Dei servizi di Virtual Private Network abbiamo avuto occasione di parlarvi spesso. Vi abbiamo consigliato le migliori VPN, approfondito il servizio dandone una definizione e descrivendone il funzionamento. E una buona VPN è un ottimo strumento per proteggere la propria privacy, navigare in modo più anonimo e accedere anche a contenuti soggetti a blocco regionale, ad esempio per sbloccare Netflix dall’estero o accedere ai cataloghi di altri Paesi.

Ma per quanto sia elevata la qualità di un servizio, nessun provider può garantire al 100% l’effettivo occultamento di tutti i vostri dati. Sebbene il tunnel criptato attraverso il quale la VPN indirizza il traffico riesca a proteggervi abbastanza bene da terzi intenzionati a raccogliere dati su di voi (che siano ISP, malintenzionati, o enti governativi), esistono sempre delle tecniche con cui è possibile ricavare alcune informazioni, ad esempio sul fuso orario impostato sul dispositivo client (per inferire la posizione effettiva) e altri metodi che possono vanificare le funzioni della VPN.

Certo, i casi limite in cui ciò costituisce un effettivo pericolo non sono tantissimi (a meno che non stiate usando Internet in un Paese che punisce severamente chi viola le restrizioni, o non stiate utilizzando la VPN in connessione ad attività illecite particolarmente gravi), ma è bene essere consapevoli che nemmeno la migliore VPN al mondo potrà proteggervi al 100%.

Detto questo, per fortuna, esistono alcune soluzioni al problema che, in combinazione con una Virtual Private Network, vi aiutano a mantenere un grado ottimale di anonimato online. Uno di questi è Vytal, un’estensione gratuita per Google Chrome e per altri browser basati su Chromium, come Microsoft Edge, per fare un esempio, che effettua lo spoofing delle informazioni ottenute con dei metodi JavaScript come Intl.DateTimeFormat().resolvedOptions() per il recupero del fuso orario o Date().toLocaleString(), che restituisce l’ora locale del client.

In totale, Vytal effettua lo spoofing di fuso orario, lingua, geolocalizzazione e user agent, tutti elementi che possono essere riconducibili alla reale posizione e ad altre informazioni su utente che crede di essere al sicuro dietro una VPN. Lo spoofing avviene tramite l’API chrome.debugger, pertanto i dati vengono “camuffati” nei frame e nei web worker, nonché durante il caricamento iniziale del sito web. Inoltre, l’operazione pare non sia rilevabile.

Ad esempio, dopo aver installato l’estensione, è possibile scegliere una location da un elenco predefinito, modificare i dati affinché ci sia la corrispondenza con l’indirizzo IP o aggiungere una location personalizzata. Questo è utile quando si usa una VPN, per fare in modo che i dati raccolti tramite i metodi JavaScript siano coerenti con la posizione del server VPN in uso. Abbiamo provato a impostare Tokyo, dopo esserci connessi a un server VPN nella capitale giapponese e poi abbiamo verificato l’indirizzo IP, che era coerente con una posizione in Giappone.

Lo strumento funziona bene, ma c’è ancora del margine di miglioramento, dato che si può registrare un ritardo tra il caricamento della pagina e l’inizio dello spoofing, con un possibile leak dei dati. In ogni caso lo script è moto efficace nel nascondere le informazioni di posizione. Lo sviluppatore, in ogni caso, prevede di aggiornare lo strumento, aggiungendo nuove funzionalità e migliorando quelle esistenti, pertanto in futuro potrebbe essere ancora più sicuro.