Tracciabilità e sicurezza dei dispositivi mobili grazie al fingerprinting

Toothpic è un nuovo sistema basato sull’impronta digitale della fotocamera che consente l’identificazione online. Gli usi vanno dal marketing alla prevenzione delle frodi

Pubblicato il 07 Giu 2021

Diego Valsesia

Assistant Professor presso il Politecnico di Torino e Co-founder di ToothPic

fingerprinting

I servizi online hanno bisogno di un modo efficace per riconoscere e monitorare uno specifico utente nel tempo per offrirgli contenuti personalizzati o semplicemente per verificare l’identità della persona che sta compiendo le azioni, ad esempio per autenticare l’identità in un’app di pagamenti. Il fingerprinting del dispositivo è un insieme di tecniche che permettono ai servizi online di raggiungere questi obiettivi, creando identificativi univoci per i dispositivi degli utenti, come PC, smartphone, ecc.

Fingerprinting: differenza fra sicurezza e tracciamento

Tuttavia, esiste una linea sottile tra l’utilizzo degli identificativi univoci dei dispositivi per aumentare la sicurezza e il loro utilizzo per un tracciamento approfondito, che intacca la privacy degli utenti.

Nel primo caso, un servizio può sfruttare la fingerprint di un dispositivo per verificare se il cliente sia effettivamente chi dovrebbe essere poiché il dispositivo utilizzato è noto, dal momento che esso è stato utilizzato in passato. Ne fanno questo utilizzo, ad esempio, le banche o altre istituzioni che vogliono prevenire frodi e furti di identità.

Per quanto riguarda il secondo caso, gli identificativi univoci del dispositivo vengono utilizzati per tracciare le persone tra servizi diversi, di solito a fini pubblicitari. Infatti, essendo in grado di riconoscere lo stesso utente su più siti web, gli inserzionisti possono creare profili molto accurati per offrire contenuti personalizzati. Questo può essere dannoso per la privacy di una persona, soprattutto nel caso in cui il suo consenso non è concesso esplicitamente o attraverso modalità poco trasparenti.

Quali sono i metodi comunemente usati per calcolare la fingerprint di un dispositivo

All’inizio venivano utilizzati i cookie del browser, piccoli file di testo contenenti informazioni memorizzate sul dispositivo dell’utente dal sito web da riutilizzare in tutte le future interazioni. Tuttavia, i cookie sono piuttosto limitati nelle loro capacità di identificazione e tracciamento. Inoltre, possono essere facilmente eliminati.

Il fingerprinting del browser, invece, esamina la totalità delle funzionalità del browser per creare un identificatore univoco. Ci sono molti componenti del browser, o del sistema su cui esso è eseguito, che cambiano facilmente da persona a persona. Il browser, la sua versione, la risoluzione dello schermo, l’elenco dei font installati, modalità specifiche di visualizzazione di determinati elementi di una pagina web sono alcune delle caratteristiche che, sebbene di per sé non sufficientemente distintive, combinate insieme possono contribuire alla formazione di un identificativo unico, che risulta essere persistente in più sessioni di navigazione. Alcuni siti Web consentono di verificare se la fingerprint del tuo browser è unica. Per evitare che il proprio browser venga identificato esistono rimedi facili da integrare, come estensioni che randomizzano le risposte del browser quando siti indiscreti ne richiedono le proprietà.

Fingerprinting di smartphone e tablet

Per quanto riguarda smartphone e tablet, Apple e Google forniscono ai propri sistemi operativi identificativi univoci di default (come l’Identifier for Advertisers (IDFA) di Apple o Android Advertising ID (AAID) di Google) in modo che, quando un’applicazione di terze parti desidera monitorare il dispositivo, ha solo bisogno di leggere questo identificatore. Tuttavia, tale approccio presenta diversi problemi. Questi identificativi sono uguali per tutte le applicazioni che girano su un determinato dispositivo, il che significa che possono essere facilmente (e impropriamente) utilizzati per tracciare gli utenti attraverso applicazioni diverse. Inoltre, possono anche essere resettati.

Recentemente, il loro utilizzo su larga scala è stato compromesso a causa di preoccupazioni legate alla privacy. Di conseguenza, Apple ha modificato la propria policy per quanto riguarda l’utilizzo dell’IDFA, ovvero le applicazioni devono richiedere esplicitamente l’autorizzazione all’utente per poterlo utilizzare, mentre fino a quel momento il suo utilizzo era concesso di default.

Gli smartphone offrono identificativi univoci alternativi, come i codici IMEI e gli indirizzi MAC, tuttavia essi possono essere facilmente falsificati, risultando quindi non affidabili per i sistemi di rilevamento delle frodi.

L’impronta digitale della fotocamera

Una tecnologia che riconosce uno smartphone attraverso il sensore della sua fotocamera è quella di ToothPic: ogni sensore ha delle imperfezioni nel modo in cui cattura la luce che lo rendono unico. ToothPic è in grado di estrarre identificativi univoci dall’hardware della fotocamera e questo ha diversi vantaggi chiave, poiché l’identificativo:

  • è legato all’hardware, il che significa che può sopravvivere al ripristino del software;
  • non può essere contraffatto, poiché è legato a una proprietà fisica dei sensori;
  • può essere randomizzato, in modo che un’applicazione non possa dedurre l’identificativo di un’altra, anche se derivano dalla stessa telecamera.

Queste proprietà rendono la soluzione di ToothPic per il fingerprinting dei dispositivi ideale per applicazioni di sicurezza, come il rilevamento di frodi, poiché consentono di riconoscere in modo affidabile il dispositivo. Allo stesso tempo, i problemi di privacy vengono evitati grazie alla sua componente di randomizzazione, che ne impedisce l’uso improprio a fini di tracciamento.

ToothPic Use Case: Online Banking

ToothPic Use Case: Online Banking

Guarda questo video su YouTube

Video: Come può essere utilizzato il sistema di fingerprinting di ToothPic in ambito digital banking

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Articoli correlati