Il parcheggio non custodito

Una cosa che è ormai difficile da ignorare anche per chi non si intende di sicurezza informatica, è la proliferazione delle videocamere di sorveglianza nelle strade. Ormai sembra essere la soluzione preferita da qualsiasi amministrazione per risolvere il problema della sicurezza nelle strade. Questa apparente soluzione, però, porta con se un rischio importante: quello per la privacy. Che è sicuramente vissuto dalla popolazione con un diritto molto trascurabile, ma probabilmente solo a causa di una scarsa competenza in ambito informatico, che non permette a tutti di cogliere le implicazioni di una sorveglianza così estesa. Soprattutto perché tutti danno per scontato che i dati saranno sempre custoditi in una sorta di cassaforte inespugnabile. Mentre in questi anni abbiamo già assistito a cronache che, in giro per l’Europa e nel Regno Unito, ci testimoniano che non è sempre così.

Dal controllo del traffico allo stalking

Tra le varie tipologie di videocamere installate nelle nostre strade, alcune sono specificamente progettate per il controllo del traffico. Queste videocamere sono collegate a un software per il riconoscimento dei numeri di targa (Licence Plate Recognition). Tutti sanno che questo tipo di videocamere è messo a disposizione delle forze dell’ordine e della magistratura per risalire agli autori di infrazioni o reati. Ma ormai da anni queste sono utilizzate anche per applicazioni commerciali a grande diffusione: la più comune riguarda i parcheggi. Quando utilizziamo un parcheggio a pagamento, spesso vi sono sistemi di riconoscimento delle targhe. Vengono utilizzati sia per tracciare gli automobilisti e evitare che qualcuno vada via senza pagare, sia per eseguire pagamenti automatici. Sono infatti disponibili, in alcune città, delle soluzioni di sosta “al volo”: non c’è bisogno di iniziare manualmente la sosta, usando l’app o una colonnina per il pagamento. Se si dispone di un account nell’app del gestore del parcheggio, appena la videocamera riconosce la targa in un posteggio viene registrato l’inizio della sosta, che ovviamente termina appena si sposta il veicolo. Se si deve solo fare un acquisto veloce in un negozio non si perde tempo: si parcheggia, si va nel negozio, e si riprende l’automobile. Se la sosta è durata sei minuti, il corrispettivo per quei pochi minuti verrà automaticamente detratto dall’account. Questo vale anche per le varie situazioni di sosta gratuita con limite temporale, nei quali la targa viene registrata per assicurarsi che la permanenza nel posteggio non superi il limite imposto (es: 30 o 60 minuti, la classica sosta con “disco orario”). Naturalmente, queste app e il connesso riconoscimento delle targhe vengono anche usati per notifiche, per esempio per ricordare a un utente dove ha lasciato la macchina, da quanto tempo, e quanto sta pagando. Ed è qui che si presenta la vulnerabilità: queste sono informazioni sensibili, perché permettono di identificare in tempo reale la posizione di un veicolo. Se fossero accessibili soltanto al legittimo proprietario non ci sarebbe alcun problema, ma come fare a identificarlo? La soluzione di molti servizi di parcheggio è in realtà priva di qualsiasi meccanismo di identificazione: per utilizzarli basta inserire il numero di targa. Questo significa che chiunque conosca la targa di una potenziale vittima, può iscriversi a suo nome e ricevere notifiche sui suoi spostamenti. Non è in alcun modo necessario dimostrare di essere i legittimi proprietari del veicolo.

Usando le notifiche ricevute, platescan traccia la posizione del veicolo e ricostruisce il suo tragitto da un parcheggio all’altro.
[FONTE: https://notmyplate.com/whitepaper/]

Lo studio olandese

Lo studio olandese si è basato su due gestori dei parcheggi diffusi in tutta Europa: Indigo e Q-Park. A un campione selezionato casualmente di 120 utenti volontari è stato richiesto di fornire il proprio numero di targa. Gli autori dello studio (il gruppo di ricerca Intidc) hanno poi sfruttato le API dei backend cui si appoggiano le app di Indigo e Q-Park per tracciare tutte le targhe. La metodologia è in realtà piuttosto semplice: si sfrutta il facile session hijacking, dal momento che l’unica “autenticazione” è data dal numero di targa. Per seguire una automobile è in molti casi sufficiente creare automaticamente un nuovo account, assegnarvi del credito o un metodo di pagamento (es: PayPal), e il numero di targa, dichiarando di avere iniziato una nuova sosta in un parcheggio supportato dal gestore selezionato. A questo punto si effettua un pagamento per la sosta in questione, e da questo momento l’account creato verrà considerato legittimamente associato alla targa. Sostanzialmente, la sicurezza è affidata all’idea che nessuno pagherebbe una sosta per conto di qualcun altro. Che per le persone normali potrebbe anche essere vero, ma uno stalker o qualche altro tipo di criminale probabilmente non si farebbe troppi problemi a spendere qualche spicciolo pur di poter in futuro tracciare la posizione di una vittima. Un account connesso a una targa, infatti, riceve automaticamente delle notifiche dal server su tutte le future soste effettuate, e a volte (dipende dal gestore del parcheggio) persino sulle potenziali soste: quando una automobile, che magari è solo di passaggio e non ha davvero intenzione di parcheggiare, viene riconosciuta da una videocamera, il server fornisce la lista dei luoghi di parcheggio più vicini. E questo consente di tracciare la posizione di un veicolo entro un certo raggio. Siccome è disponibile una mappa di tutti i punti di parcheggio, è possibile tracciare la posizione di un utente per molto tempo, interrogando le API del server e memorizzando tutte le notifiche che arrivano.

Entità della vulnerabilità

Questa vulnerabilità non è dovuta a un bug, ma a una scelta di progettazione di molte app dei gestori dei parcheggi europei. Per incentivare gli utenti a utilizzarle è stata tolta ogni complicazione possibile, è questo significa qualsiasi meccanismo di identificazione reale.  L’autore dello studio propone una serie di possibili meccanismi di identificazione del legittimo proprietario del veicolo, ma è probabile che nessuno di essi possa davvero essere utilizzato: gli utenti sono pigri, e se si aggiunge qualche complicazione è possibile che smettano di usare l’app. Il problema è che basta avere una automobile e usarla per essere potenzialmente tracciabili, non è necessario che l’utente abbia nemmeno mai usato le app per pagare il parcheggio.
Per quanto riguarda l’Italia, gli autori dello studio hanno trovato tre diversi gestori di parcheggio potenzialmente vulnerabili: EasyPark, Interparking, e APCOA. Per Interparking le API consentono a una utenza di assegnarsi un unico numero di targa, e questo renderebbe più complesso un eventuale tentativo di sorveglianza di massa, sarebbe necessario creare tanti diversi account, ma è comunque piuttosto facile seguire una unica “vittima”. In altre parole, questa metodologia potrebbe dare a schiere di stalker e altri criminali la possibilità di seguire con facilità delle vittime.

La soluzione

Come accennavamo, una vera soluzione non esiste: soltanto una vera identificazione del legittimo proprietario del veicolo potrebbe funzionare, ma è improbabile che accada perché gli utenti preferiscono la comodità alla sicurezza. L’unica attuale mossa per chi è preoccupato di poter essere seguito, in particolare persone che temono di essere vittime di uno stalker, è chiedere ai gestori dei parcheggi di rimuovere la propria targa dai database e evitare di registrarla in futuro. Considerando che il numero di targa di un veicolo è un dato sensibile, è possibile chiederne la rimozione scrivendo al responsabile per il GDPR di ogni azienda. Sarebbe anche auspicabile una sorta di “registro delle opposizioni”, che però funzionerebbe soltanto se tutte le aziende che gestiscono parcheggi accettassero di rispettarlo.

Una tabella delle app di parcheggio dei principali paesi europei, stilata dai responsabili dello studio sul session hijacking.
[FONTE: https://notmyplate.com/whitepaper/]