La privacy su Meta? Mera illusione!

È nato un nuovo giorno e, anche oggi, Signorina37 ci regala il suo particolarissimo modo di leggere i fatti. La notizia è di cronaca, ma per interpretarla correttamente servono occhi allenati, esperti, consapevoli e disillusi.

Claudia condivide tutti i sentimenti che un semplice piccolo pixel è in grado di suscitare in lei.

Personalmente ritengo questo un punto di svolta: non sarà più possibile dire "non l'ho fatto apposta" oppure "è solo un bug, ora lo correggiamo" e nemmeno "è stato un jr developer in stage". Da oggi, possiamo tranquillamente etichettare un'azienda e tutti i suoi prodotti come malefici.

La cosa peggiore, imho, è che chi dovrebbe intervenire immediatamente ed energicamente non stia facendo assolutamente nulla, se non qualche conferenza sponsorizzata proprio dalle aziende malefiche in questione.
Tristezza!

CB

Ho una routine consolidata, frutto di anni di tweaking e aggiustamenti del momento. Parto con la sveglia migliore del mondo (altro che uccellini e suoni della natura!), insulina, colazione, podcast informativi, notizie del giorno. Stamani ho invertito gli ultimi due fattori, convinta che il risultato non cambiasse.. ho sputato il caffé!

Posate tazze e bicchieri, la cosa è peggiore del previsto. Succede che un team di ricercatori delle università di Radboud, KU Leuven e IMDEA Networks ha scoperto che le app Android di Facebook e Instagram sfruttavano vulnerabilità nei meccanismi di privacy per raccogliere dati di navigazione web degli utenti. Nessuna novità, questo genere di app colleziona spesso user behaviour e gestures per profilarci al meglio. Queste invece, raccolgono dati anche quando le app non sono attive (https://www.washingtonpost.com/technology/2025/06/06/meta-privacy-facebook-instagram/).

E come lo fanno? Chi bazzica il mondo del marketing e dei social media manager sa che il "Meta Pixel" (esiste, e per la vostra salvezza, disfatevene!), integrato in milioni di siti web, agisce come un meccanismo nascosto di tracciamento. Viene installato e configurato in maniera semplice da chi vuole tracciare i comportamenti - non è che sia così nascosto, in verità: ci sono estensioni per browser che aiutano persino a potenziarlo. Succede però che pure con le app chiuse, il Pixel riusciva a ricollegarsi al dispositivo Android, eludendo l’isolamento delle app imposto dal sistema operativo (aka chiudi app = smetti di inviare laqualunque al sito). Incuriositi e, forse pensando fosse un bug, i ricercatori hanno simulato il comportamento di un browser per scoprire che i dati di navigazione potevano essere intercettati a insaputa dell’utente.

Si chiama data siphoning Disclaimer: se non sei avvezzo, sei facilmente impressionabile, hai la pressione alta o semplicemente sei di cattivo umore, salta questo spiegone tecnico!

Il data siphoning è, letteralmente, l’estrazione furtiva e non autorizzata di informazioni sensibili da un sistema o rete, spesso eseguita in modo silenzioso/nascosto per eluderne la rilevazione.

Le tecniche più note ed usate sono:

• Slow Drip (esfiltrazione a goccia), ovvero un trasferimento lento e graduale di piccoli pacchetti di dati, per evitare di essere rilevati dai sistemi di sicurezza e dai controlli di consumo (grosse quantità di dati, in un consumo a Giga, vengono notati);
• Steganographic Siphoning (sifonamento steganografico), sono dati nascosti all’interno di file apparentemente innocui (come le immagini o i documenti PDF), usando tecniche di steganografia;
• Cloud-based Channels, utilizzando Google Drive, Dropbox, OneDrive e tutti quei servizi non cifrati di archiviazione, come canali di esfiltrazione, mascherando l’attività come traffico legittimo (come la sincronizzazione);
• Browser credential & session hijacking (furto di cookie e sessioni da browser), tramite RAT come Cobalt Strike, i criminali sottraggono sessioni attive e credenziali direttamente dal browser;
• Memory-based collection (raccolta dalla memoria volatile - la RAM), l'strazione di password o di chiavi direttamente dalla memoria avviene evitando scritture su disco;
• Air-Gap bypass, raro, lo preciso subito! È l'utilizzo di tecniche molto avanzate (onde elettromagnetiche o suoni - astenersi terrapiattisti, complottisti e bischeri, si parla di side channel attack reali) per esfiltrare dati da sistemi isolati fisicamente.

Di questa ultima tecnica cito una notizia di questi giorni, in cui gli attaccanti utilizzano attacchi agli smartwatch per rubare i dati da sistemi chiusi e non accessibili a reti di alcun tipo. Sì, tipo Ethan Hunt nel primo M:I alle prese con il recupero della lista dei NOC a Langley (qui: https://www.bleepingcomputer.com/news/security/smartattack-uses-smartwatches-to-steal-data-from-air-gapped-systems/).

Ora, perché non è grave, ma gravissimo?

• è una violazione diretta del sandboxing di Android, del tutto simile a un comportamento da malware
• nemmeno le impostazioni di privacy avanzate erano in grado di bloccare questo canale di comunicazione nascosto
• la raccolta dei dati avveniva senza alcuna interazione da parte dell’utente - e senza che ne fosse a conoscenza

Che cosa fare? Sui dispositivi Android - su Apple non è stata riconosciuta questa "feature" (ancora):

• evita di usare Chrome: meglio browser più orientati sulla privacy come DuckDuckGo, SnowHaze, Brave
• evita di usare le app: anche se native, le app non limitano l'accesso ai dati, registrando molto di più di quel che si crede. Meglio quindi utilizzare il sito web, con estensioni sul browser per la limitazione del tracking*
• meglio ancora sarebbe non usare nemmeno i prodotti Meta (Facebook, Instagram, Threads) - se volte chiudere l'account, prima di tutto cancellate i post e le foto (sì, è lunga, ma internet e Zuckerberg non dimenticano), richiedete un archivio dei vostri dati, cambiate (a scanso di sorprese e leakage) nome, nome utente, password e email, chiedete la chiusura e la cancellazione dell'account.

Questa non è una vulnerabilità, non è un problema da poter aggirare: rappresenta un fallimento sistemico nella protezione della privacy degli utenti. Anche se non usi attivamente Facebook o Instagram, il Meta Pixel può comunque monitorare la tua attività online e farti tracciare. Rimpiango le pubblicità della "birra anche a pranzo e per i bambini" degli anni '70, in cui l'ingenuità era naturale; oggi è la sofisticazione a farla da padrona, il raggiro, l'inganno. E dobbiamo cominciare questa rivoluzione del "no", perché le comodità digitali ci portano ad essere le vittime preferite del sistema al quale noi stessi acconsentiamo!