Due ricercatori, Adam Podgorski e Milind Bhargava (Deloitte Canada), durante un intervento alla conferenza SecTor di Toronto, hanno dimostrato di essere riusciti a raccogliere informazioni personali su un gran numero di utenti che usano il software per la navigazione anonima Tor sui dispositivi Android.
Le asserzioni di Podgorski e Bhargava andranno sicuramente verificate con attenzione ma i due esperti, dopo aver impostato una serie di exit node sotto il loro diretto controllo, sono arrivati a sostenere che il 30% dei dispositivi Android farebbe uso di Tor.
Com’è possibile se la maggior parte degli utenti non conosce neppure l’esistenza e le finalità del network Tor (vedere Tor Browser, cos’è e come funziona la nuova versione del programma)?
Secondo la tesi illustrata dalla coppia di ricercatori, sarebbero tante le app che si connettono alla rete Tor per scambiare dati senza che l’utente ne sia assolutamente consapevole.
Bhargava ha inoltre spiegato che gli exit node da loro configurati sono stati impostati in maniera tale da effettuare un downgrade delle connessioni HTTPS ogni volta che ciò risultava tecnicamente possibile. Alcuni siti e servizi web sono infatti raggiungibili sia via HTTP che HTTPS: l’espediente utilizzato da Podgorski e Bhargava, peraltro ampiamente noto, avrebbe permesso ai ricercatori di raccogliere informazioni in molti casi davvero personali.
Si parla di informazioni sulla geolocalizzazione, indirizzi Internet, numeri di telefono e addirittura tasti premuti dagli utenti.
Ovviamente se il sito web o il servizio non permettono il downgrade della connessione HTTPS, nessuna informazione potrà essere raccolta da parte di terzi.
Morale? Evidentemente molte applicazioni Android non trasferiscono, ancora oggi, i dati in forma cifrata scambiandoli invece su connessioni in chiaro; inoltre, accertarsi di usare protocolli sicuri per qualunque comunicazione è sempre fondamentale.
Insomma, con un po’ di creatività i due ricercatori sarebbero riusciti ad acquisire dati all’insaputa degli utenti su una rete, qual è Tor, che è stata ideata proprio per tutelare al massimo l’identità e la privacy di ciascun utilizzatore.
A questo punto, l’utilizzo della rete Tor da parte delle app Android e il problema legato alla potenziale esposizione dei dati dovrà essere oggetto di ulteriori verifiche e approfondimenti. Perché se l’accesso ai dati è banale nel caso in cui il servizio richiesto non usi le opportune precauzioni (ad esempio per evitare il downgrade della connessione cifrata), non è chiaro quante e quali applicazioni Android si appoggino alla rete Tor (e per quali finalità) senza informare gli utenti.