Claudio Tamburrino

Privacy, email e rubriche adescate

La strada (illecita) battuta da Path per raccogliere i dati degli utenti sarebbe una consuetudine per le app dei social network. E gli studi mostrano che gli sviluppatori sembrano aver dimenticato la cifratura

Roma - Path non sembra essere l'unico social network mobile che accede alle rubriche degli utenti: anzi, molti di quelli attivi su iOS, citato perché preso in considerazione dagli studi finora condotti, lo farebbero. E alcune applicazioni - fino a ieri - lo facevano senza chiedere un permesso esplicito.

Quando il giovane social network Path è incappato in un problema di privacy legato a come raccoglieva i dati e gli indirizzi dalle rubriche degli utenti neo-iscritti, il primo istinto del CEO Dave Morin era stato quello di sminuire il problema e di aggrapparsi alla logica del così fan tutti: affermando che il tutto era necessario "per aiutare gli utenti a trovare velocemente i propri contatti sul social network", una pratica utile allo sviluppo di ogni social network.

In realtà si trattava di una ben misera difesa, tanto che nelle ore successive Path aveva distribuito l'aggiornamento delle sue app che risolveva anche il problema che le veniva contestato: il fatto cioè, che non chiedeva il permesso esplicito agli utenti per caricare sui propri server le loro rubriche.
Ora, tuttavia, uno studio più approfondito relativo al modus operandi di altre social app mostra come anche social network più affermati non disdegnino l'incursione nelle rubriche degli iscritti. Anche senza chiedere il permesso e comunque non pensando alla cifratura.

L'analisi effettuata dallo sviluppatore di app per iOS Paul Haddad mostra come si comportano i principali social network: Foursqaure, dice per esempio, è tra le app che hanno avuto accesso alle rubriche e caricato dati senza chiedere esplicito consenso agli utenti (fino, almeno, all'aggiornamento appena distribuito); tra quelle che richiedono invece il permesso per caricare sui propri server indirizzi e numeri di telefono dei contatti dei neo-iscritti ci sono invece, per esempio, Instagram, Facebook, Twitter (che li conserva per 18 mesi) e Voxer.

Un altro metodo di approccio alla questione, d'altronde, ci sarebbe: ad utilizzare gli stessi dati a livello locale (senza importarli, ma ottenendone comunque accesso), per esempio, sono app come quelle di Google+, Find My Frinds, Skype, Yahoo! Messenger, Quora, Textfree e AIM.

Inoltre gli sviluppatori potrebbero pensare a metodi che utilizzano i dati non sic et simpliciter, ma camuffati impiegando qualche tipo di algoritmo di hashing. Resi insomma anonimi. Questa semplice accortezza permetterebbe di evitare il rischio di furti di dati degli utenti (e dei loro contatti) da parte di malintenzionati.

Anche se Apple non intervenisse direttamente correggendo le proprie linee guida e il proprio sistema operativo, rendendo più esplicito il divieto di accesso non autorizzato ai dati della rubrica e più facile lavorare in locale su di essi, insomma, per gli sviluppatori non sarebbe comunque impossibile lavorare senza compromettere illegittimamente (e inutilmente) la privacy dei loro utente.

Quello della tutela dei dati personali, d'altronde, è un problema che anche su un sistema chiuso come iOS non rimane circoscritto alla questione della rubrica: a dirlo sono i test condotti dai ricercatori dell'Università della California e dell'International Security Systems Lab che hanno sviluppato per l'occasione lo strumento "PiOS", che analizza i dati privati che passano attraverso le app di iOS. Secondo lo studio condotto su 1.407 app gratuite, infatti, il 25 per cento di esse accede al numero unico identificativo (Unique Device Identifier, UDID) del dispositivo adottato per scaricarle, il 4 per cento carica sui propri server dati geolocalizzati e uno 0,5 per cento i dati della rubrica degli utenti.

Una situazione, peraltro, che un cambio di prospettiva da parte di Apple potrebbe cambiare. Lo stesso studio porta ad esempio la prassi delle app di Cydia, installate sugli iPhone jailbreakati: solo nel 4 per cento dei casi caricano l'UDID e solo in un caso, peraltro relativo ad un'app specificatamente pensata per lo spionaggio, caricano i dati geolocalizzati o legati alla rubrica dell'utente.

Claudio Tamburrino
Notizie collegate
22 Commenti alla Notizia Privacy, email e rubriche adescate
Ordina
  • Se è un illusione la privacy assoluta anche quella parziale ha poco senso.Mi sia proposto attraverso pubblicità qualsiasi offerta e prodotto , si tracci tranquillamente il mio profilo psicologico.Mi è sufficiente che non venga comunicato il n° di cellulare della mia penultima amante all'ultimissima..e infine non travisate la mia posizione fiscale: ho già dato molto, assai più di quello che ho ricevuto.Non ho niente da nascondere fate pure.
  • mi pare di constatare che sono per la gran parte app che senza i dati dell'utente non starebbero in piedi...

    ovvero, l'utente che le installa, sa (o dovrebbe sapere) che sta cedendo un bel pezzo della sua privacy, lui stesso permetterebbe l'accesso a quei dati.

    questo ovviamente non giustifica che l'app se li prenda senza permesso, infatti tale comportamento è proibito dal regolamento di App Store

    a quanto pare, per tagliare la testa al toro, dalle prossime versioni di iOS la cosa non sarà possibile senza chiedere l'autorizzazione
    http://www.theverge.com/2012/2/15/2800338/ios-expl...
    non+autenticato