Le applicazioni gratuite Android per cellulari e tablet monitorano i dati personali in modo molto più disinvolto rispetto a quelle a pagamento e l’utilizzo dei dati, a volte non chiaramente indicato al momento del download, potrebbe essere collegato ad attività non pubblicitarie. Gli utenti devono cambiare le loro abitudini e controllare con attenzione a quale livello di privacy decidono di rinunciare.
E’ il messaggio lanciato dallo studio della Juniper Networks, che ha monitorato per 18 mesi il comportamento di 1,7 milioni di applicazioni Android riscontrando che le app gratuite hanno una probabilità cinque volte maggiore di monitorare la posizione degli utenti rispetto alle versioni a pagamento e accedono ai contatti il 314% in più delle app commerciali.
In particolare, circa una applicazione gratuita su quattro (il 24,1 per cento) chiede il permesso di monitorare la posizione, mentre solo il 6 per cento delle versioni a pagamento cerca di ottenere lo stesso consenso. Allo stesso modo il 6,7 per cento delle applicazioni libere chiede l’autorizzazione per consultare la rubrica dell’utente, una cifra che scende al 2,1 per cento per le applicazioni a pagamento.
E ancora, un’app gratuita ogni 40 invia messaggi di testo senza che gli utenti vengano avvertiti (solo l’1,45 per cento per le applicazioni a pagamento lo fa) mentre il 5,53 per cento di software libero è autorizzato ad accedere alla fotocamera del dispositivo, il che consentirebbe a terzi di catturare video e immagini, contro il 2,11 per cento per le applicazioni a pagamento.
E mentre il 6,4% delle app gratuite richiedono l’autorizzazione per avviare clandestinamente chiamate in uscita, il che permetterebbe in teoria di ascoltare le conversazioni, solo l’1.88% di quelle a pagamento fa altrettanto. L’invasione della privacy aumenta a dismisura nel caso delle app per le corse ippiche, gioco d’azzardo e finanza, settori dove nel 94% dei casi viene chiesto il permesso di effettuare chiamate in uscita assieme ad un 84,5 per cento che tenta di inviare messaggi SMS in incognito.
E la situazione si aggrava quando questo controllo sui dati non viene esplicitamente indicato nei permessi che le app chiedono all’utente prima dell’installazione: sebbene la Jupiter, contattando gli autori di alcune applicazioni, abbia ottenuto spiegazioni convincenti, come l’uso della fotocamera per caricare un innocente sfondo personalizzato piuttosto che l’invio di sms al solo fine di fornire dati finanziari, la mancata o non chiara indicazione dell’uso delle informazioni, impedisce all’utente di decidere consapevolmente. Fra il 12,5 per cento delle applicazioni gratuite di finanza prese in esame, che hanno la possibilità di avviare una chiamata telefonica, due terzi (63,2 per cento) non fornivano una descrizione di questa funzionalità all’interno della app.
Circuiti alternativi? – Molte applicazioni richiedono informazioni personali o eseguono funzioni non necessarie per il loro funzionamento. La mancanza di trasparenza su chi sta raccogliendo le informazioni e su come i dati vengono utilizzati rappresenta una minaccia a lungo termine per lo sviluppo del mercato delle applicazioni mobili.
Se questa tendenza si può spiegare in parte con le necessità di raccogliere informazioni al fine di visualizzare annunci pubblicitari, la Juniper ha rilevato che la percentuale di applicazioni che aderiscono ai più grandi circuiti di advertising mobile come AdMob, Millennial Media, AdWhirl o Leadbolt è particolarmente ridotta: “Questo ci porta a credere che la raccolta di informazioni da parte delle app avvenga per motivi meno evidenti della pubblicità,” scrive Juniper.
Lo studio non indica esattamente quale possa essere l’uso alternativo dei dati, ma è palese che l’altra via per sfruttare le informazioni personali consiste generalmente nella vendita dei dati ad imprese che possano usarli per campagne pubblicitarie.
La difesa passa dal controllo – La questione della privacy applicazione mobile non è discorso recente. Tuttavia la ricerca di Juniper è una delle inchieste più complete sull’intero ecosistema di applicazioni Android e dimostra come la principale contromisura agli attacchi alla privacy sia nella consapevolezza dell’utente.
Fondamentale la lettura delle autorizzazioni richieste: anche se prima dell’installazione dell’app viene di norma visualizzato un elenco dei consensi necessari, la maggior parte delle persone non controlla la quantità di permessi che sta per concedere, una verifica che dovrebbe diventare al più presto una abitudine, assieme alla pignoleria di controllare anche le scritte più piccole.
Inoltre le autorizzazioni da consentire devono essere coerenti con la funzionalità offerta. “Un app che cerca di ottenere il permesso per monitorare la posizione, leggere i contatti o effettuare una chiamata in uscita deve eseguire operazioni che possano ragionevolmente necessitare di queste informazioni,” spiegano i ricercatori di sicurezza. Infine, i consumatori dovrebbero essere realistici ed accettare una certa esposizione dei dati privati specie nel mondo mobile.