Claudio Tamburrino

Privacy, email e rubriche adescate

La strada (illecita) battuta da Path per raccogliere i dati degli utenti sarebbe una consuetudine per le app dei social network. E gli studi mostrano che gli sviluppatori sembrano aver dimenticato la cifratura

Roma - Path non sembra essere l'unico social network mobile che accede alle rubriche degli utenti: anzi, molti di quelli attivi su iOS, citato perché preso in considerazione dagli studi finora condotti, lo farebbero. E alcune applicazioni - fino a ieri - lo facevano senza chiedere un permesso esplicito.

Quando il giovane social network Path è incappato in un problema di privacy legato a come raccoglieva i dati e gli indirizzi dalle rubriche degli utenti neo-iscritti, il primo istinto del CEO Dave Morin era stato quello di sminuire il problema e di aggrapparsi alla logica del così fan tutti: affermando che il tutto era necessario "per aiutare gli utenti a trovare velocemente i propri contatti sul social network", una pratica utile allo sviluppo di ogni social network.

In realtà si trattava di una ben misera difesa, tanto che nelle ore successive Path aveva distribuito l'aggiornamento delle sue app che risolveva anche il problema che le veniva contestato: il fatto cioè, che non chiedeva il permesso esplicito agli utenti per caricare sui propri server le loro rubriche.
Ora, tuttavia, uno studio più approfondito relativo al modus operandi di altre social app mostra come anche social network più affermati non disdegnino l'incursione nelle rubriche degli iscritti. Anche senza chiedere il permesso e comunque non pensando alla cifratura.

L'analisi effettuata dallo sviluppatore di app per iOS Paul Haddad mostra come si comportano i principali social network: Foursqaure, dice per esempio, è tra le app che hanno avuto accesso alle rubriche e caricato dati senza chiedere esplicito consenso agli utenti (fino, almeno, all'aggiornamento appena distribuito); tra quelle che richiedono invece il permesso per caricare sui propri server indirizzi e numeri di telefono dei contatti dei neo-iscritti ci sono invece, per esempio, Instagram, Facebook, Twitter (che li conserva per 18 mesi) e Voxer.

Un altro metodo di approccio alla questione, d'altronde, ci sarebbe: ad utilizzare gli stessi dati a livello locale (senza importarli, ma ottenendone comunque accesso), per esempio, sono app come quelle di Google+, Find My Frinds, Skype, Yahoo! Messenger, Quora, Textfree e AIM.

Inoltre gli sviluppatori potrebbero pensare a metodi che utilizzano i dati non sic et simpliciter, ma camuffati impiegando qualche tipo di algoritmo di hashing. Resi insomma anonimi. Questa semplice accortezza permetterebbe di evitare il rischio di furti di dati degli utenti (e dei loro contatti) da parte di malintenzionati.

Anche se Apple non intervenisse direttamente correggendo le proprie linee guida e il proprio sistema operativo, rendendo più esplicito il divieto di accesso non autorizzato ai dati della rubrica e più facile lavorare in locale su di essi, insomma, per gli sviluppatori non sarebbe comunque impossibile lavorare senza compromettere illegittimamente (e inutilmente) la privacy dei loro utente.

Quello della tutela dei dati personali, d'altronde, è un problema che anche su un sistema chiuso come iOS non rimane circoscritto alla questione della rubrica: a dirlo sono i test condotti dai ricercatori dell'Università della California e dell'International Security Systems Lab che hanno sviluppato per l'occasione lo strumento "PiOS", che analizza i dati privati che passano attraverso le app di iOS. Secondo lo studio condotto su 1.407 app gratuite, infatti, il 25 per cento di esse accede al numero unico identificativo (Unique Device Identifier, UDID) del dispositivo adottato per scaricarle, il 4 per cento carica sui propri server dati geolocalizzati e uno 0,5 per cento i dati della rubrica degli utenti.

Una situazione, peraltro, che un cambio di prospettiva da parte di Apple potrebbe cambiare. Lo stesso studio porta ad esempio la prassi delle app di Cydia, installate sugli iPhone jailbreakati: solo nel 4 per cento dei casi caricano l'UDID e solo in un caso, peraltro relativo ad un'app specificatamente pensata per lo spionaggio, caricano i dati geolocalizzati o legati alla rubrica dell'utente.

Claudio Tamburrino
Notizie collegate
22 Commenti alla Notizia Privacy, email e rubriche adescate
Ordina
  • Se è un illusione la privacy assoluta anche quella parziale ha poco senso.Mi sia proposto attraverso pubblicità qualsiasi offerta e prodotto , si tracci tranquillamente il mio profilo psicologico.Mi è sufficiente che non venga comunicato il n░ di cellulare della mia penultima amante all'ultimissima..e infine non travisate la mia posizione fiscale: ho già dato molto, assai più di quello che ho ricevuto.Non ho niente da nascondere fate pure.
  • mi pare di constatare che sono per la gran parte app che senza i dati dell'utente non starebbero in piedi...

    ovvero, l'utente che le installa, sa (o dovrebbe sapere) che sta cedendo un bel pezzo della sua privacy, lui stesso permetterebbe l'accesso a quei dati.

    questo ovviamente non giustifica che l'app se li prenda senza permesso, infatti tale comportamento è proibito dal regolamento di App Store

    a quanto pare, per tagliare la testa al toro, dalle prossime versioni di iOS la cosa non sarà possibile senza chiedere l'autorizzazione
    http://www.theverge.com/2012/2/15/2800338/ios-expl...
    non+autenticato
  • - Scritto da: bertuccia
    > mi pare di constatare che sono per la gran parte
    > app che senza i dati dell'utente non starebbero
    > in
    > piedi...
    >
    > ovvero, l'utente che le installa, sa (o dovrebbe
    > sapere)

    L'utente, per definizione NON SA!
    Poi qui parliamo di macachi, al cui confronto l'utente e' un genio.

    > questo ovviamente non giustifica che l'app se li
    > prenda senza permesso, infatti tale comportamento
    > è proibito dal regolamento di App
    > Store

    Prendere i dati senza permesso e' una palese violazione di un brevetto apple, se non ricordo male.

    > a quanto pare, per tagliare la testa al toro,
    > dalle prossime versioni di iOS la cosa non sarà
    > possibile senza chiedere
    > l'autorizzazione
    > http://www.theverge.com/2012/2/15/2800338/ios-expl

    Credici!
  • - Scritto da: panda rossa
    >
    > L'utente, per definizione NON SA!

    sono d'accordo, ma quando installi foursquare o path, lo stai facendo proprio per condividere tue info personali e accedere a quelle di altri

    > Poi qui parliamo di macachi, al cui confronto
    > l'utente e' un genio.

    il macaco a differenza della massa ha fatto una scelta, giusta o sbagliata almeno ha dato segno che un minimo di attività cerebrale c'è. L'utente di cui parli, manco quello, siamo proprio all'EEG piatto

    > Prendere i dati senza permesso e' una palese
    > violazione di un brevetto apple, se non ricordo male.

    bravo, tra tutte le aziende, hai preso l'unica completamente disinteressata ai dati personali dei suoi utenti

    hint: prova a fare una ricerca su...... Google Sorride

    > Credici!

    è la stessa cosa che han fatto con corelocation, è facile che dicano il vero
    non+autenticato
  • >
    > > Prendere i dati senza permesso e' una palese
    > > violazione di un brevetto apple, se non
    > ricordo
    > male.
    >
    > bravo, tra tutte le aziende, hai preso l'unica
    > completamente disinteressata ai dati personali
    > dei suoi
    > utenti
    LOL! sei talmente macaco che non hai neanche capito la sottile ironia del Panda...
    non+autenticato
  • - Scritto da: bubba
    >
    > LOL! sei talmente macaco che non hai neanche
    > capito la sottile ironia rosikata del Panda...

    FTFY

    lo rosikata sui brevetti Apple è un classico
    non+autenticato
  • - Scritto da: bertuccia
    > - Scritto da: bubba
    > >
    > > LOL! sei talmente macaco che non hai neanche
    > > capito la sottile ironia
    >
    rosikata del
    > Panda...
    >
    > FTFY
    >
    > lo rosikata sui brevetti Apple è un classico

    aspetta che rileggiamo insieme... come se tu avessi 5 anni..

    "Prendere i dati SENZA PERMESSO e' una palese violazione di un brevetto apple, se non ricordo male."

    Ti pare che un azienda possa brevettare un'azione illegale? e' un iperbole per ironizzare sul fatto che Apple brevetta anche le cacate di mosca! E, sia chiaro, non vale solo per apple... sono anni e anni che l'USPTO americano e' il centro mondiale dei patent troll... almeno dai tempi del "1-click" di Amazon... ma certamente anche da prima.
    non+autenticato
  • - Scritto da: bubba
    >
    > aspetta che rileggiamo insieme... come se tu
    > avessi 5 anni..
    >
    > "Prendere i dati SENZA PERMESSO e' una palese
    > violazione di un brevetto apple, se non ricordo
    > male."

    > e' un iperbole per ironizzare sul fatto
    > che Apple brevetta anche le cacate di mosca

    no, questa frase non ironizza solo sui brevetti Apple, ma su una presunta abitudine a schedare gli utenti.

    ora, sull'ironia sui brevetti non ho commentato, dato che appunto è una rosikata tipica dell'apple hater medio, quindi inutile dar corda.

    sull'abitudine di schedare gli utenti ho solo precisato che ci sono aziende note ben specializzate nel farlo
    non+autenticato
  • - Scritto da: bertuccia
    > - Scritto da: bubba
    > >
    > > aspetta che rileggiamo insieme... come se tu
    > > avessi 5 anni..
    > >
    > > "Prendere i dati SENZA PERMESSO e' una palese
    > > violazione di un brevetto apple, se non
    > ricordo
    > > male."
    >
    > > e' un iperbole per ironizzare sul fatto
    > > che Apple brevetta anche le cacate di mosca
    >
    > no, questa frase non ironizza solo sui brevetti
    > Apple, ma su una presunta abitudine a schedare
    > gli
    > utenti.
    >
    > ora, sull'ironia sui brevetti non ho commentato,
    > dato che appunto è una rosikata tipica dell'apple
    > hater medio, quindi inutile dar
    > corda.
    Nono il pezzo che quotavo faceva proprio riferimento ai brevetti.. e alla PESSIMA abitudine (NON solo di apple, ribadisco.. ma apple spinge forte il pedale) di brevettare anche i rutti e poi di portarli in tribunale... e non e' questione di "apple hater" perche' vale per Amazon, M$ e centinaia di altri aziende. La colpa principe e' ovviamente dell'USPTO

    > sull'abitudine di schedare gli utenti ho solo
    > precisato che ci sono aziende note ben
    > specializzate nel
    > farlo
    Sullo schedare gli utenti, in senso lato hai ragione, nel senso che migliaia di appz in tutti i sistemi operativi, lo fanno. Non e' certo un'esclusiva Apple o dell'app store. Certe lo fanno di piu e certe meno... certe avvertono e certe no. E ci sono societa' di marketing vario che aggregano analizzano spippolano ecc... certe fanno vaccate enormi e certe altre punture di spillo...
    non+autenticato
  • - Scritto da: bertuccia


    > il macaco a differenza della massa ha fatto una
    > scelta,


    Scusa se metto in evidenza questa perla.
    Devo rileggerla perche' e' di una profondita' sublime.

    Che cosa hai detto che ha fatto il macaco?

    Rotola dal ridere

    Anche questa finisce dritta in nomination.

    Abbiamo:
    "Non c'e' peggior cieco di chi non vuol sentire"
    "Utenti che pagano per non pagare"
    e adesso la new entry
    "Il macaco ha fatto una scelta"

    > > Prendere i dati senza permesso e' una palese
    > > violazione di un brevetto apple, se non
    > ricordo
    > male.
    >
    > bravo, tra tutte le aziende, hai preso l'unica
    > completamente disinteressata ai dati personali
    > dei suoi utenti

    Questa la metto in un bookmark: potrebbe tornarmi utile prima di Pasqua.
  • - Scritto da: panda rossa
    >
    > Scusa se metto in evidenza questa perla.
    > Devo rileggerla perche' e' di una profondita'
    > sublime.
    >
    > Che cosa hai detto che ha fatto il macaco?

    ti faccio uno schema

    centro commerciale:

    cerco un personal computer -> ti becchi un PC wintel
    è normale, dato che è li che il centro commerciale ha i ricarichi maggiori

    cerco un tablet -> ti becchi un androide
    è normale, dato che è li che il centro commerciale ha i ricarichi maggiori

    cerco uno smartphone -> ti becchi un androide
    è normale, dato che è li che il centro commerciale ha i ricarichi maggiori


    quindi l'utonto sprovveduto con EEG piatto si becca quello che gli danno, il macaco invece ha valutato qualcos'altro

    non ho detto che sia meglio, ho solo detto che ha dimostrato un minimo di attività cerebrale in più rispetto al resto degli utenti medi

    >
    > Abbiamo:
    > "Non c'e' peggior cieco di chi non vuol sentire"
    > "Utenti che pagano per non pagare"
    > e adesso la new entry
    > "Il macaco ha fatto una scelta"

    "tanto è opensource"! Rotola dal ridere

    > Questa la metto in un bookmark: potrebbe tornarmi
    > utile prima di Pasqua.

    buona idea, fatto
    non+autenticato
  • > quindi l'utonto sprovveduto con EEG piatto si
    > becca quello che gli danno, il macaco invece ha
    > valutato
    > qualcos'altro
    >
    > non ho detto che sia meglio, ho solo detto che ha
    > dimostrato un minimo di attività cerebrale in più
    > rispetto al resto degli utenti
    > medi
    Ah si me la ricordo questa attivita' cerebrale... quella delle folle adoranti che fanno la fila davanti all'apertura di un Apple Store... ho visto talebani meno ideologizzati...
    non+autenticato