RETI & SISTEMI

Elusione del tracciamento Wi-Fi

Lo studio della US Naval Academy offre uno spaccato sulla funzionalità di randomizzazione degli indirizzi MAC degli smartphone più venduti

Nel 2017 Ellis Fenske, Dane Brown, Jeremy Martin, Travis Mayberry, Peter Ryan ed Erik Rye della US Naval Academy condussero una ricerca sulla randomizzazione degli indirizzi MAC nei dispositivi mobili.

La randomizzazione degli indirizzi del Media Access Control è un processo mediante il quale l’identificativo del dispositivo di rete viene sostituito con un altro codice generato casualmente così da non esser tracciabile da parte degli inserzionisti.

I risultati furono deludenti al punto che la randomizzazione non permetteva di tutelare adeguatamente la privacy dell’utilizzatore di ogni smartphone.

Tre anni dopo quello stesso gruppo di ricercatori ha analizzato nuovamente 160 dispostivi presenti sul mercato per vedere se vi fossero stati dei miglioramenti.

Qualcuno forse resterà stupito, qualcuno meno – specialmente tra gli esperti di privacy – ma il risultato non è stato quello sperato: sebbene si sia registrato un miglioramento, le vulnerabilità derivanti dal tracciamento non sono state adeguatamente mitigate.

I ricercatori hanno affermato che “I risultati mostrano che, sebbene i telefoni nuovissimi, con sistemi operativi aggiornati, generalmente forniscano un alto grado di privacy ai propri utenti, ci sono ancora molti telefoni ampiamente utilizzati oggi che non impediscono efficacemente il monitoraggio”.

Normalmente le radio wi-fi inviano richieste ai dispositivi per identificare i punti di accesso alla rete ed il telefono comunica il suo indirizzo MAC a 48 bit in modo tale che, qualora si colleghi nuovamente a quella rete, venga riconosciuto. Per limitare il rischio di un simile tracciamento i produttori dei dispositivi hanno iniziato a utilizzare la randomizzazione degli indirizzi MAC a 46 bit – gli altri due bit rimangono fissi – in maniera tale da ovviare a questo inconveniente.

All’inizio l’attenzione si concentrò sulla randomizzazione dell’indirizzo MAC pre-associazione, nel momento in cui un dispositivo utilizza un identificatore casuale prima di associarsi a un punto di accesso, e successivamente utilizza un identificatore coerente.
Più recentemente si è arrivati alla randomizzazione degli indirizzi MAC per rete.

In primis fu Apple che, nel 2014, per prima implementò la randomizzazione degli indirizzi. Android dapprima nella versione 9 aggiunse il supporto per la randomizzazione degli indirizzi MAC per rete come opzione sviluppatore poi a settembre 2019, con l’avvento di Android 10, ha previsto la randomizzazione degli indirizzi MAC pre-associazione come impostazione predefinita.

La risposta da Cupertino non si è fatta attendere e con il rilascio di iOS 14, nel settembre 2020, Apple ha adottato la randomizzazione degli indirizzi MAC per rete, creando di default un identificatore univoco per ogni rete, non soltanto quelle nuove.

Il problema resta quello della mancanza di un approccio standard per la risoluzione del problema, al punto che non solo tra produttori si registrano metodologie differenti di randomizzazione, ma anche tra differenti versioni dello stesso sistema operativo.

Complessivamente si può affermare che la maggior parte dei dispositivi mobili testati non comunicano con i punti di accesso alla rete quando il Wi-Fi è disabilitato, tuttavia vi sono delle eccezioni rappresentate principalmente da alcuni dispositivi Sony e Motorola.
A differenza loro, i dispositivi Apple e Samsung si sono dimostrati i più coerenti in termini di randomizzazione degli indirizzi MAC.

Secondo i ricercatori questo rappresenta un enorme passo in avanti rispetto alla rilevazione precedente, ma l’obiettivo è ancora lontano: Ellis Fenske ha dichiarato che il punto d’arrivo saranno gli indirizzi per connessione che cambiano nel tempo, in maniera tale da proteggere gli utenti dal tracciamento su una rete aziendale o universitaria o WiFi municipale.

Back to top button