Il tema della privacy nel mondo Android torna di viva attualità per effetto di uno studio dai risultati ben poco rassicuranti condotto dalla University of Edinburgh e dal Trinity College Dublin. La risposta di Google sulla questione non si è fatta attendere.
Dopo che negli ultimi giorni si era parlato di privacy chiamando in causa due colossi come Huawei e Microsoft, stavolta il discorso si fa più ampio.
Android e i dati degli utenti
Il menzionato studio condotto dalla University of Edinburgh e dal Trinity College Dublin mette in risalto un presunto problema privacy molto esteso nel mondo Android.
I ricercatori hanno focalizzato la propria attenzione su brand come Samsung, Huawei, Xiaomi, realme; ma anche su due custom ROM come LineageOS e /e/ OS. Il dato rilevato è che tutte le personalizzazioni scambiano continuamente dei dati con dei server remoti, con l’unica eccezione di /e/. Le conclusioni dello studio sono decisamente eloquenti:
«Con la notevole eccezione di /e/OS, anche quando configurate in modo minimo e il telefono è in idle, queste varianti Android personalizzate trasmettono notevoli quantità di informazioni allo sviluppatore del sistema operativo e anche a terze parti (Google, Microsoft, LinkedIn, Facebook, ecc. ) con le sole app di sistema preinstallate».
Nella tabella che vedete qui di seguito i ricercatori hanno riassunto le tipologie di dati sensibili degli utenti che vengono scambiati da ciascuna delle personalizzazioni analizzata in fase di primo avvio, come identificatori persistenti, dettagli sull’uso delle app e informazioni telemetriche.
In aggiunta a questo, viene fatto notare come i dati in questione non vengano neppure condivisi solo con il produttore, ma anche con terze parti quali Microsoft, LinkedIn e Facebook. Il dato più allarmante è che questa condivisione avviene senza aver installato una singola app al di fuori di quelle che arrivano preinstallate.
In tutto ciò, a fare manbassa dei dati condivisi dagli smartphone Android è Google, che li ottiene in tutti i casi o quasi. Sugli smartphone Samsung testati, l’identificatore pubblicitario di Google viene inviato ai server Samsung e diverse app di sistema di Samsung raccolgono dati mediante Google Analytics. Il servizio push di Google viene impiegato nell’app di sistema Microsoft OneDrive, mentre sullo smartphone Huawei testato la tastiera Swiftkey di Microsoft invia il Google Advertising ID ai server di Microsoft. Allo stesso modo, anche lo smartphone Xiaomi testato il il Google Advertising ID del device finisce ai server di Xiaomi.
Per gli utenti Android non esiste via d’uscita o meccanismo di opt-out e il dato preoccupa soprattutto a fronte della possibilità che nelle personalizzazioni vengano inserite nativamente delle app impossibili da disinstallare che raccolgono dati dell’utente persino se non usate. Senza tacere il fatto che alcune app native – come miui.analytics (Xiaomi), Heytap (realme), Hicloud (Huawei) – usano cifrature che possono essere decodificate, aprendo alla possibilità di attacchi man-in-the-middle.
La parte conclusiva dello studio evidenzia come non si possa sottrarsi a questa condivisione continua di dati neppure mediante un ripristino degli identificatori pubblicitari del proprio account Google su Android. Il motivo di ciò è che il sistema è in grado di collegare il nuovo ID allo stesso dispositivo e di procedere alla sincronizzazione della precedente cronologia di tracciamento. Per quanto l’utente sulla carta resti anonimo, i dati raccolti lo rendono riconoscibile; d’altronde dati della SIM, IMEI dello smartphone, cronologia delle località, indirizzi IP, SSID di rete, messi insieme, permettono di risalire con buona approssimazione all’identità dell’utente Android.
In mezzo a tutto questo, /e/OS rappresenta una mosca bianca: il fork non è collegato ad alcun produttore e nasce proprio con l’obiettivo della tutela della privacy, staccandosi in tutto e per tutto da Google e i suoi servizi.
SAMSUNG Galaxy S24 Ultra
✂️ Sconto 150€ con MW Club + cashback di 300€: https://bit.ly/4evEBsy
La risposta ufficiale di Google
Per la risposta ufficiale di Google sulla questione non serve andare troppo lontano. Big G parla di una condivisione di dati necessaria ai fini del corretto funzionamento dei principali servizi presenti sui dispositivi Android. Ecco il testo completo del messaggio:
«Sebbene apprezziamo il lavoro dei ricercatori, non siamo d’accordo sul fatto che questo comportamento sia inaspettato: è così che funzionano gli smartphone moderni. Come spiegato nel nostro articolo di supporto di Google Play Services, questi dati sono essenziali per i servizi principali dei dispositivi come le notifiche push e gli aggiornamenti software in un ecosistema diversificato di dispositivi e build software. Ad esempio, i servizi di Google Play utilizzano i dati sui dispositivi Android certificati per supportare le funzionalità principali del dispositivo. La raccolta di limitate informazioni di base, come l’IMEI di un dispositivo, è necessaria per fornire aggiornamenti critici in modo affidabile su dispositivi e app Android».
Per i più curiosi, lo studio completo è disponibile a questo link.
Leggi anche: Google e la sicurezza: gestore delle password, verifica in due passaggi e altro