Altro attentato alla privacy degli utenti all’interno di diverse centinaia di app del Google Play Store, anche di uso comune. Secondo una ricerca di sicurezza, per la precisione sono 1325 le app a raccogliere dati senza permesso.
Secondo una ricerca svolta dall’International Computer Science Institute (ICSI) e presentata al PrivacyCon 2019, sul Play Store trovano posto moltissime app in grado di aggirare i permessi negati da parte degli utenti per raccogliere comunque dati, come ad esempio quelli sulla posizione. Ne abbiamo accennato anche qualche giorno fa, ma sono emersi ulteriori dettagli.
Se pensavate che bastasse negare un permesso a un’app per la torcia – ad esempio – per evitare che questa avesse accesso alla cronologia della chiamate, a quanto pare vi sbagliavate. Queste le parole di Serge Egelman, direttore delle ricerche di sicurezza e privacy presso l’ICSI:
“Fondamentalmente i consumatori hanno pochissimi strumenti e spunti che possono sfruttare per controllare in modo ragionevole la loro privacy e per prendere decisioni al riguardo. Se gli sviluppatori di app riescono a eludere il sistema, chiedere i permessi ai consumatori è relativamente senza senso.“
Secondo Egelman, i ricercatori hanno avvisato Google e la Federal Trade Commission (FTC) di questi problemi lo scorso mese di settembre, ma la soluzione da parte della casa di Mountain View dovrebbe arrivare solo con Android Q, atteso il prossimo mese. L’aggiornamento risolverà il problema nascondendo le informazioni sulla posizione e richiedendo che tutte le app che avranno accesso al Wi-Fi abbiano l’autorizzazione per accedere alla posizione.
I ricercatori hanno analizzato più di 80.000 applicazioni del Google Play Store: di queste, ben 1325 hanno violato le regole utilizzando soluzioni nascoste per prelevare dati personali da connessioni Wi-Fi e metadati archiviati nelle foto. Una di queste è Shutterfly, che è stata “beccata” a quanto pare a raccogliere coordinate GPS dalle foto e a inviarle ai propri server, anche con il permesso negato dall’utente. Un portavoce ha dichiarato che l’azienda si limita a raccogliere i dati sulla posizione con il permesso esplicito, negando quanto sostenuto dai ricercatori.
Ma non è finita qui: in base a quanto riportato, alcune app (153, tra cui Samsung Health e Internet Browser) potrebbero fare affidamento su altre app a cui viene concessa l’autorizzazione. Queste sarebbero capaci di leggere file non protetti sulla scheda SD dei dispositivi, raccogliendo dati a cui non avrebbero dovuto accedere. A sfruttare ciò sarebbero “solo” 13 app, ma scaricate più di 17 milioni di volte: tra queste comparirebbe l’app di Baidu del parco divertimenti di Disneyland a Hong Kong. Sia Disney sia Baidu (così come Samsung) non hanno rilasciato dichiarazioni.
Ulteriori dettagli, compresa la lista completa di app, saranno annunciati da Egelman alla Usenix Security conference che si terrà ad agosto.