Secondo uno studio condotto da ricercatori di Harvard, del MIT e della Carnegie-Mellon University sia le app scaricabili da App Store che quelle presenti su Google Play Store raccolgono e condividono con parti terze dati potenzialmente sensibili degli utenti.
La questione dei permessi di raccolta dei dati, dei sistemi di consenso informato e della profilazione che questi dati permettono di fare degli utenti (diventando di conseguenza utili per l’advertising, per sviluppatori, per il creare engagement o per esempio il Cross-app tracking) sono questione di particolare interesse che hanno spinto diversi studi a cercare di comprendere la portata quantitativa e qualitativa del fenomeno.
Sul lato tecnico nei modelli basati sulle app esistono un certo numero di permessi che il sistema operativo può dare, o al momento dell’installazione o nel momento dell’utilizzo, sul lato del modello di business, quelli basati sull’advertising e sulla gratuità sono strettamente legati allo sfruttamento economico dei dati degli utenti.
In base ai permessi che il sistema operativo concede, un’applicazione può raccogliere dati sensibili dell’utilizzatore, accedere alla rubrica, alla galleria fotografica, all’elenco delle chiamate, oppure addirittura al funzionamento dei messaggi (un permesso che, per esempio, su Android consente eventualmente all’app non solo la lettura ma anche l’invio degli sms) e – dall’introduzione di HealthKit su iOS – ad eventuali dati sulla salute dell’utente.
Chi sviluppa una app dichiara di quali permessi questa avrà bisogno e l’utente decide quali concedere, fermo restando che alcuni sono necessari per il suo funzionamento: a seconda della piattaforma la decisione è in blocco oppure più granulare, cioè legata a singole funzioni.
In linea generale Google Play Store è caratterizzato da alta granularità di permessi (ovvero la possibilità da parte degli sviluppatori di ottenere permessi legati a singole funzioni e dati) ma divisi in macro-categorie che possono cambiare con i nuovi aggiornamenti estendendo eventualmente la portata dei permessi concessi e che una volta riconosciuti dagli utenti non possono essere ritirati (se non con la disinstallazione dell’app), mentre per le applicazioni su App Store i permessi possono essere revocati o concessi in qualsiasi momento dall’utente ed hanno una bassa granularità.
Quest’ultima ricerca, dunque, non rappresenta una novità di per sé, ma una misurazione di una situazione nota: ha evidenziato come entrambi i sistemi non rappresentino una sicurezza per la privacy degli utenti e, analizzando il comportamento di 110 app popolari ha avuto modo di evidenziare – attraverso un sistema proxy man-in-the-middle che registrava il traffico HTTP e HTTPS da esse sviluppato durante l’utilizzo degli utenti – come queste raccolgano vari tipi di dati dagli utenti, passandoli poi a parti terze.
In questo senso secondo lo studio i meno scrupolosi nella gestione dei dati degli utenti sono gli sviluppatori di app per Android , più facilmente proni ad utilizzare i dati ottenuti passandoli a terzi.
Secondo le conclusioni dei ricercatori, infatti, quando si tratta di nomi ed indirizzi email le app Android condividono i dati ottenuti nel 73 per cento dei casi contro il 16 per cento delle app iOS ; le app iOS, invece, condividono più facilmente i dati geolocalizzati: lo fa il 47 per cento di loro, contro il 33 di quelle Android.
La condivisione, peraltro, avviene in parte anche con dati maggiormente sensibili, come quelli della salute: 3 su 30 delle nuove app “medicali, legate alla salute o al fitness” condividono con terze parti gli input inseriti dagli utenti ed i termini della ricerche da loro effettuate.
Le app che condividono più indiscriminatamente
Tra le app “più promiscue”, come sono definite nello studio, di Android vi sono il servizio di messaggistica e chiamate gratuite tramite WiFi Text Free che invia le informazioni raccolte a 11 nomi a dominio , l’app per il video messaging Glide (8 domini), Map My Walk (9 domini) e Drugs.com (7 domini).
Per iOS, invece, la più promiscua è senza dubbio Localscope, il browser per le localizzazioni di iPhone che indirizza i dati verso 17 nomi a dominio. Seguono la farmacia online Walgreens, che invia i dati a 5 nomi a dominio, Map My Run, Fruit Ninja, Urgent Care, Pinterest e Nike+ Running (collegate a 4 domini).
Infine, secondo la ricerca, i destinatari dei dati da Android sono spesso, secondo lo studio, Google e Facebook, mentre nel mondo iOS a fagocitare dati sono Apple, Yahoo! e exacttargetapis.com , la piattaforma cloud per il marketing di SalesFoce.
Claudio Tamburrino
Ti potrebbe interessare
9 nov 2015