Quando installi una nuova app sul tuo cellulare, credi di fornire solo le informazioni che approvi. E se non fosse così? Scopri tutto quello che c’è da sapere sulla privacy su smartphone.
Ebbene, è stato scoperto che oltre 1.000 app si appropriano dei tuoi dati anche dopo aver negato loro le autorizzazioni. Talvolta capita che vengano condivise informazioni sensibili con Facebook o con altre società di cui non avevi idea. Allo stesso modo, le app progettate per bloccare i robocall condividono i dati del tuo telefono con società di analisi. Risolto un problema, ne sorge un altro.
Ogni volta che un dispositivo invia dati, il traffico viene acquisito e registrato. La tua posizione viene utilizzata quando controlli il tempo, ma le stesse informazioni possono essere inviate agli inserzionisti. I ricercatori hanno gli strumenti per visionare quel determinato registro e lo analizzano per capire quanti dati vengono inviati e dove si trovano effettivamente.
In genere, quel tipo di analisi sul traffico di rete veniva utilizzato per fornire una finestra su ciò che accadeva sulle reti Wi-Fi pubbliche. Negli ultimi anni, tuttavia, i ricercatori hanno esteso i controlli ai telefoni per individuare quali dati vengono inviati dalle app sui loro dispositivi.
“Se i dati provengono dal telefono, puoi vederli. È così semplice.”
Il ricercatore Will Strafach
Cosa hanno scoperto analizzando la privacy su smartphone? La risposta giace nell’evidenza che molte app siano solite inviare dati che vanno al di là di ciò che le persone concordano in base alle politiche sulla privacy e alle richieste di autorizzazione.
“Alla fine, ti rimane una politica essenzialmente insignificante perché non descrive ciò che sta accadendo accuratamente. L’unico modo per rispondere a questa domanda è entrare e vedere cosa sta facendo l’app con quei dati.”
Serge Egelman, direttore della ricerca sulla sicurezza e la privacy utilizzabile presso l’International Computer Science Institute
A volte, i dati sono solo diretti agli inserzionisti, che pensano di poterli utilizzare per venderti prodotti. I dati sulla posizione dello smartphone, in particolare, possono essere una miniera d’oro per comprendere dove si trovano le persone in determinati momenti. Recentemente, il Wall Street Journal ha riferito che le agenzie governative stavano usando tali dati per rintracciare gli immigrati.
Questi ricercatori stanno facendo luce su un mondo che ci viene nascosto circa il tracciamento dei dati e stanno sollevando preoccupazioni su quante informazioni le persone stanno divulgando senza esserne a conoscenza.
Privacy su smartphone: tracciamento della posizione
Will Strafach ha iniziato a esaminare il traffico di rete nel 2017, quando lavorava presso Guardian, una compagnia di sicurezza mobile che ha co-fondato.
La società ha creato uno strumento software che le aziende potrebbero utilizzare per analizzare le app dei propri clienti, incluso il traffico di rete. La quantità di dati provenienti da queste diverse app ha letteralmente sbalordito Strafach.
Alcune app hanno fornito dati sulla posizione, inviando fino a 200 risultati nell’arco di 12 ore. Anche quando i servizi GPS di un telefono erano disattivati, Strafach ha scoperto delle lacune che consentivano il tracciamento dei dati, come la raccolta di informazioni sulla posizione quando un telefono si connetteva a una rete Wi-Fi.
L’entità del problema è cresciuta ancor di più quando ha scoperto che AccuWeather, una popolare app meteo, stesse inviando i dati sulla posizione dell’utente anche quando la condivisione della posizione era disattivata.
Strafach ha riscontrato che i localizzatori di posizione nascosti, come AccuWeather, rappresentano alcuni tra i più allarmanti problemi di privacy su smartphone. Le persone autorizzano le app per lo scopo previsto, come trovare il benzinaio più economico nelle vicinanze, ma non si rendono conto che dietro le quinte le informazioni vengono condivise con i broker di dati.
Privacy su smartphone: un lavoro persistente
Bill Budington, un tecnico senior della Electronic Frontier Foundation, fa analisi di rete da oltre un decennio, costruendo strumenti come Panopticlick per mostrare quanto sia ampiamente tracciata la tua navigazione web.
Nell’ultimo anno, Budington ha iniziato a concentrarsi sulle app mobili. Ha rapidamente trovato una rete interconnessa di app che condividevano tutte le informazioni degli utenti.
A gennaio, ha pubblicato un rapporto rilevante i dettagli di una app installata su Android. Ne risultava che fosse colma di tracker di terzi e che avesse inviato informazioni di identificazione personale agli inserzionisti e a Facebook.
Spesso, non è una singola app a preoccupare.
La principale preoccupazione di Budington nei confronti dei tracker è un concetto noto come “fingerprinting del dispositivo”. Questo è quando un tracker cerca un modo unico e persistente per identificare un utente, anche quando i dati dovrebbero essere anonimi.
Questo è un problema che i giganti della tecnologia hanno tentato di affrontare. Nel 2018, Apple ha dichiarato che avrebbe iniziato a bloccare le impronte digitali del dispositivo sul suo browser Safari.
L’impronta digitale può funzionare in molti modi. Alcuni tracker raccoglieranno dati su impostazioni, caratteri e app da utilizzare come impronta digitale. Funziona perché è improbabile che qualcun altro abbia le stesse identiche configurazioni.
Sulle app mobili, è ancora più semplice perché Apple e Google forniscono l’identificazione per i loro dispositivi. Spesso puoi modificare questo ID, ma i tracker possono comunque accedere ai dati. E poiché hanno già l’indirizzo IP o il numero hardware del dispositivo, è abbastanza facile abbinare il dispositivo al nuovo ID.
Ma quanto può essere relativo il concetto di privacy su smartphone?
Privacy su smartphone: gioco di squadra
All’International Computer Science Institute dell’Università della California di Berkeley, Egelman guida un team di circa 10 ricercatori in un laboratorio che utilizza più telefoni Android programmati per cercare nuove app – nel Play Store di Google – e capire quali dati ciascuna app riceva dai dispositivi.
Berkeley ha studiato la privacy su smartphone negli ultimi otto anni e ha iniziato a esaminare l’analisi del traffico di rete negli ultimi cinque.
Il suo team ha modificato una versione del sistema operativo open source di Android in modo che registrasse tutti i dati inviati da un dispositivo e dove venivano effettivamente inviati.
La versione personalizzata ha consentito a Egelman e al suo team di osservare chiaramente tutto ciò che fa un’app, non solo il suo traffico di rete. In alcuni casi, le app hanno tentato di accedere ai dati sulla posizione ma non di inviarli tramite la rete.
Lo strumento cerca nuove app e le aggiunge a un database, che le monitora ogni due settimane per analizzare se sono stati aggiunti nuovi tracker al codice di quell’app specifica.
Come Budington, Egelman ha affermato che la principale preoccupazione che ha riscontrato durante la ricerca di app mobili è l’identificazione persistente. Nel 2019, Egelman ha reso noti i risultati di una ricerca che ha messo in auge il fatto che circa 17.000 app Android stessero creando un registro permanente dell’attività del dispositivo collegando un ID a identificatori univoci che non potevano essere modificati, come il numero hardware del dispositivo.
Più di un anno dopo, ha detto, nulla è cambiato.
“È assolutamente scioccante e nessuno lo sta prendendo sul serio. I consumatori ricevono una politica sulla privacy e forse alcune richieste di autorizzazione. Le richieste non includono gli identificatori persistenti che vengono utilizzati. L’utenza, quindi, non ha modo di saperlo”.
Serge Egelman
Privacy su smartphone: cosa puoi fare
Non c’è molto che puoi fare per proteggerti da questi tracker oltre a non scaricare app ambigue, per esempio. Ma a meno che tu non sappia quali app a cui prestare attenzione, è un brancolare nel buio.
Secondo Budington, infatti, il primo problema è la confusione generata che porta a non essere in grado di proteggersi. Come, piuttosto.
Esistono alcuni modi per farlo. Ovviamente, non sono infallibili.
Egelman ha preso lo strumento di ricerca del suo laboratorio e lo ha trasformato in un metodo che le persone possono utilizzare per verificare la presenza di app anomale sui propri dispositivi.
Non si aspetta che ogni singola persona impari improvvisamente come eseguire l’analisi del traffico di rete, né si pretende che ogni persona lo faccia.
“Se è necessario il lavoro di un team di ricercatori affinchè possano ispezionare il traffico di rete per capire esattamente il funzionamento delle app, non è ragionevole aspettarsi che il consumatore medio lo faccia in perfetta autonomia. Ciò di cui abbiamo bisogno, al contrario, sono degli strumenti appositi che possano monitorare il tutto. Lo scopo è fare le veci dei consumatori, insomma”.
Serge Egelman
Egelman ha offerto i suoi strumenti attraverso una startup chiamata AppCensus che ti consente di constatare quali dati vengono inviati e dove vengono inviati. Il team sta inoltre lavorando su un’app ulteriore che ti avviserebbe ogni volta che i dati identificativi vengono inviati ai tracker.
Strumenti come CharlesProxy sono disponibili per scaricare e intercettare il traffico di rete dal tuo dispositivo. Imparare a usarli, tuttavia, è più complesso.
Strafach di Guardian ha affermato che la sua azienda sta lavorando a un aggiornamento della sua app firewall che avviserebbe le persone ogni volta che un’app si sta appropriando di più dati di quanto si supponga.
“Ci sono molte persone che vorrebbero essere in grado di imparare ad usare questi strumenti. Se il giorno in cui saranno rese più indipendenti arriverà, la privacy su smartphone diventerà una prerogativa fondamentale e non passerà in secondo piano”.
Strafach di Guardian