Punti chiave
Quando scarichi un’app, le richieste di autorizzazione e l’informativa sulla privacy sono in genere gli unici avvisi che ricevei sui dati che sta per usare. Molto spesso non leggiamo assolutamente cosa dice l’accordo che ci viene proposto e clicchiamo su Si e accettiamo ormai in automatico qualsiasi cosa.
Spesso, però, le app prendono molti più dati di quelli necessari al funzionamento e molti più di quelli dichiarati. È stato scoperto che oltre 1.000 app prelevano dati anche se si è negato loro le autorizzazioni.
Ad esempio, le app che rilevano dati medici hanno condiviso informazioni sensibili con Facebook, così come con altre società non indicate. Allo stesso modo, le app progettate per bloccare i robocall hanno condiviso i dati del tuo telefono con società di analisi.
Ogni volta che un dispositivo invia dati, il traffico viene acquisito e registrato. La tua posizione viene utilizzata, ma le stesse informazioni possono essere inviate agli inserzionisti. I ricercatori hanno strumenti per vedere quel registro. Quindi lo analizzano per capire quanti dati vengono inviati e dove stanno andando.
In genere, quel tipo di analisi del traffico di rete veniva utilizzato per dati utilizzati all’esterno, fornendo una finestra su ciò che stava accadendo sulle reti Wi-Fi pubbliche. Negli ultimi anni, tuttavia, i ricercatori hanno trasformato tale indagine sui telefoni privati per vedere quali dati vengono inviati dalle app sui loro dispositivi.
Dando un’occhiata più approfondita hanno scoperto che molte app inviano dati che vanno al di là di ciò che le persone concordano in base alle politiche sulla privacy e alle richieste di autorizzazione.
“Alla fine, ti rimane una politica essenzialmente insignificante perché non descrive ciò che sta accadendo realmente“, ha dichiarato Serge Egelman, direttore della ricerca sulla sicurezza e la privacy presso l’International Computer Science Institute. “L’unico modo per rispondere a questa domanda è entrare e vedere cosa sta facendo l’app con quei dati.”
A volte, i dati sono solo diretti agli inserzionisti, che pensano di poterli utilizzare per venderti prodotti. I dati sulla posizione del telefono possono essere una miniera d’oro per gli inserzionisti, che li usano per capire dove si trovano le persone in determinati momenti. Ma potrebbero anche andare alle agenzie governative che sfruttano la tecnologia per sorvegliare le persone utilizzando i dati raccolti dalle app. Recentemente, il Wall Street Journal ha riferito che le agenzie governative stavano usando tali dati per rintracciare gli immigrati.
Questi ricercatori stanno facendo luce su un mondo nascosto di tracciamento dei dati e stanno sollevando preoccupazioni su quante informazioni le persone stanno divulgando senza saperlo.
Tracciamento della posizione
Will Strafach ha iniziato a esaminare il traffico di rete nel 2017, quando lavorava presso Guardian, una compagnia di sicurezza mobile che ha co-fondato.
La società ha creato uno strumento software che le aziende potrebbero utilizzare per analizzare le app dei propri clienti, incluso il traffico di rete. La quantità di dati provenienti da queste diverse app ha sbalordito Strafach.
Alcune app hanno fornito dati sulla posizione, inviando fino a 200 record – ognuno meticolosamente timestamp – nell’arco di 12 ore. Anche quando i servizi GPS di un telefono erano disattivati, Strafach ha scoperto delle lacune che consentivano il tracciamento dei dati, come la raccolta di informazioni sulla posizione quando un telefono si connetteva a una rete Wi-Fi.
L’entità del problema ha colpito AccuWeather, una popolare app meteo, che stava inviando i dati sulla posizione dell’utente anche quando la condivisione della posizione era disattivata.
AccuWeather non ha commentato queste accuse.
Strafach ha riscontrato che i localizzatori di posizione nascosti come AccuWeather sono uno dei maggiori problemi di privacy per le app mobili. Le persone autorizzano le app per lo scopo previsto, come trovare il benzinaio più economico nelle vicinanze, ma non si rendono conto che dietro le quinte le informazioni vengono condivise con i broker di dati.
A differenza del malware, che Strafach ricerca, queste app sono consentite nei mercati di Google e Apple e in alcuni casi vengono preinstallate sui dispositivi. Ecco perché la ricerca di queste app utilizzando il traffico di rete che generano è diventata un nuovo obiettivo per Strafach.
“Il traffico di rete è semplice”, ha detto. “Se i dati provengono dal telefono, puoi vederli. È così semplice.”
Cosa puoi fare
Non c’è molto che puoi fare per proteggerti da questi tracker oltre a non scaricare app problematiche per cominciare. Ma a meno che tu non sappia a quali app prestare attenzione, è solo una illusione.
“Questa è la cosa numero 1”, ha detto Budington. “C’è così tanta confusione in questo spazio e non una risposta chiara per ‘come posso proteggermi'”.
Ci sono modi per capirlo. Ma non sono perfetti.
Egelman ha preso lo strumento di ricerca del suo laboratorio e lo ha trasformato in un metodo che le persone possono utilizzare per verificare le app problematiche sui propri dispositivi.
Non si aspetta che ogni singola persona impari improvvisamente come eseguire l’analisi del traffico di rete, né vuole che lo facciano le persone.
“Se ci vuole un team di ricercatori che scrivono i propri strumenti e ispezionano il traffico di rete per capire esattamente cosa stanno facendo le app, certamente non è ragionevole aspettarsi che il consumatore medio lo faccia“, ha detto Egelman. “Invece, abbiamo bisogno di gruppi di controllo e di regolatori. Dovrebbero farlo in modo che i consumatori non debbano farlo“.
Ha offerto i suoi strumenti attraverso una startup chiamata AppCensus che ti consente di cercare app e vedere quali dati vengono inviati e dove vengono inviati. Il team sta inoltre lavorando su un’app che ti avviserebbe ogni volta che i dati identificativi vengono inviati ai tracker.
Se vuoi approfondire, potresti dover imparare alcune basi dell’analisi del traffico di rete. Ad esempio, l’analisi di Noonlight, un’app di sicurezza di AppCensus, ha rilevato che stava inviando dati solo a Crashlytics. Uno sguardo più approfondito da un’indagine di Gizmodo ha scoperto che Noonlight stava inviando dati agli inserzionisti.
Strumenti come CharlesProxy sono disponibili per scaricare e intercettare il traffico di rete dal tuo dispositivo. Imparare a usarli, tuttavia, è più complesso.
Strafach di Guardian ha affermato che la sua azienda sta lavorando a un aggiornamento della sua app firewall che avviserebbe le persone ogni volta che un’app sta prendendo più dati di quanto si supponga.
Non vede l’analisi del traffico di rete come una prassi corrente. Tuttavia, alcune persone con la capacità tecnica di svolgere la ricerca potrebbero essere interessate.
“Ci sono molte persone che vorrebbero essere in grado di trovare queste cose e trovare qualcosa di facile da usare“, ha detto Strafach. Se quel giorno arriverà, si aspetta che le persone siano molto più preoccupate per la privacy.