Site icon Sophos News

Ogni nostra mossa spiata dallo smartphone? Possibilissimo, avverte uno studio

Gli utenti di Internet si sono ormai abituati all’idea di essere monitorati, catalogati, schedati durante la navigazione sul Web. Ma sono altrettanto consapevoli dei rischi che implica l’uso degli smartphone?

Se c’è un dispositivo che oggi potrebbe essere intenzionalmente adoperato per intromettersi e curiosare nella vita privata di una persona, beh, è proprio lo smartphone, dotato com’è di sensori, GPS, fotocamera e microfono.

Stando ai risultati di uno studio condotto dai ricercatori della Northeastern University di Boston – intitolato “Panoptispy” (composto da “panottico” e “spia”), giusto per suscitare un sottile senso di disagio nel lettore mentre dà anche una rapida scorsa al testo – la verità sulla sorveglianza a mezzo smartphone si rivela un po’ più complessa.

Gli autori hanno analizzato i dati provenienti da 17.260 app Android scaricate da Google Play (nonché dagli store cinesi AppChina, Mi.com e Anzh) e in seguito hanno usato uno strumento automatizzato per identificare un sottoinsieme comprendente almeno 9.100 app che potrebbero lasciar trapelare dati personali dopo aver eseguito semplici operazioni come l’accesso alla fotocamera o al microfono.

Uno degli aspetti più inquietanti è la possibilità che, perfino quando lo sviluppatore dell’app non ha il minimo interesse a monitorare gli utenti tramite le API multimediali, non è escluso che le librerie di terzi integrate nelle app a fini pubblicitari o d’altro tipo vengano utilizzate precisamente a questo scopo. Non solo: altro motivo di perplessità è dato dal fatto che le app, al momento dell’installazione, possono richiedere autorizzazioni di accesso alle risorse multimediali del dispositivo senza mai farne uso, forse perché ne avevano bisogno nelle precedenti versioni. Insomma, un’impostazione obsoleta che gli sviluppatori hanno dimenticato di modificare.

Ma non è tutto…

La correlazione tra autorizzazioni Android e rispettive API associate è curiosamente poco documentata e una simile lacuna potrebbe rivelarsi fuorviante per gli sviluppatori.

Partendo da queste premesse possiamo iniziare a capire come mai sia tanto difficile condurre questo tipo di studi molto particolareggiati sulle attività effettivamente svolte dalle nostre app: se gli stessi sviluppatori non sanno neppure che cosa chiedono le loro applicazioni, scoprire in che modo viene fatto un uso improprio di autorizzazioni e API diventa più complicato.

Fortunatamente, su oltre 17.000 app analizzate, sono stati accertati soltanto “alcuni casi” di registrazioni occulte (eseguite cioè in maniera inaspettata e all’insaputa dell’utente) di sequenze video, audio o d’immagini che venivano poi ritrasmesse ai produttori delle app o a terzi.

E perfino le app “colte sul fatto” sembrano indotte in errore più da una distorta interpretazione della privacy che da cattive intenzioni: ad esempio GoPuff, un’app che offre il servizio di consegna a domicilio, è stata sorpresa ad acquisire e trasmettere a terzi le schermate visualizzate sullo smartphone, ma l’intento era semplicemente di studiare le interazioni degli utenti con il servizio.

Un’altra app, comprendente l’API TestFairy, ha acquisito e inviato 45 immagini di schermate senza autorizzazione, a quanto pare per agevolare i test della versione beta dell’app, operazione di cui gli utenti che l’hanno installata erano all’oscuro.

Ancora peggio, lo studio ha portato alla luce il groviglio di trasgressioni che sviluppatori di app e API potrebbero commettere impunemente, se solo lo volessero, e la mancanza di regole in materia imputabile all’architettura delle autorizzazioni di Android:

Abbiamo appurato inoltre che esiste una scarsa correlazione tra le autorizzazioni richieste dalle app e le autorizzazioni effettivamente necessarie per eseguire correttamente il codice applicativo.

Google potrebbe obiettare che si sta occupando della questione, ma sono passati quasi dieci anni dal lancio di Android sul mercato e il problema rimane irrisolto (lo studio non si è interessato a iOS, che verrà preso in esame da una ricerca separata).

In conclusione, regna il caos. Senza dubbio un bel pasticcio tutta opera degli stessi creatori della piattaforma – una conseguenza della filosofia “build it quickly and they will come” (accelera la realizzazione e i risultati non si faranno attendere) che per troppo tempo ha visto la privacy come un tema secondario, che poteva essere affrontato in un secondo momento con un’aggiunta a effetto retroattivo.

È vero allora che le app ci spiano segretamente con infami propositi? Stando agli esiti di questo studio, la risposta è no. Ci spiano in molti altri modi difficilissimi da monitorare a volte perfino per gli stessi artefici delle app? Ebbene sì.

Limitarsi ad aggiungere autorizzazioni e controlli non basta per risolvere il problema, dato che è praticamente impossibile per qualsiasi utente stare al passo con decine e decine di app per smartphone. E non è di certo questa la soluzione, naturalmente: anziché lasciare i consumatori alle prese con questo grattacapo, è opportuno e necessario esigere una maggiore responsabilizzazione in fase di sviluppo delle applicazioni e delle API.

 

 

 

 

*Tratto dall’articolo “Your smartphone can watch you if it wants to, study finds” di John E Dunn

Exit mobile version