sábado, enero 03, 2015

Famosos, no famosos y terroristas publican en Twitter su ubicación GPS. ¿Lo haces tú?

Desde que los smartphones vienen con GPS integrado, casi cualquier servicio que se precie en Internet tiene la opción de añadir la geoposición de dónde estás y añadirla como metadatos de la interacción con él. De esta forma, sin casi saberlo, estás dejando tu ubicación. En el caso de Twitter en concreto, las posibilidades de dejar un rastro de tu posición son muchas, ya que los mensajes a veces son enviados desde otras aplicaciones que también pueden ayudar a al filtrado de tu información GPS, lo que lo convierte en una fuente de información fantástica para localizar personas.

Figura 1: Famosos, no famosos y Terroristas publican twitts con ubicación GPS

A veces la información viene directamente desde la propia aplicación. Twitter tiene una opción en la que puedes registrar los mensajes con la ubicación GPS en la que te encuentras. Esto le ocurrió a este Terrorista de Nueva Zelanda, que tras darse cuenta de su craso error decidió borrar todos los mensajes. Pero ya era tarde, la filtración se había producido y tendría que vivir con ello.

Figura 2: Los mensajes del terrorista con ubicación GPS activada

No hay que irse a casos tan remotos para encontrar personas que tienen este mismo problema. En Eleven Paths creamos una pequeña Prueba de Concepto que se conecta al Timeline de una cuenta Twitter, se descarga los últimos 200 mensajes publicados y busca en ellos la ubicación GPS. Las sorpresas que nos hemos llevado son grandes, ya que famosos y no tan famosos dejan sin querer esta opción activada.

Figura 3: PoC de Eleven Paths para sacar ubicación GPS de Timeline de Twitter

No voy a dejar el nombre de quién es cada uno de los mapas, pero como se puede ver, sabiendo la ubicación desde la que más se ponen mensajes en Twitter, analizando las horas, y el contenido de los mismos, es posible no solo saber dónde está a una hora, sino si es una ubicación personal, laboral, o casual de una determinada persona.

Figura 4: Se puede ver en qué ubicaciones se ponen más mensajes en Twitter y a qué horas

Mucha gente no lo hace por descuido, sino porque es un amante de estos servicios. En el caso de Steve Wozniak es posible ver que casi todos sus twitts tienen activada la ubicación. Solo los que realiza desde su equipo personal, y no desde el smartphone, van sin estos datos.

Figura 5: Twitts de Steve Wozniak con GPS en su paso por Madrid

Quiero recalcar, que existen herramientas para falsificar la ubicación GPS - como ya vimos con el caso de Stamphoto, y que además los mensajes en Twitter se pueden programar, con lo que alguien podría falsear su vida tranquilamente, tal y como explicó Yago Jesús en "cómo crear la coartada tecnología perfecta". Para comprobar que la información que se ha obtenido es veraz, habría que convertir estos indicios en pruebas con trabajo de campo.

Hay muchas herramientas que hacen justo lo contrario, y preguntan al API de Twitter por cuentas que estén publicando mensajes en una determinada ubicación GPS, con lo que se puede saber quién vive cerca de ti, o está twitteando (o poniendo mensajes geo-localizados en Facebook) en un determinado lugar. Esto es lo que aprovechó el juego Watchdogs para hacer esta promo de la ciudad de Londres, París y Berlín, pero con apps puedes verlo en cualquier sitio.

Figura 6: We Are Data en Londres de Watchdogs

No solo de la ubicación GPS asociada a los twitts es de donde se puede extraer información de una cuenta Twitter. También de las fotografías que se publican y los metadatos. Muchos son los ejemplos vistos en el pasado en el que se utiliza la ubicación GPS de fotografías para localizar personas - como al señor McAffe cuando estaba en fuga - y hay herramientas como Cree.py que se conectan al Timeline de una cuenta, se descargan todas las fotografías y extraen de ellas el metadatos asociados a la ubicación GPS, además de hacerlo también con los enlaces a fotografías, info GPS del twitt y mensajes de FourSquare, y también de cuentas Flickr e Instagram.

Figura 7: Creepy para OS X con plugins para Twitter, Flickr e Instagram

Esta fuga de información se produce cuando es la cámara del smartphone la que tiene permitido el acceso al GPS y graba en cada fotografía ese dato. Después, cuando se publica, se filtra sin querer ese dato y se puede extraer la información GPS asociada al mismo. Por supuesto, mucho más sencillo es cuando las personas van publicando donde están con servicios como FourSquare, en el que hacen Checkin. De nuevo, Steve Wozniak como ejemplo que era un usuario activo de este servicio, se puede ver que Cree.py obtiene estos datos para hacer el seguimiento de la ubicación.

Figura 8: Mapa de ubicaciones creado con twitts de FourSquare

Al final, publicar tu ubicación como parte de los metadatos de un servicio puede ser bueno o malo, dependiendo de lo que tu quieras, pero lo que realmente es malo es que los publiques sin saber que los estás publicando.

Actualizado: Como han comentado por Twitter, la herramienta TinfoLeak de Vicente Aguilera puede ayudar a analizar una cuenta para sacar información de ubicaciones. En el siguiente vídeo tienes un ejemplo de uso:


Figura 9: Tinfoleak de Vicente Aguilera

Si quieres borrar la información GPS de los tweets que has publicado, aquí tienes cómo hacerlo.

Saludos Malignos!

7 comentarios:

Fernando Gómez dijo...

Jo jo el Creepy es realmente divertido, no siempre funciona bien para Windows, pero te da muchas sorpresas. Buena herramienta para descubrir troles, p.Ej aunque la gente cada vez se lo sabe mejor y desactiva la localización del movil.

Saludos

Alejandro P dijo...

Buenas Chema,

Creo que en el caso de Instagram y Twitter, no son los metadatos(EXIF) de la imagen los que dan la ubicación, si no los "metadatos" del mensaje. Es decir que si yo hago una foto en el punto A pero la subo en el punto B con geolocalización, la posición del tweet es la del punto B.

Por suerte o por desgracia, cree.py ya no puede extraer la localización de la foto usando los metadatos de la propia foto, ya que Twitter, Facebook e Instagram los borran por seguridad, desde hace tiempo, yo creo que más de 3 años. Una buena PoC fue esta [1] pero tiene más de 4 años!

El caso de Flickr es distinto, ellos sí conservan los metadatos EXIF, pero el número de usuarios y el tipo de público es un poco distinto de las anteriores, vamos no creo que el ningún terrorista le de por subir fotos hechas con su reflex a Flickr :)

Yo juraría que ya habías hablado de esto, que los metadatos EXIF eran eliminados, pero leyendo los últimos me da la impresión de que das a entender que se llegan a publicar.

Un saludo y buen 2015 Chema!!
Alejandro.

[1] http://zaalabs.com/2010/07/finding-celebrity-locations-via-twitter/

Kami dijo...

Nas!
Comentas en las dos primeras imágenes de la prueba de concepto que no dirás quienes son, pero aparece una referencia en la sección 'Search Now'. ¿Es algo intencionado?

Un Saludo

Maligno dijo...

@Alejandro, Creepy saca info de las imágenes de servicios de almacenes externos, además de hacerlo también de la info GPS del twitt y de los mensajes de FourSquare.

Además tira de Instagram y Flickr, sacando de ellos la info de las publicaciones en Instagram y de los metadatos el segundo.

Al final, la idea de Creepy es ser una plataforma para sacar ubicaciones de "dónde se pueda" de cada servicio online. Saludos!

Maligno dijo...

@Kami, un error mío. Subsanado.

Saludos!

@carlosblanco dijo...

Querido Chema:

Tal vez si dejaras de stalkearme y me marcaras y me dijeras que te gusto ya no tendrías que stalkearme.

xoxo

Maligno dijo...

@carlosblanco... yo te ailofiu!! sorry, se me escapó la imagen }XD Que los reyes magos te traigan muchas cosas.

Saludos!

Entrada destacada

Joinnovation & KeepCoding Connect: 2 Eventos para DOERS en #Madrid

Ayer fue el día de ver los proyectos de EQUINOX , el hackathon de ElevenPaths donde durante 24 horas se lanzan proyectos que normalmente ...

Entradas populares