7 Nelle app per smartphone 10 condividi i tuoi dati con servizi di terze parti

7 Nelle app per smartphone 10 condividi i tuoi dati con servizi di terze parti
Le foto dagli smartphone sono georeferenziate anche quando l'utente non è consapevole. Gli utenti di smartphone possono modificare le loro impostazioni sulla privacy per limitare chi può visualizzare le loro posizioni georeferenziate. (Credito fotografico: US Army Graphic)

I nostri telefoni cellulari possono rivelare molto di noi stessi: dove viviamo e lavoriamo; chi sono i nostri familiari, amici e conoscenti; come (e anche cosa) comunichiamo con loro; e le nostre abitudini personali. Con tutte le informazioni memorizzate su di essi, non sorprende che gli utenti di dispositivi mobili adottino misure per proteggere la loro privacy, come usando i PIN o i passcode per sbloccare i loro telefoni.

La ricerca che noi e i nostri colleghi stanno facendo identifica ed esplora una minaccia significativa che alla maggior parte delle persone manca: Più di 70 per cento of le app per smartphone riportano dati personali a società di monitoraggio di terze parti come Google Analytics, Facebook Graph API o Crashlytics.

Quando le persone installano una nuova app Android o iOS, chiede l'autorizzazione dell'utente prima di accedere alle informazioni personali. In generale, questo è positivo. E alcune delle informazioni che queste app stanno raccogliendo sono necessarie per il loro corretto funzionamento: un'app di mappe non sarebbe altrettanto utile se non fosse possibile utilizzare i dati GPS per ottenere una posizione.

Ma una volta che un'app ha il permesso di raccogliere tali informazioni, può condividere i tuoi dati con chiunque lo voglia lo sviluppatore dell'app - permettendo a società terze di tracciare dove sei, quanto sei veloce e cosa stai facendo.

L'aiuto e l'azzardo delle librerie di codici

Un'app non raccoglie solo dati da utilizzare sul telefono stesso. La mappatura delle app, ad esempio, invia la tua posizione a un server gestito dallo sviluppatore dell'app per calcolare le indicazioni da dove ti trovi verso la destinazione desiderata.

L'app può anche inviare dati altrove. Come per i siti Web, molte app mobili sono scritte combinando varie funzioni, precodificate da altri sviluppatori e aziende, in quelle che vengono chiamate librerie di terze parti. Queste librerie aiutano gli sviluppatori traccia il coinvolgimento degli utenti, connettersi con i social media e guadagnare soldi visualizzando annunci pubblicitari e altre funzionalità, senza doverle scrivere da zero.

Tuttavia, oltre al loro prezioso aiuto, la maggior parte delle biblioteche raccoglie anche dati sensibili e li invia ai loro server online o ad un'altra società. Gli autori di librerie di successo possono essere in grado di sviluppare profili digitali dettagliati degli utenti. Ad esempio, una persona potrebbe concedere a un'app l'autorizzazione per conoscere la propria posizione e un'altra app per accedere ai propri contatti. Queste sono inizialmente permessi separati, uno per ogni app. Ma se entrambe le app utilizzavano la stessa libreria di terze parti e condividevano informazioni diverse, lo sviluppatore della biblioteca poteva collegare i pezzi insieme.

Gli utenti non lo saprebbero mai, perché le app non sono obbligate a dire agli utenti quali librerie software usano. E solo pochissime app rendono pubbliche le loro politiche sulla privacy degli utenti; se lo fanno, di solito è in lunghi documenti legali una persona normale non leggerà, tanto meno capirà.

Sviluppo del lume

La nostra ricerca cerca di rivelare quanti dati vengono potenzialmente raccolti senza la conoscenza degli utenti e per dare agli utenti un maggiore controllo sui loro dati. Per avere una foto di cosa i dati vengono raccolti e trasmessi dagli smartphone delle persone, abbiamo sviluppato una nostra applicazione Android gratuita, chiamata Lumen Privacy Monitor. Analizza le app di traffico inviate, per segnalare quali applicazioni e servizi online raccolgono attivamente dati personali.

Poiché Lumen si basa sulla trasparenza, un utente di un telefono può vedere le app installate in tempo reale e con chi condividono questi dati. Cerchiamo di mostrare i dettagli del comportamento nascosto delle app in un modo facile da capire. Riguarda anche la ricerca, quindi chiediamo agli utenti se ci permetteranno di raccogliere alcuni dati su ciò che Lumen osserva che le loro app stanno facendo, ma che non include dati personali o sensibili alla privacy. Questo accesso unico ai dati ci consente di studiare in che modo le app mobili raccolgono i dati personali degli utenti e con cui condividono i dati a una scala senza precedenti.

In particolare, Lumen tiene traccia di quali app sono in esecuzione sui dispositivi degli utenti, sia che inviino dati sensibili alla privacy dal telefono, quali siti Internet inviano dati, il protocollo di rete che utilizzano e quali tipi di informazioni personali ogni app invia ad ogni sito. Lumen analizza il traffico delle app localmente sul dispositivo e rende anonimi tali dati prima di inviarceli per studio: se Google Maps registra la posizione GPS dell'utente e invia quell'indirizzo specifico a maps.google.com, Lumen ci dice, "Google Maps ha ottenuto un Posizione GPS e inviato a maps.google.com "- non dove è in realtà quella persona.

I tracker sono ovunque

Più di 1,600 persone che hanno utilizzato Lumen da ottobre 2015 ci ha permesso di analizzare più di app 5,000. Abbiamo scoperto siti 598 che probabilmente monitorano gli utenti a scopi pubblicitari, inclusi servizi di social media come Facebook, grandi aziende Internet come Google e Yahoo e società di marketing online sotto l'egida di provider di servizi Internet come Verizon Wireless.

L'abbiamo trovato più della percentuale 70 delle app che abbiamo studiato collegato ad almeno un tracker e la percentuale 15 di essi collegati a cinque o più tracker. Uno su quattro tracker ha raccolto almeno un identificatore di dispositivo univoco, come il numero di telefono o il suo numero IMEI univoco 15 specifico del dispositivo. Gli identificatori univoci sono fondamentali per i servizi di tracciamento online perché possono collegare diversi tipi di dati personali forniti da diverse app a una singola persona o dispositivo. La maggior parte degli utenti, anche quelli esperti di privacy, non sono a conoscenza di tali pratiche nascoste.

Più che un semplice problema mobile

Tracciare gli utenti sui loro dispositivi mobili è solo una parte di un problema più grande. Più della metà dei tracker delle app che abbiamo identificato tracciano anche gli utenti attraverso i siti web. Grazie a questa tecnica, chiamata tracking "cross-device", questi servizi possono creare un profilo molto più completo della tua persona online.

E i singoli siti di tracciamento non sono necessariamente indipendenti dagli altri. Alcuni di loro sono di proprietà della stessa entità aziendale e altri potrebbero essere inghiottiti in future fusioni. Ad esempio, Alphabet, la società madre di Google, possiede molti dei domini di monitoraggio che abbiamo studiato, tra cui Google Analytics, DoubleClick o AdMob, e attraverso di loro raccoglie dati da più di 48 per cento delle app che abbiamo studiato.

Le identità online degli utenti non sono protette dalle leggi del loro paese d'origine. Abbiamo trovato dati spediti oltre i confini nazionali, spesso finiti in paesi con leggi sulla privacy discutibili. Più della 60 percentuale di connessioni ai siti di tracciamento viene effettuata su server negli Stati Uniti, nel Regno Unito, in Francia, a Singapore, in Cina e nella Corea del Sud - sei paesi che hanno dispiegato tecnologie di sorveglianza di massa. Le agenzie governative in quei luoghi potrebbero potenzialmente avere accesso a questi dati, anche se ci sono gli utenti paesi con leggi più severe sulla privacy come Germania, Svizzera o Spagna.

Collegamento dell'indirizzo MAC di un dispositivo a un indirizzo fisico (appartenente a ICSI) utilizzando Wigle.
Collegamento dell'indirizzo MAC di un dispositivo a un indirizzo fisico (appartenente a ICSI) utilizzando Wigle. ICSI, CC BY-ND

Ancora più inquietante, abbiamo osservato i tracker nelle app destinate ai bambini. Testando le app per bambini di 111 nel nostro laboratorio, abbiamo osservato che 11 ne trapelava un identificativo univoco, il Indirizzo MAC, del router Wi-Fi a cui era connesso. Questo è un problema, perché è facile cerca online per posizioni fisiche associate a determinati indirizzi MAC. La raccolta di informazioni private sui bambini, inclusa la loro posizione, i loro account e altri identificatori univoci, viola potenzialmente le leggi della Federal Trade Commission regole che proteggono la privacy dei bambini.

Solo un piccolo sguardo

Sebbene i nostri dati includano molte delle più popolari app per Android, è un piccolo campione di utenti e app, e quindi probabilmente un piccolo insieme di tutti i tracker possibili. Le nostre scoperte potrebbero semplicemente graffiare la superficie di quello che potrebbe essere un problema molto più grande che attraversa giurisdizioni normative, dispositivi e piattaforme.

È difficile sapere cosa potrebbero fare gli utenti al riguardo. Il blocco delle informazioni riservate dall'uscita dal telefono potrebbe compromettere il rendimento delle app o l'esperienza utente: un'app potrebbe rifiutarsi di funzionare se non può caricare annunci. In realtà, bloccare gli annunci danneggia gli sviluppatori di app negandoli come fonte di entrate per supportare il loro lavoro sulle app, che di solito sono gratuite per gli utenti.

Se le persone fossero più disposte a pagare gli sviluppatori per le app, questo potrebbe aiutare, anche se non è una soluzione completa. Abbiamo scoperto che mentre le app a pagamento tendono a contattare meno siti di tracciamento, continuano a tenere traccia degli utenti e a connettersi con servizi di tracciamento di terze parti.

The ConversationTrasparenza, istruzione e quadri normativi solidi sono la chiave. Gli utenti devono sapere quali informazioni su di loro vengono raccolte, da chi e per cosa sono utilizzate. Solo così, come società, possiamo decidere quali protezioni della privacy sono appropriate e metterle in atto. Le nostre scoperte e quelle di molti altri ricercatori possono aiutare a trasformare i tavoli e seguire da soli gli inseguitori.

Riguardo agli Autori

Narseo Vallina-Rodriguez, ricercatore assistente di ricerca, IMDEA Networks Institute, Madrid, Spagna; Scienziato di ricerca, Networking and Security, International Computer Science Institute, con sede a, University of California, Berkeley e Srikanth Sundaresan, ricercatore in Informatica, Università di Princeton

Questo articolo è stato pubblicato in origine The Conversation. Leggi il articolo originale.

Libri correlati:

{amazonWS: searchindex = Libri; parole chiave = privacy su Internet; maxresults = 3}

enafarZH-CNzh-TWtlfrdehiiditjamsptrues

segui InnerSelf su

facebook-icontwitter-iconrss-icon

Ricevi l'ultimo tramite e-mail

{Emailcloak = off}