Migliaia di app Android registrano informazioni quali la localizzazione e l’elenco delle chiamate ricevute/ effettuate, anche quando l’utente nega espressamente questa possibilità.
Il problema è stato evidenziato da ricercatori dell’International Computer Science Institute i quali hanno individuato (PDF) 1325 app Android che registrano dati dai dispositivi, e se n’è parlato anche a fine giugno in occasione dell’evento PrivacyCon della Federal Trade Commission (FTC).
Serge Egelman, direttore responsabile usable security and privacy research dell’International Computer Science Institute (ICSI), riferisce che i consumatori hanno a disposizione pochi strumenti per controllare con ragionevole sicurezza le impostazioni della privacy. “Se gli sviluppatori di app hanno la possibilità aggirare con facilità il sistema, la richiesta di permessi di quest’ultimo agli utenti è un’opzione relativamente insignificante”.
Egelman riferisce ancora di avere avvertito sia Google, sia l’FTC di questi problemi e Big G ha fatto sapere che il problema dovrebbe essere risolto con Android Q, nuovo sistema operativo che dovrebbe essere presentato entro l’anno.
Lo studio ha riguardato oltre 88.000 app dal Google Play Store, analizzando le modalità usate per trasferire i dati all’app quando l’utente nega il consenso. Le 1325 app Android che violano i permessi sfruttano stratagemmi nascosti nel codice per ottenere dati da sorgenti quali le connessioni WiFi e i metadati memorizzati nelle foto.
Un’app di foto-editing denominata Shutterfly, ad esempio, ottiene dati tenendo conto delle coordinate GPS nelle foto e invia dettagli a suoi server, anche quando l’utente non accorda espressamente il permesso di farlo. Un portavoce di Shutterfly ha dichiarato che la loro app non legge nessun dato, nonostante i ricercatori affermino il contrario.
“Come altri servizi fotografici, Shutterfly usa i dati per migliorare l’esperienza utente offrendo funzionalità quali la categorizzazione e suggerimenti sui prodotti, tutto in conformità alle policy sulla privacy di Shutterfly e gli accordi per gli sviluppatori di Android”.
Alcune app fanno affidamento ad altre app per ottenere permessi che consentono di sbirciare nei dati degli utenti, manipolando l’accesso per ottenere dettagli quali il codice IMEI (il numero univoco utile a identificare un qualsiasi dispositivo). Copiano questi dati sulla SD Card e riescono a raccogliere dati ai quali altrimenti non avrebbero modo di accedere. Consentendo dunque ad altre app di accedere a cartelle sulla memoria SD, app di terze parti potrebbero avere accesso a informazioni personali. Tra le app che sfruttano questa peculiarità, l’app di Baidu e quella per i parchi Disneyland. Tra le app in grado di leggere dati all’insaputa dell’utente anche Health e Browser di Samsung, installate su oltre 500 milioni di dispositivi.
App che spiano gli utenti su Android, non sono una novità. In passato sono stati individuati dispositivi che ogni 72 ore inviano dati a server cinesi, trastemmendo attivamente informazioni quali il corpo completo dei messaggi, la lista dei contatti, lo storico delle chiamate completo di tutti i numeri, identificativi univoci del dispositivo quali l’International Mobile Subscriber Identity (IMSI) e l’International Mobile Equipment Identity (IMEI).
Su macitynet trovate decine di articoli e suggerimenti sulla sicurezza informatica a partire da questa pagina.
