Nel corso della PrivacyCon 2019, una conferenza organizzata la scorsa settimana dalla Federal Trade Commission, sono state illustrate alcune delle tecniche utilizzate dalle applicazioni per tracciare i movimenti degli utenti di smartphone Android.

L’accesso alle informazioni avviene solitamente attraverso le API Android, che sono però protette dai permessi di sistema. In assenza di permessi le app provano a cercare le informazioni necessarie nei file di sistema. I ricercatori che hanno partecipato all’evento hanno mostrato tre tipologie di exploit che permettono di accedere ai dati più interessanti.

Il metodo più semplice è quelli di ottenere il MAC address di una rete WiFi, un’ottima soluzione per conoscere la posizione dell’utente. Una semplice ispezione del traffico di rete permette di leggere il MAC address dalla cache di sistema o dalle chiamate di sistema.

Altre applicazioni cercano di ottenere il codice IMEI, l’identificatore unico di ogni smartphone. Alcune librerie pubblicitarie cercano di ottenere il codice IMEI, per salvarlo su un file temporaneo al quale altre app, che utilizzano le librerie, potranno accedere.

Il terzo metodo sfrutta le app di condivisione delle immagini, nelle quali sono salvati, nella maggior parte dei casi, i geotag, quei dati che permettono di conoscere la posizione in cui è stata scattatala foto. Una volta che l’utente ha concesso i permessi all’app “incriminata” lo sviluppatore potrà accedere ai dati e farne sostanzialmente quello che vuole.

Un ulteriore studio ha inoltre escluso la possibilità che Facebook utilizzi il microfono degli smartphone per spiare le conversazioni degli utenti. L’analisi dell’applicazione non ha mostrato alcuna evidenza in tal senso e a partire da Android Pie le app in background non possono registrare audio o video.

Google dal canto suo afferma che risolverà gran parte di questi problemi con Android Q, ma nel corso della conferenza è stato sottolineato come questo escluda dalle soluzioni buona parte degli utenti Android che non riceveranno mai l’aggiornamento. Urge più che mai una soluzione che permetta a Google di aggiornare le componenti critiche del sistema senza passare per i produttori e senza forzare l’aggiornamento a una nuova versione di Android.