Le app di incontri hanno alzato il muro contro la geolocalizzazione, ma il muro è scavalcabile. Una serie di test condotti su una popolazione di profili Tinder mostra che la cella di residenza di un utente collassa sotto i 200 metri dopo poche ore di raccolta dati, e nei casi migliori scende a 115. Non con un exploit, non con un’API privata: solo geometria, minimi quadrati pesati e qualche centinaio di avvistamenti dalla stessa rete. Le mitigazioni esistono, funzionano contro chi non insiste, e non bastano contro chi insiste.
115metricella di residenza best case
±805metrierrore singolo ping
465metri σdeviazione tipica lettura
200metrisoglia residenza ricostruita
10+avvistamentiper stringere a 100 m
Per le aziende che trattano dipendenti esposti, risorse umane di multinazionali, executive con ruoli sensibili, giornalisti, personale diplomatico, vittime di stalking sotto programmi di protezione, il dato è una calibrazione utile. La geolocalizzazione tramite dating app non è una minaccia teorica: è una pipeline che gira oggi, usa codice di pubblico dominio sul calcolo dei minimi quadrati non lineari, e produce risultati metrici. Le policy sulla sicurezza personale ferme al concetto di “non condividere la posizione” sono già obsolete: la posizione viene trasmessa dall’app anche quando l’utente crede di averla disattivata.
Le tre contromisure delle dating app hanno ucciso il metodo di trilaterazione del 2022. Ma con avvistamenti distribuiti su direzioni diverse e con la geometria giusta, la stima di posizione si ricompone con precisione metrica. Per chi raccoglie il tempo lavora a favore, e il bersaglio non deve fare nulla per fornire i dati.
Una misura da sola dà ±805 metri. Dieci da direzioni diverse danno 115.
Le tre difese che hanno ucciso il metodo del 2022
Le piattaforme di incontri hanno messo in piedi tre contromisure precise contro la trilaterazione. La distanza visualizzata è arrotondata al miglio: il “2 km” che appare nel profilo non significa 2,0 chilometri, significa “da qualche parte in una fascia spessa un miglio e mezzo”. Lo stesso profilo non viene riproposto nella stessa sessione, eliminando gli avvistamenti ripetuti gratuiti. Le risposte API sono imbottite di dati spazzatura, testo a caso, descrizioni casuali di parchi americani, per confondere chi prova a leggere il traffico in base alla dimensione delle risposte.
Errore tipico di una singola letturaσmisura = Δ / √12 = 1609 / 3,46 ≈ 465 m
Sono mitigazioni reali, hanno effetti misurabili, alzano il muro. Quanto sbagli, di preciso, se la distanza è arrotondata a un miglio? L’errore tipico di ogni singola lettura è la deviazione standard di una distribuzione uniforme su una fascia di 1609 metri: circa 465 metri di errore, con un limite assoluto di ±805 metri. Ogni avvistamento, da solo, colloca il bersaglio in una fascia spessa più di un chilometro e mezzo. Un metodo basato su tre ping vicini con la stessa distanza, contro questa difesa, muore.
GDOP, fattore geometrico (radiolocalizzazione)σposizione ≈ GDOP · σmisura, con GDOP = √tr((Hᵀ H)⁻¹)
Serve cambiare approccio. La precisione di una stima di posizione non dipende solo dalla precisione del singolo cerchio, ma da dove stanno i punti di osservazione. È il principio del GDOP in radiolocalizzazione: l’errore di posizione equivale all’errore di misura moltiplicato per un fattore puramente geometrico. Quando gli avvistamenti circondano il bersaglio, il GDOP tende a uno e l’incertezza diventa un cerchietto. Quando arrivano tutti dallo stesso lato il fattore esplode lungo la direzione perpendicolare e l’incertezza diventa un’ellisse lunga e stretta.
La regione possibile collassa con la geometria, non con la quantità
Tradotto in pratica: una direzione la conosci, la distanza lungo quella direzione no. La leva non sono “più misure”, sono misure da direzioni diverse. Su una popolazione di test si osserva la cella di incertezza scendere da 290 metri a 115 mentre i dati crescono, e il pavimento continua a calare con la copertura angolare.
| Quanto stringe la cella | Quanti profili | Tradotto |
|---|---|---|
| ≤ 115 m | best assoluto | il portone, o quasi |
| ≤ 300 m | ~16% | l’isolato |
| ≤ 500 m | ~28% | poche vie |
| ≤ 1 km | ~46% | il quartiere |
| > 2 km | ~22% | geometria sfavorevole |
Quasi metà dei profili monitorati finisce entro un chilometro dal punto di residenza reale, e una frazione consistente entro 200 metri. Sono numeri di poche ore di raccolta. L’aspetto più scomodo non è il valore puntuale, è la dinamica. Il bersaglio non deve fare niente per fornire dati: gli basta aprire l’app. Ogni sessione aggiunge un vincolo geometrico nuovo, la regione compatibile si restringe anche se in quel momento nessuno sta “seguendo” attivamente, e il sistema continua a stringere. Il tempo lavora per chi raccoglie, non per chi è raccolto.
Il bersaglio non deve fare niente. Gli basta esistere nel tempo.
Il passaggio dall’aggregato individuale alla scheda di un profilo è altrettanto meccanico. Gli avvistamenti dello stesso utente in orari diversi appartengono a luoghi diversi: forzarli tutti in una stima unica produce un “punto fantasma”, la media pesata fra casa e ufficio, un posto dove la persona non è mai stata. La soluzione è un RANSAC sequenziale: cerchi il punto che mette d’accordo più avvistamenti possibile, lo estrai, ripeti sui rimanenti. Ogni gruppo coerente è un luogo abituale. Gli avvistamenti serali finiscono in un gruppo, quelli diurni in un altro, casa e lavoro emergono separati ognuno con il proprio orario.
L’algoritmo arriva nell’isolato, una foto chiude il cerchio
L’ultimo passaggio è banale e per questo letale. La matematica ti mette in una zona di poche centinaia di metri: un pugno di palazzi. La foto sul profilo, scattata da casa, fa il resto. Un balcone, una finestra, uno scorcio sul palazzo di fronte, un campo da calcio sullo sfondo, una montagna riconoscibile. Quando c’è un dettaglio del genere, chiudere da “zona di poche centinaia di metri” a “quel preciso palazzo” è un’operazione da tre minuti di Google Maps satellitare.
La superficie di rischio si estende oltre l’app di incontri. Lo skyline dietro la spalla in una foto Instagram, la bio che nomina la palestra, l’università presente nelle foto, l’orario in cui l’utente è sempre online: ogni pezzo da solo è innocuo, sommati ricostruiscono un’identità completa. La pipeline si lega direttamente a quella del riconoscimento facciale, che lavora sui profili pubblici per identificare i volti, e produce la convergenza pericolosa: da una foto scattata per strada al profilo, dal profilo alla zona di residenza, dallo skyline al portone.
Mito vs realtà — cinque difese che funzionano a metà
- “Disattivo la posizione” l’app la trasmette comunque per calcolare la distanza altrui.
- “Apro solo da casa” proprio quella è la posizione che finisce nel calcolo della residenza.
- “Account con foto da viaggio” serve poco, la geometria del traffico ti smaschera ugualmente.
- “Solo nel weekend” aiuta solo se non lo usi mai da casa o dal lavoro.
- “VPN” non sposta il GPS, sposta solo l’IP: protezione zero su questo vettore.
Per chi cerca difesa pratica c’è poco da inventare ma molto da fare. Non aprire l’app dalla propria abitazione o dal posto di lavoro resta la singola contromisura più efficace, perché la posizione trasmessa è quella usata per calcolare la distanza visualizzata agli altri. Negare alla dating app il permesso di posizione in background, lasciandola solo “mentre usi l’app”, è obbligatorio, altrimenti il telefono la aggiorna comunque. La pulizia della bio (palestra, università, quartiere, posto di lavoro) toglie tessere al mosaico. Il controllo di ciò che è inquadrato dietro le proprie foto, insegne, palazzi riconoscibili, vetrate identificabili, riduce la possibilità che lo sfondo faccia il lavoro finale.
Per le aziende il punto è più strutturale. I programmi di executive protection e le policy di sicurezza per dipendenti esposti vanno aggiornati a una minaccia che non richiede né stalking attivo né dispositivi compromessi. La superficie di rischio include ormai l’intero ecosistema delle app social-locative usate dai dipendenti nella loro vita privata, e le mitigazioni “tecniche” delle piattaforme non sostituiscono l’igiene comportamentale. Il quadro normativo europeo protegge i dati di posizione ex GDPR, ma la protezione opera contro il trattamento dichiarato, non contro il calcolo derivato che chiunque può fare a partire dai dati esposti dalle app.
Cosa non fa questa analisi
- Non viola termini di servizio in modo aggressivo: i numeri sono frutto di scraping passivo di dati esposti dall’app, non di reverse engineering attivo dell’API.
- Non simula attacchi su persone specifiche, solo aggregati statistici su popolazione di test.
- Non considera contromisure attive lato piattaforma (jamming, fingerprinting, ban) che possono cambiare numeri e geometria nel tempo.
La parte ironica è strutturale. Difendere una posizione e stimarla sono lo stesso problema matematico, visto da due lati. Le contromisure delle piattaforme e le tecniche per aggirarle sono parenti strette, ed evolveranno insieme. Il pericolo non è l’attacco eccezionale del genio che pedina di notte: è la rete paziente che scheda una città intera, isolato per isolato, abitudine per abitudine, e poi vende il dataset. Quando quei dati esistono, basta che qualcuno con cattive intenzioni ci metta le mani. Per chi viene perseguitato la differenza fra “non mi troverà mai” e “sa già dove aspettarmi” passa esattamente per quel database.
L’autore
Andrea Amani
Security Engineer · Signal Pirate
Security engineer. Sul suo laboratorio Signal Pirate smonta algoritmi, protocolli e sistemi e ne pubblica l’analisi tecnica con dati reali e codice riproducibile. Studia come funzionano le cose, dalla sicurezza offensiva agli agenti AI, e scrive quello che trova.
#Adessonews seleziona nella rete articoli di particolare interesse.
Se vuoi leggere l’articolo completo clicca sul seguente link
Andrea Amani
Source link





