Il tracciamento con fingerprinting può essere usato per spiare

Il fingerprinting, cioè la cattura dell’impronta digitale, è solitamente associato all’idea di una maggiore sicurezza e privacy. Così è per i metodi di riconoscimento biometrico, come la lettura del polpastrello, usati in alternativa a Pin o password dalle applicazioni per smartphone o dai Pc più evoluti. Ma per fingerprinting si intende anche un’altra cosa, cioè un tecnica di tracciamento della navigazione Web in cui viene realizzata una sorta di “impronta digitale” del browser. Si tratta di un’attività lecita, consentita ai fini pubblicitari (perché permette di identificare completamente o parzialmente utenti o dispositivi anche se i cookie sono disattivati) ma anche utile per il rilevamento delle frodi e il riconoscimento dei bot. E tuttavia può essere fonte di pericolo se viene sfruttata dai cybercriminali per rubare dati.

I rischi del fingerprinting sono stati evidenziati da Ermes, una startup specializzata in algoritmi per la cybersicurezza, nata nel 2018 all’interno dell’incubatore del Politecnico di Torino. I suoi ricercatori hanno preso in esame un dataset di 420.000 script, identificandone 4.500 in grado di eseguire fingerprinting provenienti da 842 domini diversi.

Sicuramente non rassicura scoprire che, sul totale dei fingerprinting analizzati, solo il 17% era costituito da tracker conosciuti o legati a servizi di sicurezza e antifrode. Nell’83% dei casi, invece, si trattava di tracker sconosciuti agli elenchi ufficiali, che però impiegavano le stesse tecniche utilizzate da quelli verificati. Dunque è difficile capire l’esatta natura dei servizi per cui vengono utilizzati.

“Il tracciamento può diventare un lato oscuro del Web”, sottolinea Hassan Metwalley, Ceo e cofondatore di Ermes, “e va monitorato attentamente per individuare il confine, spesso labile, tra i servizi leciti e utili e le attività illegali che compromettono la sicurezza di chi naviga online. In questo campo il nostro algoritmo è all’avanguardia e abbiamo voluto condividere i dati e la tecnica delle nostre analisi per far capire a tutti l’entità del problema”.

Gli ingegneri della startup torinese (Valentino Rizzo, Stefano Traverso e Marco Mellia) hanno messo a punto una metodologia che combina analisi statica del codice e apprendimento automatico per identificare i fingerprinter automaticamente e con un’elevata accuratezza (94%). Questa tecnologia è al centro del sistema Intelligent Anti Phishing di Emes, che potenzia i tradizionali filtri della navigazione Web, funzionando sia su Pc sia su smartphone e tablet.