Italiani in vacanza, pericolo A-GPS

L’Assisted GPS (o A-GPS) consente di velocizzare l’aggancio dei canali ma può anche essere una porta d’ingresso per hacker e male intenzionati
Seppur in numero minore gli italiani non rinunciano alle vacanze. Mare, montagna o semplici villeggiature al fresco dal torrido cittadino sono le mete preferite per staccare la spina. Dei milioni di vacanzieri molti si affidano al navigatore satellitare per giungere a destinazione. La precisione delle mappe e la velocità di “fix” è giunta ad un livello qualitativo tale da guidare anche i meno tecnologici ed esperti. Il vantaggio di navigare guidati da uno strumento esterno è doppio se poi è integrato nello smartphone (o tablet). Da TomTom a Sygic passando per Navigon e la social-app Waze, c’è un tale ventaglio di scelta da accontentare praticamente chiunque.
La scoperta
Non tutti sanno però che il GPS, nella sua forma “assistita” può rappresentare un problema per chiunque tenga alla propria privacy. Un ricercatore dell’Università del Lussemburgo, Ralf-Philipp Weimann, ha riferito pochi giorni fa durante la conferenza dedicata alla sicurezza informatica Black Hat, di aver scoperto una certa vulnerabilità negli smartphone che utilizzano l’A-GPS. Egli ritiene che il complesso meccanismo attraverso cui i moderni telefoni ottengono le correzioni geografiche durante l’utilizzo di app specifiche possa nascondere un pericolo di ingresso dannoso da parte di male intenzionati che potrebbero installare ed eseguire software maligno sul dispositivo.
Gli smartphone non utilizzano esclusivamente i satelliti GPS per determinare la loro posizione: L’operazione è talmente complessa che possono volerci anche 12 minuti per localizzare l’utenza su una mappa, solo per la prima volta. E’ per questo che per fare ciò viene utilizzata una speciale tecnologia, chiamata Assisted GPS o A-GPS per velocizzare il processo di acquisizione della posizione. In questo caso è la rete cellulare a fornire una posizione approssimativa dell’utente che poi viene perfezionata dal modulo GPS. E’ questo il motivo per il quale alcune app (su sistema operativo Android) consentono di localizzare lo smartphone anche senza il GPS acceso.
Scambio dati non sicuro
Weimann ha scoperto che i dati che viaggiano tra il telefono e la sua rete non utilizzano una connessione protetta ma un collegamento insicuro. Questo rende possibile ingannare un telefono, mentre è in corso uno scambio dei dati A-GPS, per far passare altre informazioni. Usando questo metodo un male intenzionato potrebbe installare software maligno in grado di trasmettere le posizioni A-GPS del dispositivo ogni volta che questo viene attivato. Lungi dall'essere solo una formulazione teorica, il ricercatore ha mostrato come il processo è davvero pericoloso e potenzialmente soggetto ad intrusioni esterne. Egli ha mostrato come molti smartphone inviino i dati A-GPS utilizzando il processore principale e non solo il chip GPS dedicato a questo tipo di comunicazioni- Questo vuol dire che gli stessi messaggi di scambio possono essere intercettati e utilizzati per attivare processi esterni che permetterebbero al dispositivo di essere comandato a distanza.
Volendo essere lungimiranti (e meno catastrofisti di quel che si pensi) si può immaginare una banda di ladri-hacker che riesce ad intrufolarsi negli smartphone delle vittime e vedere su una mappa quando escono di casa e quanto distanti sono. A questo punto non è difficile immaginare la semplicità con la quale potrebbero entrare nell’appartamento e rubare ciò che vogliono. Un problema globale che sembra aver riscosso l’attenzione dei presenti alla Black Hat tanto da auspicare un intervento prossimo degli stessi sviluppatori software e aziende produttrici per cercare di chiudere in qualche modo (scambio cifrato?) la falla dell’A-GPS troppo sbarazzino.
Android e iOS
Per ora, anche se il problema è solo all’orizzonte, potrebbe essere un buon consiglio quello di non utilizzare l’opzione A-GPS del proprio smartphone o tablet. Su Android basta andare in Impostazioni poi in Servizi per la posizione e disattivare Posizioni di Google cioè l’opzione che “consente alle applicazioni di utilizzare i dati da sorgenti quali reti Wi-Fi e mobili per determinare la posizione approssimativa dell’utente”. Su iOS (iPhone e iPad) non esiste un’opzione del genere perché Apple ha implementato l’A-GPS “dentro” il GPS. Nessuna soluzione allora? Non proprio con questo trucchetto: ogni volta che utilizzate il navigatore potete andare in Impostazioni, Generali, Reti e disattivare la connessione Dati Cellulare, ovviamente non bisogna essere connessi nemmeno ad una rete Wi-Fi, in questo modo il telefono utilizzerà solo i dati GPS per il fix della posizione. Un po’ macchinoso ma forse ne vale la pena no?

[via]