È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate qui sul sito della RSI (si apre in una finestra/scheda separata) e lo potete scaricare qui.
Grazie ad Andrea Z. posso proporvi l’embedding del podcast direttamente in questa pagina del blog; non è una soluzione ufficiale, ma sembra funzionare. Fatemi sapere.
Le puntate del Disinformatico sono ascoltabili anche tramite iTunes, Google Podcasts, Spotify e feed RSS.
Buon ascolto, e se vi interessano il testo di accompagnamento e i link alle fonti di questa puntata, sono qui sotto.
---
[CLIP: spezzoni di YouTuber che parlano di Temu e spot di Temu]
Pochi giorni fa, mentre stavo facendo lezione di informatica in una scuola, uno studente mi ha chiesto cosa ne pensassi di Temu, la popolarissima app di shopping cinese, e se fosse pericolosa. È un dubbio che hanno in tanti, e le opinioni degli YouTuber sono molto contrastanti. Lo so, le opinioni degli YouTuber probabilmente non sono in cima alla vostra classifica delle fonti informatiche attendibili, per cui ho provato a rispondere alla domanda dello studente consultando gli esperti del settore. In particolare, è stata pubblicata una ricerca tecnica che sembra inchiodare Temu, ma anche così la questione non è proprio chiara come potrebbe sembrare.
Benvenuti alla puntata del 3 novembre 2023 del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica. Io sono Paolo Attivissimo, e tra poco vi parlerò di Temu e anche dello stranissimo consiglio delle agenzie di sicurezza informatica statunitensi che raccomandano di usare gli adblocker, cioè le app che bloccano le pubblicità online, e vi racconterò dell’errore imbarazzante di Google, che addirittura dice in sostanza che il Kenya non esiste.
[SIGLA di apertura]
Secondo una ricerca pubblicata a settembre dalla società di sicurezza informatica Grizzly Research, la popolarissima app di shopping cinese Temu sarebbe un malware e spyware estremamente pericoloso. Tutte le app per fare acquisti sono piuttosto invadenti, ma Temu è tutta un’altra storia, stando alle analisi tecniche.
Per esempio, notano i ricercatori, Temu chiede per impostazione predefinita la localizzazione precisa dell’utente in quel momento, cosa che non ha senso se l’utente vuole semplicemente acquistare un prodotto e ha già dato il proprio indirizzo per la spedizione. Se l’app rimane attiva, i gestori di Temu possono tracciare l’utente per tutto il tempo.
Temu, secondo questa ricerca, ha anche un altro comportamento molto pericoloso: la cosiddetta compilazione dinamica. L’app può scaricare da Internet del codice software aggiuntivo e compilarlo, cioè renderlo eseguibile sul dispositivo dell’utente. Questo vuol dire che l’app può superare tranquillamente i controlli di sicurezza di Google Play, per esempio, perché non contiene codice pericoloso, ma una volta installata può scaricare altro codice ed eseguirlo, eludendo completamente le verifiche di sicurezza.
La lista delle caratteristiche pericolose di Temu è molto lunga, secondo questa ricerca, e va detto che i toni di Grizzly Research sono un po’ sensazionalisti e che gli esperti esterni citati da questa ricerca non vengono nominati, ma la sostanza delle asserzioni sembra robusta e ben documentata, anche con il supporto di una società di sicurezza informatica svizzera. E una delle caratteristiche sospette di Temu è stata confermata indipendentemente: è la cosiddetta obfuscation, una tecnica nella quale il software dell’app è scritto in modo intenzionalmente poco chiaro, usando metodi che rendono estremamente difficile capire cosa stia facendo realmente.
Però l’app è ancora disponibile sul Play Store di Google per i dispositivi Android e nell’App Store di Apple, sia pure con una dettagliata elencazione dei dati personali che raccoglie e che sono davvero tanti.
Allo stesso tempo, la piattaforma di commercio elettronico Pinduoduo, legata a Temu, è stata sospesa da Google perché conteneva malware, e pochi giorni fa nel Regno Unito alcune pubblicità su Temu sono state bandite perché mostravano una bambina in bikini “in posa molto adulta”, come dice molto signorilmente la Advertising Standards Authority britannica, e presentavano altre immagini che, sempre secondo l’autorità britannica, “oggettificavano le donne”. Temu ha rimosso l’immagine della bambina, ammettendo che violava le sue regole, ma si è opposta alle altre contestazioni.
Inoltre Apple ha dichiarato che in passato Temu ha violato le regole di privacy, ingannando gli utenti sul modo in cui usa i loro dati, ma la questione è stata poi risolta.
I sospetti sulla sicurezza e la privacy di Temu, insomma, non mancano, per cui è sconsigliabile perlomeno installarla su smartphone usati per lavoro o per altre attività sensibili, ma forse il problema non è solo informatico.
Molte delle recensioni indipendenti di questa app notano che i prezzi dei prodotti sono semplicemente insostenibili, considerato che vengono quasi sempre spediti dalla Cina, e quindi fare shopping su tutte queste app che fanno viaggiare i propri prodotti per decine di migliaia di chilometri ma li fanno pagare una manciata di euro, dollari o franchi ha non solo un probabile impatto informatico, ma anche un indubbio impatto ambientale, che va preso in considerazione.
[Fonti aggiuntive: privacy policy di Temu; Agenda Digitale; Cybersecurity360.it]
Non capita spesso che un’agenzia di sicurezza governativa includa le parole “installate software che blocchi le pubblicità online” nelle proprie raccomandazioni, ma è quello che si legge in un documento della Cybersecurity and Infrastructure Security Agency del governo statunitense (Cisa.gov), un’autorità indiscussa nel campo della sicurezza informatica.
E non è l’unico caso: raccomandazioni analoghe sono state pubblicate anche da un’altra agenzia di sicurezza informatica piuttosto ben conosciuta, la NSA (National Security Agency) statunitense.
Prevengo subito il vostro comprensibile dubbio che queste raccomandazioni siano in qualche modo legate alle decisioni recenti di Facebook e Instagram di offrire anche versioni a pagamento e senza pubblicità e siano una sottile forma di incoraggiamento a pagare per usare questi servizi, soprattutto alla luce della decisione dell’Unione Europea di vietare la raccolta di dati personali per la profilazione pubblicitaria: queste raccomandazioni di CISA e NSA, infatti, risalgono a tempi non sospetti, ossia al 2021 e al 2018, e sono tuttora valide, ma richiedono qualche spiegazione.
Le pubblicità su Internet non sono come quelle che vedete o ascoltate alla radio, alla televisione o sui giornali e nelle riviste: non sono informazioni passive, scelte e approvate manualmente dall’editore. Le pubblicità online sono codice, ossia sono software che può essere eseguito dal vostro smartphone, tablet o computer, e sono spesso inserite nelle pagine del Web e nei social network senza alcun controllo significativo di sicurezza da parte di chi le pubblica. Questa situazione permette agli aggressori informatici di creare quello che in gergo si chiama malvertising, ossia pubblicità che trasportano attacchi informatici.
CISA e NSA segnalano che questa tecnica di attacco è sempre più diffusa, e proprio ieri, 2 novembre, l’azienda di sicurezza informatica Bitdefender ha pubblicato una ricerca su una campagna di crimine online che prende di mira gli account Facebook usando in modo improprio la rete pubblicitaria di Meta, che possiede Facebook. L’obiettivo di questi attacchi è rubare gli account e acquisire dati personali. Se un utente clicca sulle pubblicità create dagli aggressori, scarica automaticamente un malware, chiamato NodeStealer, che ruba dati di mail, wallet di criptovalute e altro ancora.
La pubblicità online diventa un canale di diffusione di malware molto potente, fra l’altro: Bitdefender stima che siano stati almeno 100.000 i download potenziali in questo recente attacco e nota che con un singolo annuncio infettante si possono produrre 15.000 scaricamenti nel giro di 24 ore dal lancio della campagna pseudo-pubblicitaria.
Ci sono vari modi per difendersi da questo tipo di attacco: le autorità e le aziende di sicurezza informatica raccomandano di usare solo browser noti e aggiornati, e suggeriscono inoltre di installare un adblocker, cioè un’app che blocchi tutte le pubblicità. Tuttavia notano che è necessario scegliere gli adblocker con molta cautela, perché queste app vedono tutto il traffico di dati dell’utente (e devono farlo, per poter funzionare) e quindi potrebbero raccogliere dati personali. Inoltre ci sono stati casi di adblocker che hanno accettato pagamenti da alcuni inserzionisti per far passare indisturbate le loro pubblicità.
Un altro rimedio è impostare un filtro sulla propria rete informatica che blocchi il traffico dei siti pubblicitari conosciuti, come fa per esempio il software libero e gratuito Pi-hole, disponibile presso Pi-hole.net e installabile anche su dispositivi a bassissima potenza come i Raspberry Pi. In pratica si ottiene una sorta di scatolotto hardware che filtra e blocca tutti i siti pubblicitari ed è completamente controllabile dall’utente. Installare questi filtri, però, richiede competenze tecniche notevoli: se non le avete, potete chiedere aiuto a una persona esperta di fiducia.
Ne vale la pena: gli spot spariscono e la navigazione diventa molto più veloce, perché viene eliminato il peso delle immagini e dei video pubblicitari. Ma attenzione: molti siti, soprattutto quelli più piccoli, dipendono dalla pubblicità per vivere. Non a caso, YouTube ha avviato una campagna per tentare di bloccare l’uso di adblocker.
Se decidete di bloccare le pubblicità di un sito che trovate utile, insomma, è opportuno compensarlo in modi alternativi, come per esempio un abbonamento o una donazione. E se tutto questo vi sembra troppo complicato, c’è sempre la difesa più semplice: non cliccare mai sulle pubblicità, così non potranno scaricare malware sul vostro dispositivo.
Google è di gran lunga il motore di ricerca più usato al mondo, ma ultimamente i suoi risultati lasciano un po’ a desiderare, tanto che numerosi utenti stanno passando ad alternative come DuckDuckGo.
La differenza è notevole, soprattutto perché DuckDuckGo non fa tracciamento delle attività di ricerca a scopo pubblicitario e non mette in primo piano risultati palesemente falsi, come quello che da qualche tempo sta generando parecchia ilarità fra gli utenti di Google: se chiedete a Google in inglese di dirvi il nome di un paese africano che inizia con la lettera K (sì, so che avete già in mente la risposta), Google risponde mettendo al primo posto un delirio senza senso: dice che “Benché vi siano in Africa 54 paesi riconosciuti, nessuno di essi inizia con la lettera K”, e già così commette un errore imbarazzante, ma poi prosegue dicendo che “quello che più vi si avvicina è il Kenya, che inizia con un suono ‘K’ ma viene effettivamente scritto con un suono ‘K’”.
DuckDuckGo, invece, risponde fornendo semplicemente link a elenchi di nomi di paesi africani, dai quali è facile estrarre quello che inizia con la K.
Perché Google fa un errore così ridicolo? La colpa è dell’azienda, che ha introdotto i cosiddetti snippet in primo piano, che sono risultati che dovrebbero “aiutare gli utenti a trovare più facilmente quello che stanno cercando” e sarebbero “particolarmente utili per le ricerche vocali o su dispositivi mobili”.
Ma questi snippet non stanno funzionando molto bene. A ottobre scorso ho segnalato in questo podcast il caso di Google che spiegava (si fa per dire) come fondere le uova. Anche in questo nuovo caso c’è lo zampino dell’intelligenza artificiale, usata maldestramente, perché Google ha preso questo risultato demenziale da una risposta di ChatGPT pubblicata su Emergent Mind.
Ma gli algoritmi di Google non si sono resi conto che quella risposta è stata pubblicata, ed è stata linkata da molti utenti, non perché è corretta, ma perché è ridicolmente sbagliata.
Al momento in cui chiudo questo podcast Google continua a dichiarare che il Kenya non esiste, ma probabilmente anche questo errore sparirà a breve se verrà segnalato da un numero sufficiente di utenti tramite l’apposito link di feedback presente sotto il risultato. Ma per ora sembra che gli utenti si stiano divertendo troppo per segnalare questi e altri errori, e quindi non ci resta che ridere e diffidare dei risultati proposti dagli snippet in primo piano di Google.