Claudio Tamburrino

Apple muove per la privacy delle app

Giro di vite di Cupertino sulle modalità di accesso ai dati delle app per iOS. Le applicazioni che sfruttano gli UDID non sono più ben accette

Roma - Apple ha iniziato a rimettere mano alle sue regole in materia di privacy e gestione della rubrica degli utenti da parte delle app di iOS. La prima mossa è rappresentata dalla decisione di respingere tutte quelle app che accedono al numero unico identificativo (Unique Device Identifier, UDID) del dispositivo adottato per scaricarle.

A rivelarlo per primi sono i resoconti degli sviluppatori che si sono visti rifiutare l'accesso ad App Store: a farlo sembra essere per il momento solo uno dei gruppi di scrutinio per l'accesso ad App Store, ma con la prospettiva di rappresentare presto la regola generale.

Cupertino, insomma, sembra voler agire per dare una risposta ai dubbi sollevati sulle app di iOS in seguito all'individuazione dell'accesso, all'insaputa dei suoi iscritti, alle rispettive rubriche da parte del giovane social network Path. Un episodio che ha spinto gli osservatori a puntare lo sguardo sui metodi adottati da diverse app mobile nella gestione dei contatti dei loro utenti. Della stessa questione si è interessato anche il Congresso che sta avviando un'indagine.
Nello specifico, poi, secondo uno studio condotto per approfondire l'argomento su 1.407 app gratuite il 25 per cento accederebbe all'UDID dei loro utenti.

La mossa di Apple punta a tutelare questo dato particolarmente rilevante per la privacy in quanto collega l'utente ad un determinato dispositivo: tuttavia ha anche una funzione tecnica precisa, in particolare perché è necessario ai server degli sviluppatori per gestire gli scambi di dati.

Gli sviluppatori dovranno, insomma, trovare un nuovo stratagemma per farlo: per il momento si è pensato di impiegare gli indirizzi MAC e OpenUDID. In ogni caso c'è un po' di agitazione nella community, anche se la novità era stata in pratica annunciata da Cupertino già ad agosto.

Apple, d'altronde, non è l'unica ad essere finita sotto osservazione per questioni legate alla privacy degli utenti delle app per dispositivi mobile: anche Google sta pensando a come affrontare le medesime situazioni per quanto riguarda gli sviluppatori terzi di Android. In particolare, Mountain View sta ora presentando una nuova licenza ad essa destinata e dedicata alla privacy degli utenti.

Claudio Tamburrino
Notizie collegate
19 Commenti alla Notizia Apple muove per la privacy delle app
Ordina
  • Io posso solo dire che dopo aver dovuto PAGARE DUE VOLTE, le In App Purchases su un gioco, dopo che son passato a iPad2, a causa del doppio controllo iTunesAccount/UUID fatto dal gioco stesso, la voglia che avevo era di fare causa alla casa produttrice del suddetto gioco.

    Pazzesco, perchè oltre a NON aver sviluppato un app universale (quindi diversa App per iPhone e iPad) hanno addirittura avuto il coraggio di chiedere due volte l'acquisto delle espansioni.

    Sono molto contento di questa decisione.
  • Tempo fa mi è stato chiesto di sviluppare un'applicazione in cui era previsto l'accesso a servizi disponibili con un abbonamento. Per evitare l'uso multiplo dello stesso abbonamento su più telefoni avevo pensato proprio di usare proprio l'UDID e, per evitare di trasmetterlo in chiaro via rete e di tenerlo sui server in questa forma, di usare un hash, magari calcolato anche su altri parametri. Hash e UDID alla fine avrebbero avuto un rapporto paragonabile a quello tra chiave pubblica e chiave privata negli algoritmi di criptazione a doppia chiave. Poi dell'applicazione non se ne è fatto nulla, per cui del problema non me ne sono più occupato.

    Questo mi fa pensare che: non tutti gli accessi all'UDID nascono con lo scopo di violare la privacy dell'utente, ma per risolvere un problema pratico; adesso serve un sistema che consenta di legare univocamente servizio/app a terminale/utente.

    Una soluzione potrebbe essere un'API che consenta di generare una chiave univoca per terminale e Applicazione. Un'altra sarebbe che Apple si prendesse in carico l'onere di gestire l'univocità della relazione tra App/servizio e terminale. Quest'ultima soluzione però potrebbe risultate contestabile sotto altri punti di vista.
    -----------------------------------------------------------
    Modificato dall' autore il 26 marzo 2012 17.24
    -----------------------------------------------------------
    FDG
    10897
  • - Scritto da: FDG
    > Tempo fa mi è stato chiesto di sviluppare
    > un'applicazione in cui era previsto l'accesso a
    > servizi disponibili con un abbonamento. Per
    > evitare l'uso multiplo dello stesso abbonamento
    > su più telefoni avevo pensato proprio di usare
    > proprio l'UDID

    Perche' dovresti evitare l'uso dello stesso abbonamento su piu' telefoni?
    Uno puo' avere piu' telefoni.

    Come se per scrivere su PI l'utente fosse legato al PC o all'IP... sarebbe assurdo.
  • - Scritto da: panda rossa
    > - Scritto da: FDG
    > > Tempo fa mi è stato chiesto di sviluppare
    > > un'applicazione in cui era previsto
    > l'accesso
    > a
    > > servizi disponibili con un abbonamento. Per
    > > evitare l'uso multiplo dello stesso
    > abbonamento
    > > su più telefoni avevo pensato proprio di
    > usare
    > > proprio l'UDID
    >
    > Perche' dovresti evitare l'uso dello stesso
    > abbonamento su piu'
    > telefoni?

    Perché i termini del servizio prevedono ciò?

    > Come se per scrivere su PI l'utente fosse legato
    > al PC o all'IP... sarebbe
    > assurdo.

    Pere+Arance. Quali sono servizi a pagamento per gli abbonati a PI?
    non+autenticato
  • gli abbonati a PI non leggono i messaggi di Panda Rossa, al posto dei suoi messaggi il server autogenera un commento intelligente, a volte il commento è così ben scritto che Luca Annunziata fa copia incolla e ne fa un articolo
    MeX
    16897
  • - Scritto da: MeX
    > gli abbonati a PI non leggono i messaggi di Panda
    l'unico che non legge, qui, sei tuSorride
    non+autenticato
  • - Scritto da: Risposta al commento
    > - Scritto da: panda rossa
    > > - Scritto da: FDG
    > > > Tempo fa mi è stato chiesto di sviluppare
    > > > un'applicazione in cui era previsto
    > > l'accesso
    > > a
    > > > servizi disponibili con un abbonamento. Per
    > > > evitare l'uso multiplo dello stesso
    > > abbonamento
    > > > su più telefoni avevo pensato proprio di
    > > usare
    > > > proprio l'UDID
    > >
    > > Perche' dovresti evitare l'uso dello stesso
    > > abbonamento su piu'
    > > telefoni?
    >
    > Perché i termini del servizio prevedono ciò?
    Che e' un nonsense, visto che e' l'app medesima che contiene tali termini di servizio. Ergo puo anche decidere diversamente.

    In realta, A SAPER LEGGERE, l'obiezione del Panda e' perfettamente sensata. Del resto avere un webapp che contiene i dati del medesimo abbonamento su piu telefoni NON mi sembra affatto problematico. Neanche rispetto a quello che voleva dire FDG.
    Si puo negare l'accesso CONTEMPORANEO (doppio login) al server a cui la webapp fa riferimento, pur avendo la medesima app col medesimo abbonamento su due tel diversi.
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: Risposta al commento
    > > - Scritto da: panda rossa
    > > > - Scritto da: FDG
    > > > > Tempo fa mi è stato chiesto di sviluppare
    > > > > un'applicazione in cui era previsto
    > > > l'accesso
    > > > a
    > > > > servizi disponibili con un abbonamento.
    > Per
    > > > > evitare l'uso multiplo dello stesso
    > > > abbonamento
    > > > > su più telefoni avevo pensato proprio di
    > > > usare
    > > > > proprio l'UDID
    > > >
    > > > Perche' dovresti evitare l'uso dello stesso
    > > > abbonamento su piu'
    > > > telefoni?
    > >
    > > Perché i termini del servizio prevedono ciò?
    > Che e' un nonsense, visto che e' l'app medesima
    > che contiene tali termini di servizio

    I termini del servizio sono presentati e devono essere accettati prima di installare l'app, a volte addirittura prima di scaricarla.

    > Ergo puo
    > anche decidere
    > diversamente.

    Sì, buonanotte, chi è il soggetto?

    > In realta, A SAPER LEGGERE, l'obiezione del Panda
    > e' perfettamente sensata.

    "Oh wait, you're serious. Let me laugh even harder." -Bender-
    non+autenticato
  • - Scritto da: bubba

    > Si puo negare l'accesso CONTEMPORANEO (doppio
    > login) al server a cui la webapp fa riferimento,
    > pur avendo la medesima app col medesimo
    > abbonamento su due tel diversi.

    Se stai sempre collegato al servizio. Il servizio però era concepito per connesssioni occasionali.

    Comunque, l'obiettivo del controllo era impedire che per ogni abbonamento ci fossero venti persone (o più) ad usarlo.
    FDG
    10897
  • - Scritto da: Risposta al commento

    > > Perche' dovresti evitare l'uso dello stesso
    > > abbonamento su piu'
    > > telefoni?
    >
    > Perché i termini del servizio prevedono ciò?

    Io sto facendo delle valutazioni tecniche.
    Dei termini del servizio non me ne puo' fregar di meno.
    C'e' qualche impedimento tecnico che impedisce a questa cosa di poter girare su piu' terminali dello stesso utente?

    > > Come se per scrivere su PI l'utente fosse legato
    > > al PC o all'IP... sarebbe
    > > assurdo.
    >
    > Pere+Arance. Quali sono servizi a pagamento per
    > gli abbonati a
    > PI?

    Chi ha parlato di pagamento?
    Io sto dicendo che posso postare col mio account su PI da qualunque terminale.
    Il tuo coso invece vuole impedire espressamente cio'.
  • - Scritto da: panda rossa
    > Il tuo coso invece vuole impedire espressamente
    > cio'.

    Ti ricordo che il coso è pur sempre inanimato se ti fosse sfuggito.

    Il coso non impedisce proprio niente, sono semmai i termini del contratto ad impedirlo.
    non+autenticato
  • - Scritto da: aphex twin

    >
    > Il coso non impedisce proprio niente, sono semmai
    > i termini del contratto ad
    > impedirlo.

    Non mi pare proprio che il coso non impedisca proprio niente, visto che l'OP ha dichiarato di aver messo un DRM basato sull'ID del terminale.

    Se fosse solo un blocco di tipo contrattuale, io potrei farlo girare comunque su tutti i miei terminali, ma in violazione del contratto.

    Hai presente la differenza tra un limitatore di velocita' inserito nell'auto e un cartello con il limite di velocita' sul ciglio della strada?