Bomba Apple: le app possono stabilire la posizione degli utenti senza informarli

La scoperta non è di oggi ma risale addirittura a due anni fa, quando un ricercatore cinese ha scoperto quella che sembra a tutti gli effetti una “leggerezza” ancora presente in iOS, capace di impattare significativamente sulla privacy degli utenti. Nella sua breve analisi tecnica, l’esperto mette in evidenza che le applicazioni iOS possono stabilire la posizione degli utenti, con una precisione davvero notevole, senza che questi ne siano in alcun modo consapevoli e informati. Lo studioso ha segnalato il problema già da tempo ai tecnici di Apple e reso pubblica la questione a fine novembre 2023. Tuttavia, la “bomba” è scoppiata soltanto adesso.

Come le app iOS possono geolocalizzare gli utenti senza informarli

In un altro articolo abbiamo visto com’è possibile effettuare una geolocalizzazione IP ovvero come stabilire la posizione degli utenti a partire dall’indirizzo IP pubblico loro assegnato.

Nel novero delle soluzioni per il posizionamento GPS, ci sono anche quelle basate sulla verifica degli hotspot WiFi presenti nelle vicinanze degli utenti. Esaminando i dati relativi agli SSID (nomi identificativi) e ai MAC address degli hotspot wireless limitrofi, è possibile stimare con un’approssimazione ragionevole dove si trova un qualunque utente.

Poiché gli SSID non cambiano di frequente ed è possibile triangolare le informazioni condivise da più punti di accesso WiFi, è stato piuttosto facile comporre database a livello mondiale come Precisely Location By Wi-fi Access Point e Google’s Geolocation API. Entrambi consentono appunto di stimare la posizione degli utenti sulla base degli hotspot WiFi che i loro dispositivi “vedono”, magari abbinando delle valutazioni sulla potenza del segnale rilevato in tempo reale.

L’API HotspotHelper di Apple: perché è “delicata”

Con il rilascio di iOS 9, nel 2015, Apple ha reso disponibile l’API HotspotHelper agli sviluppatori. Consente ai programmatori di realizzare app in grado di interagire con la gestione degli hotspot Wi-Fi e offrire un’esperienza utente più personalizzata.

HotspotHelper offre funzionalità come la possibilità di suggerire reti WiFi, gestire connessioni automatiche e fornire informazioni dettagliate sulle reti disponibili. Gli sviluppatori possono utilizzare questa API per migliorare l’automazione e la personalizzazione delle connessioni WiFi all’interno delle loro applicazioni.

Il codice di esempio pubblicato dal ricercatore asiatico dimostra come l’API in questione permetta agli sviluppatori di ottenere informazioni sulle reti WiFi, come l’identificativo SSID e l’indirizzo MAC. Raccogliendo questi dati, è di fatto possibile tracciare la posizione dell’utente senza il suo consenso e senza che questi ne sia in alcun modo consapevole.

Attivazione automatica e utilizzo da parte di app conosciute

Il ricercatore spiega che l’API HotspotHelper si attiva anche ogni volta che il dispositivo iOS effettua una scansione delle reti WiFi presenti nelle vicinanze. Ciò può avvenire anche quando il melafonino è in tasca o risulta bloccato.

Secondo quanto accertato dall’esperto, applicazioni molto popolari (ad esempio WeChat e Alipay) utilizzerebbero già l’API HotspotHelper sollevando preoccupazioni in materia di privacy.

A conclusione della sua analisi, pur avendo ripetutamente esortato Apple a farsi carico del problema, la società guidata da Tim Cook non avrebbe applicato modifiche significative con la situazione che rimane sostanzialmente inalterata ormai da anni a questa parte.