_ scritto il 06.08.2010 alle ore 12:16 _
20865 letture
Forse non tutti sanno che la famosa
macchina che scandaglia le strade delle nostre città per offrirne un'accurata raffigurazione all'interno del noto servizio
Google Street View non si limita a memorizzare solo la foto a 360 gradi. Oltre ad un utile aggiornamento delle mappe di Google Maps, con l'aggiunta di eventuali punti d'interesse, e la scansione 3D di alcuni edifici tramite laser a bassa frequenza, BigG si premura di raccogliere e salvare il
MAC Address di tutti i router e Access Point WiFi che trova lungo la strada. I motivi di questa raccolta dati, che il sottoscritto non vede troppo di buon occhio sotto il profilo della privacy, esulano dall'argomento di questo post, ma se ne potrebbe discutere a lungo.
L'esperto di sicurezza Samy Kamkar ha scoperto e documentato una vulnerabilità nei router che permetterebbe ad una pagina web opportunamente predisposta di raccogliere l'indirizzo MAC di eventuali apparati WiFi utilizzati dall'utente collegato e, tramite interrogazione dei database di Google, scoprirne
l'esatta ubicazione, con precisione molto elevata.
Sulla pagina web predisposta da Samy per illustrare il procedimento si legge infatti:
[...]
Il metodo funziona così:
1- L'utente visita un sito web maligno (perché la gente è così mediocre?).
2- Il sito web integra un
XSS diretto al suo router (in questo esempio ho usato una
vulnerabilità che ho scoperto nel router Verizon FiOS).
3- L'XSS ottiene l'indirizzo MAC del router attraverso AJAX.
4- L'indirizzo MAC viene poi inviato al gestore del sito maligno. Nell'esempio qui sotto viene inviato a me (non che io sia maligno!).
5- Io prendo l'indirizzo MAC e lo invio ai servizi di localizzazione di Google. Si tratta di servizi basati su HTTP tramite i quali gli indirizzi MAC vengono mappati per approssimare le coordinate GPS provenienti da altre sorgenti di dati.
Il procedimento NON necessita di requisiti speciali del browser e l'utente non ha bisogno di esserne informato. Io ho impostato questo protocollo usando il
Firefox's Location-Aware Browsing.
6- Infine prendo le coordinate e le mostro nella bella mappa che potete vedere qui sotto.
[...]
Chiaramente con questo metodo è possibile individuare solo i dispositivi WiFi che sono stati catalogati da Google Street View e che ricadono all'interno di un paese il cui organo garante per la privacy non ne ha chiesto l'esplicita cancellazione (come ha fatto invece la Federal Data Protection Commissioner tedesca, per fare un esempio). Vale la pena però riflettere su questo concetto espresso da Paolo Attivissimo all'interno dell'articolo da cui ho saputo la notizia:
[...] è un'altra dimostrazione di come l'anonimato su Internet sia sempre più un mito. Chi pensa di poter approfittare della Rete per fare lo stupido senza farsi beccare stia quindi attento.