Nell’articolo di Amit Weigman, Chief Technology Officer (CTO) di Check Point Software, viene analizzata la nuova funzionalità di Meta, Instagram Friend Map, mettendone in luce i potenziali rischi. L’esperto evidenzia una doppia minaccia: il pericolo fisico e lo sfruttamento digitale.
Scopriamo di cosa si tratta e come possiamo proteggerci da questa nuova insidia.
Buona lettura!
Instagram può essere divertente, ma attenzione ai rischi della nuova funzionalità Friend Map di Meta
Il lancio della nuova funzione di Instagram “Friend Map”, la mappa degli amici, è stato promosso come un modo divertente per vedere dove si trovano gli amici e scoprire i luoghi di ritrovo condivisi, ma ha anche suscitato preoccupazioni: la condivisione della posizione non è solo una questione di comodità, ma riguarda anche la sicurezza e il controllo dei propri dati personali.
Sebbene Meta sottolinei che la funzione sia facoltativa, la realtà è che abilitarla può sfumare il confine tra rischi per la privacy digitale e minacce alla sicurezza fisica, esponendo gli utenti a potenziali attacchi mirati, stalking e profilazione indesiderata. Il modo in cui la funzione è progettata, combinato con le pressioni sociali che guidano il comportamento su Instagram, può avere come conseguenza il fatto che anche gli utenti più cauti possano finire per rivelare più di quanto avrebbero voluto sui propri spostamenti e abitudini.
La nuova funzione Instagram Map (Instagram.com)
Quando è abilitata, Instagram Map acquisisce due tipi principali di dati di localizzazione:
- Registri di posizione attivati dall’app: la posizione più recente viene registrata quando si apre o si rientra nell’app Instagram.
- Dati di posizione basati sui contenuti: tutti i Reels, le Storie o i post del feed contrassegnati con una posizione vengono indicizzati e collegati al profilo dell’account.
Queste voci formano una cronologia dei movimenti con indicazione dell’ora, anche se non si tratta di un tracciamento GPS continuo. Nel corso del tempo, l’inserimento ripetuto delle stesse coordinate consentono di dedurre con precisione gli indirizzi di casa e di lavoro, le abitudini di viaggio e i luoghi frequentati.
Questi dati di localizzazione sono archiviati centralmente sui server di Meta come parte della stessa infrastruttura che supporta Instagram, Facebook, Messenger e altri servizi. Meta non ha specificato esattamente per quanto tempo conservi questi dati, utilizzando invece la vaga espressione “per tutto il tempo necessario” per coprire la fornitura di servizi, l’analisi, la conformità e gli scopi commerciali. A differenza dei servizi di localizzazione che mettono al primo posto la sicurezza, queste informazioni non sono sotto crittografia end-to-end, il che significa che i sistemi di Meta e potenzialmente i suoi dipendenti possono accedervi. La centralizzazione rende inoltre questi dati un obiettivo allettante per i criminali informatici. In caso di violazione, gli aggressori potrebbero sottrarre non solo nomi utente e password, ma anche una mappa dettagliata dei luoghi in cui si sono recati milioni di utenti.
Poiché Instagram fa parte del più ampio ecosistema pubblicitario di Meta, i dati possono anche essere incrociati con il profilo comportamentale più ampio di un utente. Questa integrazione consente un targeting pubblicitario estremamente granulare, in cui un inserzionista potrebbe, ad esempio, raggiungere le persone che frequentano una determinata palestra nei giorni feriali o un bar specifico il sabato mattina. La stessa precisione di questo tipo di marketing consente anche forme più dannose di targeting.
La doppia minaccia: rischio fisico e sfruttamento digitale
I rischi della condivisione della posizione rientrano in due grandi categorie e il pericolo deriva dal fatto che possono sovrapporsi. Dal punto di vista fisico, rivelare la propria posizione può consentire stalking, molestie o contatti personali indesiderati. Un aggressore che rileva modelli come il tragitto quotidiano casa-lavoro, il bar preferito o il percorso abituale per fare jogging può utilizzare queste informazioni per pianificare un incontro. I criminali hanno anche sfruttato i tag di posizione dei social media per identificare quando qualcuno è lontano da casa, programmando i furti con scasso per quando una proprietà è probabilmente vuota. Per i minori, la posta in gioco è ancora più alta, poiché i predatori possono identificarli, rintracciarli e avvicinarli se la loro posizione è visibile a un vasto pubblico.
Dal punto di vista digitale, i dati di localizzazione diventano un potente strumento di profilazione. La piattaforma pubblicitaria di Meta può unirli alla cronologia di navigazione, ai registri degli acquisti e ai dati demografici per creare segmenti di pubblico altamente specifici. Sebbene ciò possa rendere gli annunci più pertinenti, crea anche opportunità per disinformazione mirata, truffe e tentativi di phishing che sfruttano la cronologia delle posizioni per creare falsa fiducia. Gli attori malintenzionati possono utilizzare i modelli di posizione per dedurre convinzioni politiche, affiliazione religiosa o elementi legati alle condizioni di salute, e quindi creare contenuti persuasivi e manipolatori su misura per tali ipotesi. Gli stessi dati che aiutano un marketer a prevedere le vostre abitudini relative al caffè potrebbero aiutare un malintenzionato a identificare quando e come agire.
Poiché Instagram Map è completamente integrato nel più ampio ecosistema Meta, una violazione o una compromissione di un servizio connesso come Facebook o Messenger potrebbe esporre indirettamente i vostri dati di localizzazione. Questa struttura interconnessa espande la superficie di attacco ben oltre quella che presenterebbe un’app autonoma.
Altri servizi di condivisione della posizione: Snapchat e Find-My
A prima vista possono sembrare simili, ma i loro obiettivi di progettazione, i modelli di privacy e i profili di rischio sono fondamentalmente diversi.
Find My di Apple è ampiamente considerato lo strumento di condivisione della posizione più sicuro per i consumatori. Utilizza la crittografia end-to-end in modo che le coordinate di posizione siano crittografate sul dispositivo del mittente e possano essere decrittografate solo dal dispositivo del destinatario previsto. Nemmeno i server di Apple possono leggere i dati di posizione in transito o inattivi. L’accesso è limitato ai contatti approvati tramite scambi di chiavi crittografiche collegate agli ID Apple. La funzione è stata creata per uno scopo specifico: la sicurezza personale e il recupero dei dispositivi. Non è destinata all’interazione sociale o alla pubblicità, il che riduce qualsiasi incentivo a memorizzare o elaborare i dati di localizzazione oltre quanto necessario per la sua funzione principale.
Anche Snap Map di Snapchat è una funzione opzionale, ma ha una storia documentata di abusi in casi di stalking e molestie. Anche con impostazioni di privacy come la modalità Ghost, alcuni aggressori determinati hanno sfruttato Snap Map per trovare e affrontare gli utenti di persona.
Instagram Friend Map differisce in tre modi significativi. In primo luogo, integra i dati di localizzazione nell’intero ecosistema di Meta, consentendo di collegare la cronologia delle posizioni a un’ampia gamma di informazioni personali. In secondo luogo, opera all’interno di una piattaforma basata sulla pubblicità, creando un incentivo commerciale per raccogliere, analizzare e conservare i dati di localizzazione. In terzo luogo, Meta ha subito diverse violazioni di dati su larga scala negli ultimi sei mesi, rendendola un bersaglio appetibile per gli aggressori che desiderano profili di localizzazione dettagliati e utilizzabili.
Mappa degli amici o mappa delle minacce?
Dal punto di vista dell’intelligence sulle minacce, Instagram Friend Map sta già attirando l’attenzione di malintenzionati. Già poco dopo il lancio della funzione, nei forum clandestini sono apparse discussioni sul reverse engineering dell’interfaccia di programmazione dell’applicazione (API) per capire esattamente come vengono memorizzati e trasmessi i dati di localizzazione. Altre conversazioni si sono concentrate sui metodi per raccogliere grandi volumi di coordinate degli utenti, incrociarli con informazioni di intelligence open source e de-anonimizzare gli individui.
Queste tecniche non sono nuove. Rispecchiano metodi utilizzati in incidenti precedenti, come i casi di sfruttamento di Snapchat, i furti con scasso abilitati dai geotag di Instagram e Facebook e la fuga di notizie sulla mappa termica di Strava che ha rivelato inavvertitamente le posizioni delle installazioni militari.
La rapidità con cui questa attività è emersa evidenzia l’alto valore che gli aggressori attribuiscono ai dati di localizzazione. Il rischio non si limita alla semplice conoscenza della posizione di una persona in un dato momento. Si tratta di collegare quella posizione a ogni altra informazione disponibile, creando un profilo dettagliato e sfruttabile dell’individuo.
Come difendersi
La consapevolezza è la prima linea di difesa, ma spesso è proprio qui che gli utenti falliscono. Molti utenti di Instagram, in particolare i più giovani, non comprendono appieno che abilitare la condivisione della posizione può rendere i loro spostamenti visibili a persone che conoscono a malapena. Gli elenchi dei follower vengono raramente controllati e le impostazioni vengono spesso lasciate predefinite. La pressione dei coetanei può spingere ulteriormente gli utenti ad accettare senza considerare i rischi. Questo divario tra consapevolezza e comportamento rende gli account vulnerabili, trasformando una funzione social in una potenziale minaccia alla sicurezza.
Impostazione delle preferenze di condivisione della posizione
È possibile adottare diverse misure per ridurre l’esposizione:
- Disattivare la condivisione della posizione: andare su Messaggi → Mappa → Impostazioni e impostare Condivisione posizione su “Nessuno”.
- Limitare le autorizzazioni del dispositivo: nelle impostazioni sulla privacy del telefono, impostare l’accesso alla posizione di Instagram su “Durante l’utilizzo dell’app” o disattivarlo completamente.
- Controllare regolarmente i follower: rimuovere chiunque non si conosca o di cui non ci si fidi nella vita reale.
- Controllo dei genitori: i genitori dovrebbero utilizzare il Centro famiglia di Instagram per monitorare le impostazioni di posizione dei minori e limitare la condivisione solo ai contatti fidati.
- Considerarlo come una situazione contingente: se si abilita la condivisione della posizione per uno scopo specifico, disabilitarla immediatamente dopo per evitare di creare una cronologia delle posizioni a lungo termine.
di Amit Weigman, Chief Technology Officer (CTO) di Check Point Software
