Attenzione a Meitu: l’app per i selfie spia gli utenti iPhone e Android

Meitu è l’app del momento: abbellisce i selfie con glitter, rossetto e fondotinta, ma i ricercatori evidenziano un eccessivo monitoraggio dei dati utente, forse rivenduti a terzi per scopi di marketing. Lo sviluppatore nega tutto

Uno scatto, due scatti, tre scatti, quattro scatti. Si prende poi la foto migliore, si aggiunge qualche ritocco qua e là, un po’ di fondotinta, una striscia di rossetto, qualche petalo di rosa a contorto. Fatto. Con Meitu, l’app del momento, ritoccare un selfie è questione di un attimo, come un attimo, per lo sviluppatore, è spiare gli utenti che la utilizzano.

L’accusa arriva da alcuni ricercatori di sicurezza che, probabilmente spinti dall’improvvisa popolarità dell’app, disponibile su App Store e Google Play Store da quasi otto anni ma super-apprezzata in primis dagli utenti americani soltanto di recente, hanno pensato che era arrivato il momento di esaminarla a fondo. Non che ci sia nulla di male, d’altronde fa parte del loro lavoro, ma quel che è stato scoperto è lungi dall’essere rincuorante per i milioni di utenti che in questi giorni l’hanno scaricata sul proprio smartphone, facendola schizzare nella Top 10 delle applicazioni gratuite di App Store in USA.

L’applicazione per iOS – spiega il ricercatore Jonathan Zdziarski – esegue una serie di controlli per capire se l’iPhone sul quale è installata è jailbroken, cioè sottoposto a Jailbreak, procedura aborrita da Apple che permette di installare meccanismi di distribuzione di app e pacchetti alternativi al software ufficiale e approvato da Apple distribuito tramite App Store. Oltre a questo Meitu raccoglie le informazioni relative all’operatore telefonico utilizzato e crea un ID univoco del dispositivo basandosi sul suo indirizzo Mac.

Se questo è quanto permette di sbirciare il sistema chiuso di Apple, ben peggiore è la situazione su Android, dove l’app richiede un considerevole numero di permessi in fase di installazione, tra cui – tra i tanti – l’accesso al GPS, alle funzioni telefoniche ed alle impostazioni audio, oltre alla possibilità di avviare automaticamente l’applicazione all’accensione del dispositivo.

Tutti questi dati raccolti, secondo i ricercatori, sono informazioni potenzialmente rivendibili alle agenzie di marketing, destinatari certamente più interessati ai profili dei singoli utenti per la distribuzione di pubblicità mirate, ma la società sviluppatrice di Meitu non è d’accordo.

Su iOS – spiegano – il codice che rileva la presenza di Jailbreak proviene da un SDK di WeChat (come Whatsapp, servizio di messaggistica molto popolare in Cina, ndr) e verrebbe utilizzato per la condivisione delle fotografie. Per quanto riguarda Android, invece, in Cina non sono disponibili i Google Play Services, necessari per garantire il funzionamento delle notifiche. Così, l’app si affiderebbe a un servizio di terze parti denominato Getui che per l’appunto richiede l’avvio dell’app all’accensione del dispositivo.

L’uso di metodi di raccolta dati “alternativi” – si legge su Cnet – è necessario in quanto i sistemi di monitoraggio tradizionali promossi da Apple sono bloccati nel suo paese nativo (Cina), ma Zdziarski non è convinto. «Meitu è un’applicazione di analisi ed acquisizione dati degli utenti mascherata da software di fotoritocco con qualche funzione carina per convincere la gente ad usarla» ammonisce «Se vi piacere essere il bersario di agenzie di marketing fate pure. Sono sicuro che chi sta comprando questi dati vi ringrazierà».

Per tutta risposta, la società sviluppatrice Xiamen Meitu Technology ha assicurato che le informazioni raccolte non vengono assolutamente rivendute a terzi. I sistemi di monitoraggio esistono per altri motivi ma non c’è da preoccuparsi, perché i dati «Sono raccolti in modo sicuro, usando sistemi di criptaggio multistrato e archiviati in server dotati di firewall avanzati e protetti da attacchi esterni».