Ho incontrato lo stesso tweet e mi ha riportato alla mente un esperimento che feci un paio di anni fa in apertura di un mio talk: "sniffando" con un banale wireshark i beacon degli smartphone presenti un aula, intercettai i BSSID che gli astanti utilizzavano o avevano usato. Roba tipo "HOTEL TRE LUNE", "CASA GIANNI" etc...

Questo è possibile perché gli smartphone, così come altri dispositivi, periodicamente inviano dei beacon di richiesta per capire se una delle reti WiFi configurate è attiva e presente nei paraggi. Questo chiaramente comporta un problema di sicurezza, poiché anche randomizzando il MAC (come fanno i dispositivi iOS e anche alcuni Android, se non ricordo male), interpretando i beacon è possibile riconoscere il dispositivo in modo quasi univoco.

Non servono particolari competenze tecniche e sul Web ci sono molti esempi su come fare il tracciamento degli utenti (es https://null-byte.wonderhowto.com/how-to/use-esp8266-beacon-spammer-track-smartphone-users-0187599/).

Tornando alla mia personale esperienza, fu divertente vedere sbiancare uno "studente" quando chiesi: "vedo che qui qualcuno è stato all'hotel XYZ..."

Temo che, in ogni caso, la pratica sia abbastanza diffusa, soprattutto negli store (usata per capire dove i clienti vanno e, quindi, modellare le strategie commerciali di conseguenza). Quantomeno Fiera di Milano ha avuto il buonsenso (che sarebbe un obbligo legale) di dirlo agli utenti.

MP

Il 30/11/22 11:56, Andrea Trentini ha scritto:
Incontro su Twitter questo:
https://twitter.com/prevenzione/status/1597186274603192320

Non sapevo (anche se sospettavo) facessero analisi wifi, trovo singolare (eufemismo) che uno debba spegnere[*] tutto per non farsi tracciare, rinunciando quindi ad un servizio (oltre all'eventuale servizio wifi della fiera, ammesso ci sia) e impedendosi altri usi (ad esempio io potrei avere un cellulare che fa da AP e altre periferiche collegate).

Inoltre, come si può vedere dai commenti al tweet, esistono tanti modi di fare analisi dell'affluenza meno invasivi...

Mah

[*] la frase "disattivando la connessione wifi" non è chiarissima, intende dire di spegnere proprio il wifi o semplicemente di non connettersi al wifi-fiera?

--
Michele Pinassi - Responsabile Cybersecurity
Ufficio esercizio e tecnologie - CSIRT
Università degli Studi di Siena
i...@unisi.it

Attachment: OpenPGP_0x14FC37E53C24B98E.asc
Description: OpenPGP public key

Attachment: OpenPGP_signature
Description: OpenPGP digital signature

_______________________________________________
nexa mailing list
nexa@server-nexa.polito.it
https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa

Reply via email to