La NSA spia i dati raccolti dalle app

Le agenzie di spionaggio degli Stati Uniti e del Regno Unito raccolgono le informazioni condivise da molte applicazioni di successo, compreso Angry Birds

La National Security Agency (NSA), l’agenzia statunitense di spionaggio delle attività all’estero, e la sua omologa britannica GCHQ hanno sviluppato sistemi per spiare le attività svolte dai possessori di smartphone attraverso le loro applicazioni. In questo modo le due agenzie possono ottenere informazioni sui telefoni che si stanno usando e soprattutto sulla posizione, il genere e altre abitudini dei loro proprietari. Il sistema di raccolta dati è stato sviluppato per funzionare soprattutto sui più diffusi Android e iPhone, stando ai nuovi documenti riservati forniti da Edward Snowden, l’ex collaboratore della NSA che ha ottenuto asilo in Russia dopo avere diffuso numerose informazioni sul cosiddetto “datagate”, l’operazione di spionaggio su larga scala condotta per spiare le comunicazioni di centinaia di milioni di persone in giro per il mondo.

Le notizie sui sistemi usati da NSA e GCHQ per ottenere informazioni dalle app sono state diffuse in una serie di articoli dal New York Times, dal Guardian e dal sito ProPublica. Stando ai documenti forniti da Snowden, le due agenzie hanno studiato e sviluppato soluzioni per sottrarre i dati che le applicazioni inviano normalmente tramite la rete a chi le ha realizzate per fornire particolari servizi, o raccogliere informazioni sui loro utilizzatori a scopi pubblicitari. Gli esempi riguardano nella maggior parte dei casi i sistemi Android, ma viene fatto intendere che le stesse soluzioni possono essere applicate su iPhone e altre piattaforme.

Una presentazione PowerPoint della NSA paragona la possibilità di ottenere dati dalle applicazioni a una “pepita d’oro” e spiega che una delle possibilità è data dal sottrarre dati durante il caricamento di una foto su un social network da parte di un utente. Le slide successive dicono come, anche se non forniscono molti dettagli tecnici sulle procedure che sono seguite.

nugget

Quando si scatta una foto con uno smartphone, questo di solito inserisce molte informazioni aggiuntive oltre all’immagine come ad esempio il luogo in cui è stata realizzata, le caratteristiche tecniche della fotocamera e alcuni dettagli del telefono (queste informazioni sono chiamate “tag Exif”). I principali social network eliminano buona parte di questi metadati quando le foto sono caricate da un utente sui loro server, tuttavia per alcuni istanti queste informazioni sono trasmesse dallo smartphone (molto dipende da come sono fatte le singole app) e possono essere intercettate dai sistemi della NSA.

Utilizzando soluzioni simili per altri tipi di applicazioni che inviano dati ai server, spesso senza che gli utenti se ne possano accorgere, la NSA può ottenere molte informazioni su un proprietario di uno smartphone come: luogo in cui vive, posizione geografica, età, genere, stato (sposato, single, divorziato…), orientamento sessuale, livello di istruzione, numero di eventuali figli e reddito. Questi dati sono ottenuti spiando e analizzando le informazioni raccolte dalle applicazioni a fini pubblicitari. Molte app, soprattutto gratuite, si ripagano mostrando agli utenti pubblicità mentre sono utilizzate. Le inserzioni pubblicitarie sono calibrate sui singoli smartphone in modo da mostrare annunci rilevanti per chi li sta utilizzando. L’applicazione invia e riceve periodicamente dati da una agenzia di pubblicità online per affinare i contenuti dei banner e, secondo i documenti, la NSA si inserisce nel mezzo sottraendo le informazioni molto dettagliate sugli utenti.

Nelle slide delle due agenzie di spionaggio viene citato come esempio il caso di Angry Birds, il famoso videogioco scaricato oltre un miliardo di volte sugli smartphone in giro per il mondo. Almeno per una delle versioni del gioco è stata utilizzata l’agenzia di pubblicità online Millennial Media, che a quanto pare raccoglie molte informazioni dalle applicazioni per fornire annunci pubblicitari pertinenti agli interessi di chi le utilizza. L’agenzia negli anni ha collaborato con diversi altri sviluppatori di app, inserendo pubblicità in Farmville, Call of Duty e altri giochi molto famosi e diffusi.

Rovio, la società finlandese che ha inventato AngryBirds, ha diffuso un comunicato dicendo di non essere a conoscenza di alcun programma da parte della NSA o di GCHQ per spiare i dati dei suoi utenti tramite le sue app. Millennial Media non ha risposto alle richieste del Guardian per avere chiarimenti.

gchq-app

La NSA ha realizzato inoltre sistemi per ottenere dati dalle applicazioni che inviano di continuo informazioni sulla posizione geografica degli smartphone, come quella di Google Maps. In questo modo, dicono le slide, è possibile non solo conoscere il luogo in cui si trova ogni utente, ma anche che cosa sta cercando nei paraggi e che strada seguirà per raggiungere la propria meta.

I documenti anche in questo caso non forniscono informazioni dettagliate sui sistemi usati per sottrarre i dati, né spiegano chiaramente con quale frequenza sono raccolti. Una presentazione del 2010 parla di alcuni telefoni Android che inviano le informazioni sulla posizione geografica (raccolta tramite GPS) in chiaro, quindi senza essere criptate e permettendo alla NSA di raccoglierle facilmente.

Le principali società di Internet, a partire proprio da Google, negli ultimi mesi hanno duramente criticato il governo degli Stati Uniti per la raccolta su grande scala di informazioni sui loro utenti, realizzata quasi sempre violando le loro reti. Hanno chiesto nuove regole e maggiore trasparenza nella gestione delle attività da parte della NSA. Lo scorso 17 gennaio, Barack Obama ha annunciato di volere riformare almeno in parte il funzionamento dell’agenzia, ma non ha dato molti dettagli su come intenda farlo e il suo discorso si è concentrato sulla sola raccolta su larga scala dei metadati delle comunicazioni telefoniche.

Le società di Internet statunitensi stanno organizzando iniziative e alleanze per contrastare la raccolta di dati da parte della NSA quando non è giustificata, ma senza la modifica di alcune leggi hanno pochissime possibilità di opporsi. Oltre alla tutela dei diritti fondamentali nella libertà di comunicare, le contrarietà derivano anche dalla necessità di recuperare la fiducia da parte dei loro utenti, dai quali ottengono enormi risorse economiche attraverso il meccanismo della pubblicità.