Claudio Tamburrino

App Android, traffico all'insaputa dell'utente

Metà delle applicazioni più popolari, rileva uno studio del MIT, scambia dati con server remoti per fini di analisi e non solo. All'utente non è offerta la possibilità di fare opt-out

Roma - Due terzi delle app più popolari su Android intrattengono uno scambio di traffico dati attivo con server remoti all'insaputa degli utenti.

A riferirlo è lo studio dal titolo Covert Communication in Mobile Applications condotto da tre ricercatori del Massachusetts Institute of Technology (MIT) e da un esperto di sicurezza di Global InfoTek.

La questione dei permessi di raccolta dei dati, dei sistemi di consenso informato e della profilazione che questi dati permettono di fare degli utenti (diventando di conseguenza utili per l'advertising, per sviluppatori, per il creare engagement o per esempio il Cross-app tracking) sono questione di particolare interesse che hanno spinto diversi studi a cercare di comprendere la portata quantitativa e qualitativa del fenomeno. I ricercatori del MIT si sono ora concentrati sulle comunicazioni che le app su Android portano avanti all'insaputa degli utenti.
Esse sono legate in circa la metà dei casi all'analisi dei dati, quelli cioè che servono, per esempio, a valutare le performance dell'applicazione, registrare eventuali crash, percentuali di utilizzo dei dati o tipi di azioni che gli utenti effettuano nel suo contesto.

Tuttavia, i ricercatori mostrano come alcune applicazioni, tra cui quelle di Twitter, Walmart e Pandora, inizino a raccogliere ed inviare dati al momento dell'accensione del dispositivo e continuino a farlo periodicamente durante l'intera giornata anche se l'utente non dovesse mai avere effettivamente accesso all'app. Il tutto avviene senza neanche garantire all'utente l'opportunità di fare opt-out da tale condivisione di dati, a meno di ricorrere alla disinstallazione (su Android una volta concesso ad un'app - solitamente al momento dell'installazione - l'accesso ad un determinato tipo di dati esso non può essere revocato).

La cosa che appare più preoccupante, tuttavia, è che l'altra metà del traffico app-server esterni individuato dai ricercatori serve ad uno scopo non identificato o, meglio, non può essere attribuito a funzioni di analisi.

I ricercatori hanno poi verificato che in tre quarti degli scambi di dati avvenuti all'insaputa degli utenti, ad essere interessati sono i server di Google ed in top ten appaiono anche i servizi di Gameloft, Tapjoy e Facebook.

dati inviati


Claudio Tamburrino
Notizie collegate
  • AttualitàApp, la spia che ci provava gustoNuovo studio rivela la verità sotto gli occhi di tutti: le applicazioni mobile, per Android o iOS che siano, raccolgono innumerevoli dati dai propri utenti passandoli a terzi. E qualcuna lo fa con meno scrupoli di altre
  • SicurezzaGoogle e Apple giocano con la sicurezza di OS XIl servizio anti-virale online di Mountain View apre la propria sandbox agli eseguibili per OS X, mentre Apple fornisce una giustificazione ufficiale ai problemi con le app senza certificato verificatisi nei giorni scorsi
  • BusinessPlay Store, pubblicità trasparenteGli sviluppatori dovranno dichiarare se le proprie app sono supportate dalla pubblicità, così che Google possa informare gli utenti con apposite etichette. Il product placement sfugge alle nuove regole
95 Commenti alla Notizia App Android, traffico all'insaputa dell'utente
Ordina
  • poi c'e' a chi piace, non discuto: ma che si sappia.
    non+autenticato
  • Ti confondi con apple e i suoi prodotti demenzialiOcchiolino
    non+autenticato
  • .... AHAHAHAHAHAHAHAHAHAHAH

    Ancora mi scompiscio dal ridere se ci penso.....
    maxsix
    9964
  • Quando hai finito di scompisciarti forse ti renderai conto che i "permessi granulari" sono una caratteristica di qualunque sistema *nix e posix (iOS e OSX compresi) consolati pure con una salamella... è più vicina a quello che conosci...
    A bocca aperta
    non+autenticato
  • Anche io se penso ai fantastici super controlli del tuo amato store Rotola dal ridere

    Senza contare che neanche tu sai cosa fa in realtà un'app sul tuo magico deviceA bocca aperta
    non+autenticato
  • - Scritto da: maxsix
    > .... AHAHAHAHAHAHAHAHAHAHAH
    >
    > Ancora mi scompiscio dal ridere se ci penso.....
    non pensare, che e' mejo.

    http://punto-informatico.it//4285507/PI/News/app-a...

    (senza contare che una seria analisi del traffico, non si puo' fare senza jailbreakare [proxare non e' sufficiente, se i developer differenziano l'attivita' tra gsm e wifi] )
    non+autenticato
  • Cioè, sei nella cacca più alta di chiunque altro e... ridi?
    non+autenticato
  • - Scritto da: Jagguar
    > Cioè, sei nella cacca più alta di chiunque altro
    > e...
    > ridi?

    Si tantissimissimo.

    Più leggo sto 3D con firewall, no root de qua, ad coso de la è più muoio dal ridere. A cappello i supermegaultra permessi granulari......

    Ahahahahahahahahahah moro
    maxsix
    9964
  • - Scritto da: maxsix
    > - Scritto da: Jagguar
    > > Cioè, sei nella cacca più alta di chiunque
    > altro
    > > e...
    > > ridi?
    >
    > Si tantissimissimo.
    >
    > Più leggo sto 3D con firewall, no root de qua, ad
    > coso de la è più muoio dal ridere. A cappello i
    > supermegaultra permessi
    > granulari......

    ridi, ridi, ma chi usa Android può settare i permessi come gli pare e piace.
    Ci vuole giusto un minimo di conoscenza.

    Chi usa Apple, come fa? Si attacca al ca**o!
    Tu continua pure a ridere...
    Funz
    13000
  • - Scritto da: Jagguar
    > Cioè, sei nella cacca più alta di chiunque altro
    > e...
    > ridi?
    Ovvio nel suo caso è questione di abitudine...
    A bocca aperta
    non+autenticato
  • root istantaneo su qualunque dispositivo Android, AFWall+, AdAway e Startup manager.
    AFWall in whitelist, ovvero tutto bloccato tranne ciò che viene esplicitamente concesso, poi quando si vuole usare un'app che necessita di connessione di rete la si sblocca temporaneamente, al termine torna in lock.
    Tutto molto naturale, ovvero mantenere il controllo del proprio computer (in questo caso palmare), francamente non vedo quale sia il problema.
    non+autenticato
  • E come si fa a sapere cosa va esplicitamente concesso e cosa no?
    user_
    1026
  • - Scritto da: user_
    > E come si fa a sapere cosa va esplicitamente
    > concesso e cosa
    > no?

    Per consentire a quei pochi che lo sanno, di poter sfruttare impunemente le app AGGRATIS, occorre che il popolo bue e ignorante si faccia spiare.
    Quindi tu mantieni pure la configurazione di default e non preoccuparti.
  • no, sto appunto chiedendo come evitare di farmi spiare.
    user_
    1026
  • - Scritto da: user_
    > no, sto appunto chiedendo come evitare di farmi
    > spiare.

    Per cominciare non esiste un pulsante "CLICCA QUI PER NON FARTI SPIARE"

    Occorre una precisa conoscenza di come funzionano le cose, occorre la consapevolezza della propria privacy e occorre mantenere uno stile di vita consono con tale consapevolezza.

    Altrimenti vieni profilato. Anche senza avere lo smartphone.
  • - Scritto da: user_
    > no, sto appunto chiedendo come evitare di farmi
    > spiare.
    Ti sta dicendo che tu devi continuare a farti spennare, così per lui è tutto gratisA bocca aperta
    non+autenticato
  • - Scritto da: Hop
    > - Scritto da: user_
    > > no, sto appunto chiedendo come evitare di
    > farmi
    > > spiare.
    > Ti sta dicendo che tu devi continuare a farti
    > spennare, così per lui è tutto gratis
    >A bocca aperta
    spennare da che? da chi? per lui è gratis cosa?
    user_
    1026
  • - Scritto da: user_
    > no, sto appunto chiedendo come evitare di farmi
    > spiare.

    butta al cesso il terminale android, va al mercatino e comprati un nokia 3320.

    "e ma cosi la mail, le mappe, facebook, whatsupp... come faccio? paura, terrore, raccapriccio!"
    non+autenticato
  • - Scritto da: user_
    > E come si fa a sapere cosa va esplicitamente
    > concesso e cosa
    > no?

    Anche qui molto semplice: va esplicitamente e TEMPORANEAMENTE concesso solo ciò che devi effettivamente utilizzare e che richieda, per funzionare, una connessione di rete; poco o nulla in più.
    Sarà poi lo stesso software AFWall+ a segnalare, tramite messaggi o log, se siano necessarie abilitazioni supplementari a componenti del kernel od altro per completare la funzionalità del socket di rete, ma sono casi rari e specifici, quindi in definitiva nulla di complicato.

    Un sistema Android è un PC a tutti gli effetti (Linux, Busybox, Iptables) quindi la domanda che poni potrebbe essere: quali criteri hai adottato per configurare il firewall del tuo PC? Ne usi uno vero? (intendo PC e/o FW).
    non+autenticato
  • sì pc con windows 7, ma anche in android molte applicazioni si connettono alla rete per controllare se ci sono gli update delle stesse, e casomai aggiornarsi all'ultima versione, quindi un po' tutte richiedono l'accesso a internet.
    -----------------------------------------------------------
    Modificato dall' autore il 26 novembre 2015 14.08
    -----------------------------------------------------------
    -----------------------------------------------------------
    Modificato dall' autore il 26 novembre 2015 14.44
    -----------------------------------------------------------
    user_
    1026
  • dovrebbe farlo il play store;
    fra l'altro e' persino un fottuto bastardo, cambio i permessi e il proprietario ai files, verifico che non posso piu' modificarli o cancellarli pur essendo root e quello li cancella o sovrascrive come se nulla fossse.....
    non e' che anche qui c'e' thrusted installer?
    non+autenticato
  • Anche gli sviluppatori, a meno di non essere prevenuti, fanno veramente fatica a capire come funziona il play di Android e le "mine" che Google dissemina sul cammino.

    Proprio per dirla giusta : a meno che non si abbia uno studio legale alle spalle, una organizzazione notevole o si sia certi che la propria applicazione renderà molti quattrini, produrre software per Android si può definire addirittura PERICOLOSO.

    Il primo ostacolo che incontrano quasi tutti è l'assenza di una definizione di termini del servizio. Nel senso che Google a parte i loro diritti sui loro servizi, non mette a disposizione nulla per gestire la licenza d'uso se non quattro cose mal fatte spesso in forma di raw code, con documentazione by example.

    Non solo non offre alcuna tutela legale ma invita gli sviluppatori a scriversi l'EULA per conto loro, cosa che la maggior parte non fa, ed è quindi passibile di denuncia se il software non funziona.

    Ma la vera meraviglia sono ADMOB e Analytics che sono offerti "gratuitamente" agli sviluppatori (nel caso di ADMOB puoi anche pensare di guadagnare qualche dollaro forse).

    Analytics permette di inviare stringhe o altri dati ai server di Google, per esempio per verificare quanto tempo l'utente usa una determinata view, se dopo chiude o disinstalla l'applicazione, o che tipo di errori sono generati e le relative stringhe.

    Fino qui tutto bene (o quasi) , però c'è un FLAG che attiva la profilazione incrociando i dati con quelli dei server di Google, che permette di conoscere anche diversi dati personali anonimizzati (per lo sviluppatore ma non per Google) dell'utente per una profilazione per esempio in fasce di età, o provenienza eccetera.

    Il vero problema è che la frammentazione di Android non consente, una volta sviluppata l'applicazione di essere sicuri che questa funzioni su tutti i terminali, per cui è praticamente indispensabile tenere un profilo di utilizzo e vedere se ci sono problemi.

    A questo punto Google ti impone di dirlo all'utente nella descrizione e di assumerti tutta la responsabilità per l'attivazione del servizio analytics, per i dati che LORO raccolgono e passano parzialmente a te.

    Poi una settimana fa se ne escono dicendo che l'utente dovrà dichiarare se usa un servizio di advertising qualsiasi (compreso il loro) e quindi scaricano sull'utente la responsabilità dei banner.

    Intanto ADMOB permette di scegliere la pubblicità, ivi comprese, giochi, app, siti di appuntamenti, casinò online e altro ancora (ed è sempre l'utente a dover decidere di inserirle ), mentre le policy di Google impongono regolamentazioni in proposito.

    La sintesi è che oltre agli utenti, anche gli sviluppatori, oltre a trovarsi in una situazione complicatissima e nella semi illegalità, stanno lavorando tutti per Google assumendosi per altro la responsabilità di quello che loro fanno e delle regole del gioco che cambiano continuamente.
    non+autenticato
  • Nessuno ti obbliga ad usare quei servizi.
    Prova a guadagnare realizzando applicazioni veramente utili anzichè le solite cavolate scritte in 5 minuti e piene di pubblicità.
    Chissà magari scopri un mondo nuovo.
    non+autenticato
  • - Scritto da: Ospite
    > Nessuno ti obbliga ad usare quei servizi.
    > Prova a guadagnare realizzando applicazioni
    > veramente utili anzichè le solite cavolate
    > scritte in 5 minuti e piene di
    > pubblicità.
    > Chissà magari scopri un mondo nuovo.

    Tu che ne sai ?
    Ti ho detto quali applicazioni ho scritto ?
    Ti ho detto quante persone le hanno scaricate ?
    Impara a ragionare prima di giudicare a casaccio, magari non scopri un mondo nuovo ma impari a stare in quello vecchio.
    non+autenticato
  • - Scritto da: Licaone
    > Anche gli sviluppatori, a meno di non essere
    > prevenuti, fanno veramente fatica a capire come
    > funziona il play di Android e le "mine" che
    > Google dissemina sul
    > cammino.
    >
    il discorso e' buono... ma sono errate le premesse.... nel senso che questa roba vale per tutto il mobile... e grazie a papple e google[*] sempre piu' anche per windoze.
    Apple fa il fenomeno, ma basta guardare "iAD" "in app purchase" "store kit framework" "itunes connect" "itunes Affiliate Program"... e i -mila framework terzi.. stile Flurry...
    non+autenticato
  • - Scritto da: bubba

    > il discorso e' buono... ma sono errate le
    > premesse.... nel senso che questa roba vale per
    > tutto il mobile... e grazie a papple e google[*]
    > sempre piu' anche per
    > windoze.
    > Apple fa il fenomeno, ma basta guardare "iAD" "in
    > app purchase" "store kit framework" "itunes
    > connect" "itunes Affiliate Program"... e i -mila
    > framework terzi.. stile
    > Flurry...
    No il suo discorso non è tanto buono il tuo invece si...
    non+autenticato
  • - Scritto da: bubba
    > - Scritto da: Licaone
    > > Anche gli sviluppatori, a meno di non essere
    > > prevenuti, fanno veramente fatica a capire come
    > > funziona il play di Android e le "mine" che
    > > Google dissemina sul
    > > cammino.
    > >
    > il discorso e' buono... ma sono errate le
    > premesse.... nel senso che questa roba vale per
    > tutto il mobile... e grazie a papple e google[*]
    > sempre piu' anche per
    > windoze.
    > Apple fa il fenomeno, ma basta guardare "iAD" "in
    > app purchase" "store kit framework" "itunes
    > connect" "itunes Affiliate Program"... e i -mila
    > framework terzi.. stile
    > Flurry...

    Non conosco le altre piattaforme. Ho sviluppato applicazioni solo per Android.

    Però dal primo giorno che ho preso l'account di sviluppatore al Google Play è stato un delirio !

    Non sto a ripeterti, ne a dettagliare tutto quello che è successo ma tra cose che cambiavano in modo illogico, modifiche portate avanti a metà aspettando, google play service inserito praticamente a forza, ogni giorno ne succedeva qualcuna.

    Ad un certo punto hanno pure obbligato gli sviluppatori a far pubblicare i loro dati reali sotto TUTTE le APP comprese quelle gratuite, giusto a ribadire che loro non sono responsabile .. .perccato che ci guadagnano !

    Non so se un servizio come quello di Apple che ti fa pagare un centinaio di $ all'anno ti offra le stesse garanzie. A mio parere dovrebbe offrirti qualcosa di più, se mi dici che è uguale allora siamo messi bene.
    non+autenticato
  • - Scritto da: Licaone
    > - Scritto da: bubba
    > > - Scritto da: Licaone
    > > > Anche gli sviluppatori, a meno di non essere
    > > > prevenuti, fanno veramente fatica a capire
    > come
    > > > funziona il play di Android e le "mine" che
    > > > Google dissemina sul
    > > > cammino.
    > > >
    > > il discorso e' buono... ma sono errate le
    > > premesse.... nel senso che questa roba vale per
    > > tutto il mobile... e grazie a papple e google[*]
    > > sempre piu' anche per
    > > windoze.
    > > Apple fa il fenomeno, ma basta guardare "iAD"
    > "in
    > > app purchase" "store kit framework" "itunes
    > > connect" "itunes Affiliate Program"... e i -mila
    > > framework terzi.. stile
    > > Flurry...
    >
    > Non conosco le altre piattaforme. Ho sviluppato
    > applicazioni solo per
    > Android.
    >
    > Però dal primo giorno che ho preso l'account di
    > sviluppatore al Google Play è stato un delirio
    > !
    >
    > Non sto a ripeterti, ne a dettagliare tutto
    > quello che è successo ma tra cose che cambiavano
    > in modo illogico, modifiche portate avanti a metà
    > aspettando, google play service inserito
    > praticamente a forza, ogni giorno ne succedeva
    > qualcuna.
    >
    > Ad un certo punto hanno pure obbligato gli
    > sviluppatori a far pubblicare i loro dati reali
    > sotto TUTTE le APP comprese quelle gratuite,
    > giusto a ribadire che loro non sono responsabile
    > .. .perccato che ci guadagnano!
    >
    > Non so se un servizio come quello di Apple che ti
    > fa pagare un centinaio di $ all'anno ti offra le
    > stesse garanzie. A mio parere dovrebbe offrirti
    > qualcosa di più, se mi dici che è uguale allora
    > siamo messi bene.

    Ma se sviluppi per PC è la stessa cosa: ci devi pensare tu a gestire EULA, garanzia e tutto il resto. Certo, non paghi la percentuale a nessuno sul software che vendi, ma d'altra parte non hai nemmeno un market che mette in evidenza la tua offerta.
    In altre parole, nel momento in cui decidi di mettere su un'attività autonoma, che di fatto è un'impresa, per piccola che sia, hai una serie di adempimenti a tuo carico, temo che non ci si scappi.
    Izio01
    4368
  • e invece gli passa il traffico sotto il naso, poi volevo sapere
    se questi antivirus o intrusion detection system bla bla che usano per vedere che fa la rete, vedono solo il traffico TCP/ip oppure anche quello in altri protocolli ? (ci sono tanti altri protocolli )
    non+autenticato
  • Capiamoci ci sono decine di protocolli ma a te che te ne cale?
    Vedi...
    C'è una unica rete globale e si chiama Internet se vuoi avere dati che viaggiano globalmente non hai in realtà alcuna scelta.
    O usi IP o "vai a piedi"... ovvero ti fai una tua rete privata e cominci la gente a usarla....
    Con tanti auguri.....
    Ciao cipollino...

    Occhiolino
    non+autenticato
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 9 discussioni)