stazione base disponibile in commercio.

"Le stazioni base disoneste disponibili in commercio consentono a chiunque nell'area locale di ottenere in modo economico e semplice dati di localizzazione in tempo reale e di tracciare gli obiettivi", secondo l'NSA. "Questa apparecchiatura è difficile da distinguere dalle apparecchiature legittime e i dispositivi tenteranno automaticamente di connettersi ad essa se è presente il segnale più forte."

L'NSA rileva inoltre che la disattivazione dei servizi di localizzazione all'interno di un dispositivo mobile non disabilita automaticamente il GPS poiché il sistema operativo può ancora connettersi ai servizi per determinare la posizione del dispositivo. Bluetooth e WiFi possono anche determinare la posizione di un utente se non è disattivato o disabilitato.


L'allerta della NSA rileva che i dispositivi IoT - inclusi smartwatch, fitness tracker, dispositivi domestici, attrezzature mediche e servizi automobilistici - trasmettono i dati sulla posizione più o meno allo stesso modo dei dispositivi mobili (vedi: IoT Paradise di An Attacker: miliardi di dispositivi non sicuri ).

Molti dispositivi IoT hanno falle di sicurezza perché non ricevono aggiornamenti di sicurezza dai loro produttori, le note di avviso. Inoltre, i dispositivi collegati tenteranno di caricare i dati su un servizio cloud, il che crea un altro modo per un dispositivo di divulgare i dati sulla posizione a terzi.

"Tali dispositivi IoT possono essere difficili da proteggere; la maggior parte non ha modo di disattivare le funzionalità wireless e poca o nessuna protezione integrata", osserva NSA. "Questi problemi di sicurezza e privacy potrebbero far sì che questi dispositivi raccolgano ed espongano informazioni sensibili sulla posizione su tutti i dispositivi che sono entrati nel raggio dei dispositivi IoT".

L'avviso NSA offre avvisi simili sulle app e sul tipo di dati che possono raccogliere.

La NSA offre un elenco di controllo dei modi per ridurre al minimo la quantità di dati sulla posizione che un dispositivo può raccogliere che include:

Disabilita le impostazioni dei servizi di localizzazione sul dispositivo.
Disattiva Bluetooth e WiFi quando non sono necessari.
Dai alle app il minor numero di autorizzazioni possibile.
Disattiva le autorizzazioni per la pubblicità.
Disattiva le impostazioni che consentono di rintracciare un dispositivo smarrito, rubato o fuori posto.
Riduci al minimo la navigazione web su questi dispositivi e imposta la privacy del browser e le impostazioni di posizione delle autorizzazioni per ridurre al minimo i dati sulla posizione.
Usa una VPN.
Ridurre al minimo la quantità di dati con le informazioni sulla posizione archiviate nel cloud.


A febbraio, la Federal Communications Commission ha rilevato che uno o più operatori wireless statunitensi hanno violato la legge federale vendendo i dati sulla posizione dei consumatori a terzi (vedere: FCC: Operatori wireless violati dalla legge condividendo i dati sulla posizione ).

Gli esperti di sicurezza e privacy hanno anche sollevato preoccupazioni sull'uso dei dati sulla posizione nelle app di tracciamento dei contatti utilizzate nella lotta contro COVID-19 (vedi: I dati sulla posizione devono essere utilizzati nella battaglia contro COVID-19? ).

Nel frattempo, il problema di come i dispositivi e le applicazioni raccolgono e archiviano i dati degli utenti ha fatto notizia negli ultimi giorni.

Ad esempio, il presidente Donald Trump ha minacciato di vietare l'app per social media TikTok negli Stati Uniti, citando la quantità di dati, inclusi i dati sulla posizione, che il servizio apparentemente raccoglie e archivia in Cina. Secondo quanto riferito, Microsoft sta prendendo in considerazione l'acquisto di TikTok (vedi: Microsoft potrebbe essere la privacy e la sicurezza di TikTok ).



Torna ai contenuti