Fino ad oggi, nelle foto che si inviano tramite Messenger non comparivano i metadati in chiaro, come quelli Exif riguardanti la posizione [Geotag, IPTC], ma scaricandole ed analizzandole con un tool forense o di analisi dei metadati come Exiftool, si potevano osservare alcuni campi come SpecialInstructions e CurrentIPTCDigest. Scaricando una stessa foto ADESSO (stasera 22/02/2020), ma ricevuta giorni fa, non compare più alcuna stringa come valore e non compaiono più quei campi, come potete notare dall'esempio seguente. Sono inoltre variati la data di caricamento (date ipotetiche tipo 2012, 2009) ed il nome del file, come se ora Facebook consentisse di scaricarla da una posizione diversa. L'evento è riferito e riguarda soltanto foto scattate con un dispositivo fisico (smartphone, fotocamera, etc.), in cui è presente un GPS e potrebbe inviare dati con Geotag, ma non screenshot, in cui non sono mai apparsi i campi SpecialInstructions e CurrentIPTCDigest. Questa è l'analisi di una foto inviatami alcuni giorni fa, scattata da un cellulare e scaricata ieri:

E questa è l'analisi della stessa foto scaricata stasera:

Ricordiamo che il funzionamento dell'invio di un'immagine su Messenger è questo: io scatto una foto con il cellulare e la invio su Messenger, in quello stesso momento viene caricata (e molto probabilmente archiviata segretamente sui server Facebook), mentre una sua copia compressa (per necessità di spazio) e senza metatadati identificativi viene istantaneamente creata ed inviata al destinatario.

Come si poteva notare, i metadati IPTC venivano rimossi, ma appariva una stringa nel campo CurrentIPTCDigest ed una in SpecialInstructions. L'ultimo era un valore di 10 gruppi da 4 bytes [esclusi i riempimenti di 0000 e l'inizio FBMD (FaceBook Metadata) e le prime cifre quasi uguali per ogni foto]. Chiaramente la stringa "hidden" SpecialInstructions rappresenta ad ogni modo una forma di tracking da parte del Social Network, per le foto in cui rimane, ovvero quelle caricate nel proprio profilo Facebook, anche se da quelle inviate tramite Messenger è stata rimossa. Analizziamo ora il "tag structuring" dei metadata di un'immagine.

1. ProfileID e ProfileDateTime sono valori uguali in ogni foto, di qualsiasi profilo utente che ho confrontato, e sono, rispettivamente, 29f83ddeaff255ae7842fae4ca83390d e 2009:03:27 21:36:31 (in alcuni casi ho trovato invece 2012:01:25 03:41:57); 2. CurrentIPTCDigest e SpecialInstructions sono stati rimossi dalle foto ricevute su Messenger, anche in precedenza, e scaricate dal 22 febbraio 2020, ma, mentre il Digest non è reversabile, è potenzialmente "decriptabile" e traslabile in chiaro la stringa di SpecialInstructions, vedendola come valore di 4 bytes*10, composto da combinazioni di numeri da 0 a 9 e lettere a-f; le ipotesi in merito all'espressione di significato di questi due valori possono essere molte: personalmente non credo che siano metadati riconducibili ad una posizione geografica o ad info sul dispositivo utilizzato per scattare la foto, in formato criptato, ma una forma codificata di dati che identifica univocamente un'immagine sui server Facebook; una sorta di Watermark embedded nelle immagini, per poter risalire all'iniziale proprietà di una foto e stabilire se sono avvenuti infrangimenti di Copyright, abusi di varia natura caricando foto vietate dal regolamento di Facebook, etc. Tutto ciò sarebbe in ogni caso un preciso tracciamento delle attività dei singoli utenti. 3. gli altri metadati sono relativi soltanto al formato dell'immagine, i colori, etc., ma nessuna informazione sensibile (sensitive information). Osservate ora questo codice in PHP presente su GitHub

Esso dimostra come sia possibile inserire dei dati a piacere come valori dei parametri elencati e di cui è stata fatta una mappatura degli array. Cosa che indubbiamente rappresenta un problema.

Cosa avrà spinto gli sviluppatori di Facebook a rimuovere quei 2 campi proprio ora, anni dopo averli inseriti, e a modificare la sorgente da cui le foto vengono scaricate? Forse paura di Data Leaks, che avrebbero teoricamente consentito di accedere ad informazioni sensibili per ogni utente?

E' assurdo pensare che esista un url, magari in origine rappresentato in parte dalla stringa del valore di SpecialInstructions, dove sono conservate informazioni identificative di ogni utente, magari in grado di permettere un tracking anche al di fuori della piattaforma Facebook? Ho fatto in tempo ad effettuare alcune prove, inserendo quella stringa in vari modi, così da formulare un url completo; non è apparso nulla, ma il caso strano è che proprio dopo aver fatto ciò, non è stato più possibile scaricare la stessa foto [ricevuta giorni prima] con gli stessi metadata, nome file e la medesima data. Quale pensate che fosse la funzione del valore SpecialInstructions?

Se ricevete chiamate ed SMS con numeri inesistenti o alfanumerici a cui è impossibile rispondere, probabilmente si tratta di mittenti che hanno utilizzato uno dei seguenti servizi, per spam [pubblicità], o anche per inviare link di phishing. Dimenticatevi i servizi a pagamento di spoofing telefonico tipo SpoofBox e SpoofCard, per le chiamate è sufficiente richiedere un free trial ad un SIP Trunk Provider [es. CommPeak o Telnyx], si imposta il Caller ID o Dynamic Caller ID che si desidera e si chiama in tutto il mondo, solitamente tramite Webphone, o più frequentemente attraverso un client VoIP [utilizzabile per molti altri servizi che vedremo]. Nella maggior parte dei casi viene dato del credito di prova gratuito, che per chiamate di pochi minuti o secondi è più che sufficiente fino a quando non si cambia servizio. In alcuni casi viene fornito anche un numero privato dedicato per chiamate e messaggi, utilizzabile in tutto il mondo. La maggior parte delle volte si possono attivare senza grosse difficoltà e senza necessità di fornire documenti di identità.

Un altro metodo, destinato ad un uso saltuario (es.: uno scherzo), causa costo elevato della chiamata, di solito verso Madagascar o altri Paesi esotici, è quello di utilizzare il servizio web/telefonico CrazyCall. Si seleziona il Paese dal quale si effettua la telefonata, il numero che si desidera far comparire e quello del destinatario; si sceglie il timbro di voce (pitch) che si vuole avere durante la chiamata: Normal (il proprio, non alterato), Low (basso, maschile) o High (alto, femminile) e si preme Get me a code. Dopodiché è necessario chiamare uno dei due numeri internazionali che compaiono, inserendo il PIN apparso sul sito dopo aver premuto il pulsante di invio; si attende in linea e la chiamata viene trasferita verso il destinatario, facendo comparire il numero prescelto. Ripetiamo, la chiamata ha un costo molto elevato.

Per gli SMS esistono servizi dedicati alle campagne di marketing delle aziende, che hanno appuno necessità di spedire messaggi in grandi quantità, con un unico mittente personalizzato [il nome della ditta o un numero no-reply]. Uno di questi servizi è Aimon, che permette di inviare 25 SMS al mese gratuitamente, scegliendo il numero o il nome del mittente da far comparire. Se avete dei dubbi, non aprite links e NON effettuate il login a nessuno dei vostri account da messaggi provenienti da numeri apparentemente inverosimili, o se sembrano messaggi da mittente non autentico.

Gli avvisi di sicurezza ricordano sempre che è rischioso utilizzare password semplici, senza caratteri speciali, corte e condivise con altri siti, ma non tengono in considerazione che basta un tap su YES, magari mentre si sta chattando e già si premono dei tasti, o appena effettuato veramente il login da voi... ed ecco che si autorizza l'accesso e la modifica delle password degli accounts di Google e Facebook, a chi proprio in quel momento sta cercando di entrare e compromettere i vostri profili e con una banale scusa vi induce a premere la conferma. Il messaggio di autorizzazione dell'accesso che appare sul dispositivo non è abbastanza esplicito, ovvero indica che si sta in generale approvando un accesso al proprio account Google, ma non segnala che dietro c'è una richiesta di recupero e reimpostazione password, per lo stesso Google ma anche Facebook. Non soltanto con il Main Login possono esserci dei problemi e bisogna prestare attenzione, quindi. Un metodo per limitare la possibilità a terzi di accedere ai vostri accounts, è quello di attivare la 2FA [Autenticazione a 2 Fattori, di cui si parlerà prossimamente] su ogni account dove è disponibile.