È disponibile subito il podcast di oggi de
Il Disinformatico
della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto:
lo trovate
qui sul sito della RSI
(si apre in una finestra/scheda separata) e lo potete scaricare
qui.
Grazie ad Andrea Z. posso proporvi l’embedding del podcast direttamente in questa pagina del blog; non è una soluzione ufficiale, ma sembra funzionare. Fatemi sapere.
Le puntate del Disinformatico sono ascoltabili anche tramite
iTunes,
Google Podcasts,
Spotify
e
feed RSS.
Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle
fonti di questa puntata, sono qui sotto.
—
[CLIP:
spezzoni di
YouTuber che
parlano di Temu e
spot di Temu]
Pochi giorni fa, mentre stavo facendo lezione di informatica in una scuola,
uno studente mi ha chiesto cosa ne pensassi di Temu, la popolarissima app di
shopping cinese, e se fosse pericolosa. È un dubbio che hanno in tanti, e le
opinioni degli YouTuber sono molto contrastanti. Lo so, le opinioni degli
YouTuber probabilmente non sono in cima alla vostra classifica delle fonti
informatiche attendibili, per cui ho provato a rispondere alla domanda dello
studente consultando gli esperti del settore. In particolare, è stata
pubblicata una ricerca tecnica che sembra inchiodare Temu, ma anche così la
questione non è proprio chiara come potrebbe sembrare.
Benvenuti alla puntata del 3 novembre 2023 del Disinformatico, il
podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie
strane dell’informatica. Io sono Paolo Attivissimo, e tra poco vi parlerò di
Temu e anche dello stranissimo consiglio delle agenzie di sicurezza
informatica statunitensi che raccomandano di usare gli adblocker, cioè
le app che bloccano le pubblicità online, e vi racconterò dell’errore
imbarazzante di Google, che addirittura dice in sostanza che il Kenya non
esiste.
[SIGLA di apertura]
Temu è un’app pericolosa?
Secondo una
ricerca
pubblicata a settembre dalla società di sicurezza informatica Grizzly
Research, la popolarissima app di shopping cinese Temu sarebbe un
malware e spyware estremamente pericoloso. Tutte le app per fare
acquisti sono piuttosto invadenti, ma Temu è tutta un’altra storia, stando
alle analisi tecniche.
Per esempio, notano i ricercatori, Temu chiede per impostazione predefinita la
localizzazione precisa dell’utente in quel momento, cosa che non ha
senso se l’utente vuole semplicemente acquistare un prodotto e ha già dato il
proprio indirizzo per la spedizione. Se l’app rimane attiva, i gestori di Temu
possono tracciare l’utente per tutto il tempo.
Temu, secondo questa ricerca, ha anche un altro comportamento molto
pericoloso: la cosiddetta compilazione dinamica. L’app può scaricare da
Internet del codice software aggiuntivo e compilarlo, cioè renderlo eseguibile
sul dispositivo dell’utente. Questo vuol dire che l’app può superare
tranquillamente i controlli di sicurezza di Google Play, per esempio, perché
non contiene codice pericoloso, ma una volta installata può scaricare altro
codice ed eseguirlo, eludendo completamente le verifiche di sicurezza.
La
lista delle caratteristiche pericolose di Temu
è molto lunga, secondo questa ricerca, e va detto che i toni di Grizzly
Research sono un po’ sensazionalisti e che gli esperti esterni citati da
questa ricerca non vengono nominati, ma la sostanza delle asserzioni sembra
robusta e ben documentata, anche con il
supporto di
una società di sicurezza informatica svizzera. E una delle caratteristiche
sospette di Temu è stata
confermata indipendentemente: è la cosiddetta obfuscation, una tecnica nella quale il software
dell’app è scritto in modo intenzionalmente poco chiaro, usando metodi che
rendono estremamente difficile capire cosa stia facendo realmente.
Però l’app è ancora
disponibile sul Play Store di Google
per i dispositivi Android e nell’App Store di Apple, sia pure con una dettagliata elencazione dei dati personali che raccoglie e
che sono davvero tanti.
Allo stesso tempo, la piattaforma di commercio elettronico Pinduoduo, legata a
Temu, è
stata
sospesa
da Google perché conteneva malware, e pochi giorni fa nel Regno Unito alcune
pubblicità su Temu sono state
bandite perché
mostravano una bambina in bikini “in posa molto adulta”, come dice
molto signorilmente la Advertising Standards Authority britannica, e
presentavano altre immagini che, sempre secondo l’autorità britannica, “oggettificavano le donne”. Temu ha rimosso l’immagine della bambina, ammettendo che violava le
sue regole, ma si è opposta alle altre contestazioni.
Inoltre Apple ha
dichiarato
che in passato Temu ha violato le regole di privacy, ingannando gli utenti sul
modo in cui usa i loro dati, ma la questione è stata poi risolta.
I sospetti sulla sicurezza e la privacy di Temu, insomma, non mancano, per cui
è sconsigliabile perlomeno installarla su smartphone usati per lavoro o per
altre attività sensibili, ma forse il problema non è solo informatico.
Molte delle recensioni indipendenti di questa app notano che i prezzi dei
prodotti sono semplicemente insostenibili, considerato che vengono quasi
sempre spediti dalla Cina, e quindi fare shopping su tutte queste app che
fanno viaggiare i propri prodotti per decine di migliaia di chilometri ma li
fanno pagare una manciata di euro, dollari o franchi ha non solo un probabile
impatto informatico, ma anche un indubbio impatto ambientale, che va preso in
considerazione.
[Fonti aggiuntive: privacy policy di Temu;
Agenda Digitale;
Cybersecurity360.it]
Agenzia di sicurezza informatica USA: bloccate le pubblicità, possono
trasportare malware
Non capita spesso che un’agenzia di sicurezza governativa includa le parole
“installate software che blocchi le pubblicità online” nelle proprie raccomandazioni, ma è quello che si legge in un
documento
della Cybersecurity and Infrastructure Security Agency del governo
statunitense (Cisa.gov), un’autorità
indiscussa nel campo della sicurezza informatica.
E non è l’unico caso:
raccomandazioni analoghe
sono state pubblicate anche da un’altra agenzia di sicurezza informatica
piuttosto ben conosciuta, la NSA (National Security Agency) statunitense.
Prevengo subito il vostro comprensibile dubbio che queste raccomandazioni
siano in qualche modo legate alle decisioni recenti di
Facebook e Instagram di offrire anche versioni a pagamento e senza
pubblicità
e siano una sottile forma di incoraggiamento a pagare per usare questi
servizi, soprattutto alla luce della decisione dell’Unione Europea di
vietare
la
raccolta
di dati personali per la profilazione pubblicitaria: queste raccomandazioni di
CISA e NSA, infatti, risalgono a tempi non sospetti, ossia al 2021 e al 2018,
e sono tuttora valide, ma richiedono qualche spiegazione.
Le pubblicità su Internet non sono come quelle che vedete o ascoltate alla
radio, alla televisione o sui giornali e nelle riviste: non sono informazioni
passive, scelte e approvate manualmente dall’editore. Le pubblicità online
sono codice, ossia sono software che può essere eseguito dal vostro
smartphone, tablet o computer, e sono spesso inserite nelle pagine del Web e
nei social network senza alcun controllo significativo di sicurezza da parte
di chi le pubblica. Questa situazione permette agli aggressori informatici di
creare quello che in gergo si chiama malvertising, ossia pubblicità che
trasportano attacchi informatici.
CISA e NSA segnalano che questa tecnica di attacco è sempre più diffusa, e
proprio ieri, 2 novembre, l’azienda di sicurezza informatica Bitdefender ha
pubblicato una
ricerca
su una campagna di crimine online che prende di mira gli account Facebook
usando in modo improprio la rete pubblicitaria di Meta, che possiede Facebook.
L’obiettivo di questi attacchi è rubare gli account e acquisire dati
personali. Se un utente clicca sulle pubblicità create dagli aggressori,
scarica automaticamente un malware, chiamato NodeStealer, che ruba dati
di mail, wallet di criptovalute e altro ancora.
La pubblicità online diventa un canale di diffusione di malware molto potente,
fra l’altro: Bitdefender stima che siano stati almeno 100.000 i download
potenziali in questo recente attacco e nota che con un singolo annuncio
infettante si possono produrre 15.000 scaricamenti nel giro di 24 ore dal
lancio della campagna pseudo-pubblicitaria.
Ci sono vari modi per difendersi da questo tipo di attacco: le autorità e le
aziende di sicurezza informatica raccomandano di usare solo browser noti e
aggiornati, e suggeriscono inoltre di installare un adblocker, cioè
un’app che blocchi tutte le pubblicità. Tuttavia notano che è necessario
scegliere gli adblocker con molta cautela, perché queste app vedono
tutto il traffico di dati dell’utente (e devono farlo, per poter
funzionare) e quindi potrebbero raccogliere dati personali. Inoltre ci sono
stati casi di adblocker che hanno accettato pagamenti da alcuni inserzionisti
per far passare indisturbate le loro pubblicità.
Un altro rimedio è impostare un filtro sulla propria rete informatica che
blocchi il traffico dei siti pubblicitari conosciuti, come fa per esempio il
software libero e gratuito Pi-hole, disponibile presso
Pi-hole.net e
installabile
anche su dispositivi a bassissima potenza come i Raspberry Pi. In pratica si
ottiene una sorta di scatolotto hardware che filtra e blocca tutti i siti
pubblicitari ed è completamente controllabile dall’utente. Installare questi
filtri, però, richiede competenze tecniche notevoli: se non le avete, potete
chiedere aiuto a una persona esperta di fiducia.
Ne vale la pena: gli spot spariscono e la navigazione diventa molto più
veloce, perché viene eliminato il peso delle immagini e dei video
pubblicitari. Ma attenzione: molti siti, soprattutto quelli più piccoli,
dipendono dalla pubblicità per vivere. Non a caso,
YouTube ha avviato una campagna per tentare di bloccare l’uso di
adblocker.
Se decidete di bloccare le pubblicità di un sito che trovate utile, insomma, è
opportuno compensarlo in modi alternativi, come per esempio un abbonamento o
una donazione. E se tutto questo vi sembra troppo complicato, c’è sempre la
difesa più semplice: non cliccare mai sulle pubblicità, così non potranno
scaricare malware sul vostro dispositivo.
Secondo Google, nessun paese africano inizia con la K
Google è di gran lunga il motore di ricerca più usato al mondo, ma ultimamente
i suoi risultati lasciano un po’ a desiderare, tanto che numerosi utenti
stanno passando ad alternative come
DuckDuckGo.
La differenza è notevole, soprattutto perché DuckDuckGo non fa tracciamento
delle attività di ricerca a scopo pubblicitario e non mette in primo piano
risultati palesemente falsi, come quello che da qualche tempo sta generando
parecchia ilarità fra gli utenti di Google: se chiedete a Google in inglese di
dirvi il nome di un paese africano che inizia con la lettera K
(sì, so che avete già in mente la risposta), Google risponde mettendo al primo
posto un delirio senza senso: dice che
“Benché vi siano in Africa 54 paesi riconosciuti, nessuno di essi inizia
con la lettera K”, e già così commette un errore imbarazzante, ma poi prosegue dicendo che
“quello che più vi si avvicina è il Kenya, che inizia con un suono ‘K’ ma
viene effettivamente scritto con un suono ‘K’”.
DuckDuckGo, invece,
risponde
fornendo semplicemente link a elenchi di nomi di paesi africani, dai quali è
facile estrarre quello che inizia con la K.
Perché Google fa un errore così ridicolo? La colpa è dell’azienda, che ha
introdotto i cosiddetti
snippet in primo piano, che sono risultati che dovrebbero
“aiutare gli utenti a trovare più facilmente quello che stanno cercando”
e sarebbero
“particolarmente utili per le ricerche vocali o su dispositivi mobili”.
Ma questi snippet non stanno funzionando molto bene. A ottobre scorso ho
segnalato
in questo podcast il caso di Google che spiegava (si fa per dire) come
fondere le uova. Anche in questo nuovo caso c’è lo zampino
dell’intelligenza artificiale, usata maldestramente, perché Google ha preso
questo risultato demenziale da
una risposta di ChatGPT pubblicata su Emergent Mind.
Ma gli algoritmi di Google non si sono resi conto che quella risposta è stata
pubblicata, ed è stata linkata da molti utenti, non perché è corretta, ma
perché è ridicolmente sbagliata.
Al momento in cui chiudo questo podcast Google continua a dichiarare che il
Kenya non esiste, ma probabilmente anche questo errore sparirà a breve se
verrà segnalato da un numero sufficiente di utenti tramite l’apposito link di
feedback presente sotto il risultato. Ma per ora sembra che gli utenti
si stiano divertendo troppo per segnalare questi e altri errori, e quindi non
ci resta che ridere e diffidare dei risultati proposti dagli snippet in primo
piano di Google.
