Uno strumento online permette di localizzare qualsiasi telefono al costo di pochi euro, e funziona in modo simile ai sistemi di intercettazione delle procure. Si tratta di “Goandfind”, piattaforma web sviluppata dalla società spagnola “WE DO IT 4 YOU S.L”, che offre un servizio di invio di sms che contengono al loro interno un link che attiva la localizzazione del dispositivo che lo riceve. Se un distratto bersaglio ci cliccasse sopra, rivelerebbe in pochi secondi la propria posizione al richiedente, nonché al servizio stesso.
A rivelare l’esistenza della piattaforma è stato l’avvocato, giornalista ed esperto dei diritti in rete, Guido Scorza, dalle pagine del suo blog sul sito dell’Espresso. “Sono stato indeciso fino all’ultimo se scrivere di Goandfind, ma ho ritenuto che il diritto a essere informati prevalesse sulla necessità di non dare pubblicità a un servizio del genere" ha spiegato Scorza ad Agi "Dopotutto, io ho appreso della sua esistenza attraverso delle pubblicità sul web: chiunque potrebbe trovarlo e usarlo, ed è bene che le persone sappiano che devono stare attente”.
Così come Goandfind, sono molti i servizi online che promettono, carta di credito alla mano, di aiutare coniugi gelosi o genitori preoccupati. Per farlo è sufficiente utilizzare i sensori del dispositivo del bersaglio: obiettivo tanto più facile quando questo usa il proprio telefono in modo distratto o poco consapevole.
È proprio così che Goandfind ne ricava la posizione: il servizio permette di inviare un messaggio al numero di telefono desiderato, all’interno del quale viene richiesto di cliccare su un link e contestualmente di autorizzare la geolocalizzazione. Fatto questo, il telefono aprirà il browser di default all’indirizzo fornito dal sistema, che acquisisce il posizionamento dello smartphone esattamente come farebbero Google o Facebook. Naturalmente, al cliente viene data la possibilità di scegliere tra diversi messaggi predefiniti, tra i quali “Ciao tua madre ti sta cercando” o un più generico “Ciao, uno dei tuoi cari ti stanno cercando” (errore compreso, il quale deriva da una discutibile configurazione del sistema di traduzione automatica fornito da Google). Strategie evidentemente pensate per trarre in inganno il bersaglio e indurlo a cadere nella trappola predisposta dalla società.
Certamente molti storceranno il naso, pensando che non cadrebbero mai in un simile tranello, “ma è un metodo molto simile a quello utilizzato dalle procure per inoculare i software utilizzati per le intercettazioni” ricorda Scorza “Meglio conosci il tuo bersaglio, più probabilità hai di trarlo in inganno con un messaggio personalizzato”. È proprio questo il modo più semplice e utilizzato dalle autorità per diffondere i software di sorveglianza, altrimenti detti captatori informatici, come già scritto da Agi. Nel caso di Goandfind cambia solo l’esito: anziché indurre il bersaglio a installare un software malevolo sul proprio dispositivo, lo si spinge a condividere la localizzazione del Gps.
Come sperimentato da Agi, il sistema funziona in modo sufficientemente fluido. In pochi secondi dalla richiesta, disposta dallo stesso Scorza per testare il sistema, chi scrive ha ricevuto un messaggio che lo invitava a seguire un link, motivato così: “uno dei tuoi cari ti stanno cercando”. Nel caso in cui il bersaglio abbia già fornito il consenso all’utilizzo del Gps da parte del browser, gli verrebbe chiesto di autorizzare Goandfind a conoscerne la posizione, che a sua volta verrebbe inoltrata al richiedente in pochi secondi.
Diverso è se il browser non dispone già dell’autorizzazione all’utilizzo del Gps. In questo caso si aprirebbe una schermata che lo invita ad andare nelle impostazioni e a fornire l’autorizzazione, dal momento che “Un parente vuole localizzarti”. Come può Goandfind sapere che il richiedente è “un parente”? Come può il servizio escludere che dietro la richiesta ci possa essere un malintenzionato? Non può. Ecco perché più avanti spiegheremo come disattivare la geolocalizzazione di default.
Goandfind non sembra essere un servizio legale, “almeno fintanto che non si ritiene che una richiesta come quella che invia per messaggio al bersaglio valga come espressione di consenso”, precisa Scorza. “Di fatto, la vittima viene invitata solamente a seguire un link, in quanto ‘qualcuno la sta cercando’, ma non si precisa chi sia e per quale ragione”.
E infatti anche il mittente risulta essere il servizio stesso e non il richiedente: “È ridicolo pensare che questo valga come consenso libero e consapevole”. La società non ha risposto a una richiesta di maggiori informazioni, inviata da Agi via mail, sulla tipologia di utenti e su come vengano conservati i dati e per quanto tempo. Alla vittima non viene data alcuna informazione aggiuntiva sulle modalità del trattamento da parte della “WE DO IT 4 YOU S.L”.
Di fatto, Goandfind costituisce un sistema molto complesso di phishing: truffa nella quale si induce la vittima a seguire un percorso digitale in buona fede e tramite un’impostura: “L’unico modo per evitarlo è educarci a un uso sempre più consapevole e responsabile dei dispositivi digitali - raccomanda Scorza -, perché sono tantissimi gli utenti che non badano a funzioni come la localizzazione o che installano software in modo imprudente. Se incroci questo servizio con le notizie di femminicidio, le conseguenze potrebbero essere estreme”, conclude.
Ma disattivare la condivisione della propria posizione è un processo relativamente semplice, che può essere operato nel giro di un minuto. Per chi possiede un dispositivo Apple, quindi con il sistema operativo iOS, è sufficiente andare in Impostazioni > Privacy > Localizzazione. Da qui è possibile verificare tutti i servizi ai quali è permesso di conoscere la posizione del dispositivo. Se si vuole evitare che questa venga inviata automaticamente a Goandfind, sarà sufficiente disattivarla per ciascun browser (Safari, Firefox, Chrome sono i principali), selezionando la voce “mai”.
Diversamente da iOS, su Android sarà necessario disattivare la localizzazione direttamente dall’app del browser in uso. Per fare questo, è sufficiente aprire le impostazioni dell’app e trovare quella richiesta tra le impostazioni privacy: questo vale sia per Firefox sia per Chrome.