C'è un software che monitora 5 miliardi di telefoni attraverso gli spot pubblicitari: cos'è Patternz

Poco meno di una settimana fa i colleghi di 404 Media hanno pubblicato sulla propria testata una inquietante indagine che, a leggerne i contenuti, vanifica tutti gli sforzi volti a tutelare la propria privacy online. Sembra quasi una di quelle teorie complottiste, che vogliono agenzie governative sorvegliare obiettivi di qualsivoglia tipo. Ma questo non è un film o una serie Tv di spionaggio, ma la realtà. 

L’indagine, nel caso non bastasse il materiale raccolto dai cronisti che si sono occupati della stesura, è avvalorata dalle risposte di Google a Joseph Cox, giornalista investigativo dalla brillante carriera, oltre agli studi di un’agenzia di ricerca austriaca, Cracked Labs. Ad emergere dall'oblio uno strumento in grado di trarre informazioni del comportamento degli utenti di smartphone, attraverso le pubblicità. Tutto questo ha un nome ed è Patternz.

Gli annunci pubblicitari delle applicazioni i nuovi spyware?

Diverse applicazioni di uso comune, dalle più alle meno popolari, presentano annunci pubblicitari per potersi sostenere. Fin qui tutto normale, ma le informazioni che possono reperire sono molte, se le pubblicità hanno scopo malevolo. In Europa siamo in qualche modo protetti dalle leggi emesse dal Parlamento europeo, come ad esempio il Gdpr o il più recente Data Act. Ma alle volte può essere anche solo un deterrente, benché multe e sanzioni non siano certo irrisorie. Tuttavia Oltreoceano non esiste una legislazione rigorosa come nel Vecchio Continente. E i dati, lo sappiamo già, sono il nuovo oro. Ma ad essere esposti, anche giornalisti, attivisti e politici europei.

L’indagine dei colleghi di 404 Media si è basata su una serie di materiali con scopi di marketing, che in seguito alla pubblicazione dell’indagine, sono stati rimossi dalle piattaforme. I contenuti mostravano come le pubblicità all’interno delle app mobili, fossero in grado di fornire gli strumenti idonei alla sorveglianza da parte di aziende di spionaggio e dei clienti governativi, attraverso il tool Patternz. Tutto questo è ed era possibile attraverso un ingegnoso, ma complesso sistema in grado di sfruttare la pubblicità sulle applicazioni. 

Secondo Rafi Torn, Ceo di Patternz, in un video del 2023 ora rimosso, le app che analizzavano i comportamenti degli utenti erano più di 600.000. «Il telefono cellulare diventa di fatto il braccialetto di tracciamento» afferma l’amministratore delegato nel video cancellato, stando a quanto riportato da Joseph Cox. Un tracciamento possibile «da qualsiasi app che contenga annunci pubblicitari».

Cosa viene illustrato nel video

Cox racconta quanto illustrato all’interno del video. Ton è riuscito ad accedere al profilo di un utente per mostrare come è facile reperire molte informazioni di qualsiasi genere. Come i luoghi visitati con tanto di coordinate Gps, marca e modello del telefono, il software, le applicazioni utilizzate, dati personali e così via. 

Patternz poi crea un profilo più completo, in cui inserisce gli interessi di quel particolare profilo a cui è assegnato un Id univoco, più altre informazioni utili a chi ne fruirà. Ma non finisce qui. Chi utilizza Patternz lo può sfruttare anche per veicolare messaggi personalizzati sul profilo di un particolare obiettivo. In questo caso, potrà essere facilmente installato sul dispositivo della vittima un trojan o altri software in grado potenzialmente di utilizzare il telefono per ottenere immagini dalle fotocamere, dal microfono, etc. 

Come viene installato Patternz attraverso la Rtb

Prima di capire come viene installato lo spyware, è necessario comprendere come funziona la pubblicità che appare ovunque su Internet, dalle app ai siti Web. La pubblicità mostrata sulle varie piattaforme, ubbidisce ad un sistema chiamato Real-Time Bidding (Rtb). Si tratta di un processo automatico di acquisto di spazi pubblicitari. Le inserzioni vengono vendute nel corso di aste in tempo reale, per ogni singola visualizzazione. Ciò avviene nel momento in cui un utente carica una determinata pagina (o applicazione). 

Le informazioni sull'utente e sulla pagina visionata, vengono analizzate dagli algoritmi. In questo modo, chi paga per far sì che la propria pubblicità venga vista da un determinato target, avanza un'offerta in tempo reale per ogni utente. Attraverso il sistema Rtb vi è una maggior precisione nel mostrare le pubblicità, permettendo agli inserzionisti di raggiungere il pubblico più idoneo al proprio scopo con un controllo sui costi efficace. Oltre a ciò, vengono condivisi i dati di performance per far sì che gli inserzionisti possano utilizzare le strategie future. 

Cosa succede se un'agenzia di sicurezza dispone di un circuito?

Ma cosa accadrebbe se un'agenzia di sicurezza o di spionaggio disponesse di un circuito pubblicitario? Semplicemente potrebbe partecipare all'asta attraverso offerte in tempo reale e raggiungere così un determinato pubblico. Tutto questo su commissione di clienti, interessati ad ottenere informazioni specifiche. E i conoscenti e la famiglia di quel pubblico. Potrebbe conoscerne i movimenti, i luoghi più visitati e le proprie informazioni personali. Inoltre, con tecniche di ingegneria sociale, si può spingere un determinato utente ad installare lo spyware, in questo caso Patternz. 

Ma ce ne sono altri, come riporta Bloomberg. Lo strumento di sorveglianza analizzato da 404 Media, è conosciuto almeno dal 2021, stando a quanto riferito a Joseph Cox dal senatore statunitense Ron Wyden. Il politico americano ha interpellato colossi tech che gestiscono la pubblicità e che per due anni non hanno fatto nulla perché circuiti pubblicitari che collaborano con agenzie di spionaggio, partecipassero alle Rtb. 

Cosa dovrebbero fare i governi e l'Ue

«La macchina di sorveglianza pervasiva sviluppata per la pubblicità digitale ora consente direttamente la sorveglianza di massa da parte del governo. Molte aziende, dagli editori di app agli inserzionisti fino alle grandi aziende tecnologiche, agiscono in modo del tutto irresponsabile. Tutto questo deve finire», ha detto a 404 Media Wolfie Christl, direttore di Cracked Labs. 

La stessa agenzia austriaca ha auspicato nella ricerca che il Servizio europeo per l’azione esterna (Seae), il Gruppo di cooperazione Nis e l’Enisa (agenzia di cybersicurezza dell'Ue) siano «incaricati di condurre urgentemente una valutazione congiunta delle Rtb come minaccia alla sicurezza per l’Unione europea».