WhatsApp, la verità sulla posizione degli utenti: è davvero attendibile?

Di quando in quando i media riportano notizie secondo le quali gruppi di ricercatori hanno trovato un modo per ricostruire la posizione di una persona mandandole un messaggio con una qualsiasi applicazione di instant messaging.

Il 19 ottobre un gruppo di ricercatori in capo a università di diverse nazioni (dagli Usa agli Emirati Arabi Uniti) hanno pubblicato un paper che confermerebbe la facilità con cui si può rintracciare la posizione di una persona e che, forse in modo un po' affrettato, ha attirato l’attenzione di molti media specialistici.

Cosa c’è di vero

Cominciamo dai dati dei test effettuati dai ricercatori, secondo i quali il metodo – peraltro banale – è affidabile all’82% se applicato a Signal, all’80% se applicato a Threema e al 74% se si usa WhatsApp.

Il fatto che non sia affidabile al 100% lo rende più pseudoscientifico che scientifico. Il “trucco” consisterebbe nel cronometrare il tempo che un messaggio impiega ad arrivare al destinatario.

È vero che i ricercatori hanno fatto dei test abbastanza approfonditi, è anche vero che il metodo è stato raccontato dai media in modo poco preciso.

Innanzitutto occorre che la misurazione del tempo sia precisa al millesimo di secondo, perché i messaggi che inviamo vengono recapitati a velocità che talvolta sono inferiori al secondo. Il metodo descritto in questo caso fa affidamento sul fatto che le reti mobili e i server usati dalle app di messaggistica si comportino sempre nello stesso modo, ossia instradando i messaggi sempre in tempo reale (inteso al millesimo di secondo) e che il traffico dei dati non sia mai perturbato.

Si tratterebbe quindi di applicare un semplice calcolo che tiene conto della velocità di trasmissione e del tempo impiegato per recapitare il messaggio per capire a che distanza si trova il destinatario.

Tutto ciò, già a una prima lettura, sembra restituire un metodo impreciso e quindi non degno di apparire sui media, se non per gettare acqua sul fuoco della privacy, che molto spesso allarma le persone ma non sempre a ragione.

La precisione è tutto

È vero che esistono software per l’analisi del traffico di rete e che possono essere usati senza avere particolari conoscenze specifiche ma questo non vuole dire che chiunque possa usarli in modo corretto. Al di là di questo occorre una “calibrazione”, per esempio mandando dei messaggi al mittente quando si sa dove questo si trova (per esempio a casa o in ufficio), prendendo nota dei tempi necessari al loro recapito per poi applicare il calcolo delle distanze quando sarà ritenuto necessario.

Anche ammettendo che i tempi di invio e di recapito di un messaggio siano sempre identici si può ottenere la distanza a cui si trova l’utente (per esempio, 100 chilometri) ma non la sua posizione esatta. Se, inoltre, si aggiunge un ritardo di un solo millisecondo, il calcolo già approssimativo diventa quasi del tutto inattendibile.

Si può obiettare, peraltro a ragione, che questo metodo è in ogni caso una violazione della privacy. Va anche detto che ognuno, nell’usare le applicazioni di messaggistica istantanea, ha potuto notare che i messaggi non impiegano sempre lo stesso tempo per essere recapitati, pure sapendo dove si trova il destinatario.

In realtà si tratta di uno studio utile a mostrare le potenziali vulnerabilità della messaggistica istantanea ma preoccuparsene o, peggio, sviluppare un’idiosincrasia, è fuori luogo.

Nel caso specifico i ricercatori sostengono che le applicazioni di messaggistica potrebbero inviare i messaggi con un ritardo casuale al fine di evitare ogni possibilità di posizionamento dei destinatari o, in alternativa, utilizzare una Vpn (Virtual Private Network) la quale, per propria natura poiché fa capo a diversi server, ha dei tempi di trasmissione e ricezione dei dati più lenti.

Va anche detto che le linee mobili sono particolarmente soggette a congestioni di traffico e che quindi ogni calcolo, per quanto preciso, può restituire indicazioni del tutto sbagliate.