FAKE: Tutte le app Android chiedono l'autorizzazione a trattare i dati degli utenti

Lo sanno tutti. Le applicazioni installate sui nostri smartphone si appropriano dei dati personali presenti sul dispositivo. Non è certo una novità, anzi. Fino a questo momento però, esperti e utenti si sono sempre detti convinti che le app non potessero accedere a informazioni per le quali non avessero ottenuto in precedenza un consenso esplicito. Eppure alcuni ricercatori dell'International Computer Science Institute (ICSI) hanno scoperto che migliaia di applicazioni scaricabili dal PlayStore, il market place di Android, permettevano la sottrazione di dati "inconsapevoli". All'interno di un rapporto presentato durante PrivacyCon 2019 - uno delle convetion più importanti per il settore della tutela dei dati sensibili - gli studiosi hanno infatti rivelato che almeno 1300 applicazioni per dispositivi Android continuano a raccogliere i dati degli utenti nei modi più disparati e senza autorizzazione. 
 

Lo studio, che ha interessato oltre 88.000 app pubblicate sul Google Play Store, ha verificato come i dati vengano trasferiti dalle app quando l’utente nega i permessi, utilizzando sia l’analisi dinamica (comportamento a runtime) sia l’analisi statica (scansione del codice). Il risultato è che 1325 app per Android (la lista completa sarà resa nota in occasione di un'altra conferenza specializzata, la Usenix che si terrà ad agosto) hanno aggirato la mancata autorizzazione, ricavando i dati personali da fonti come le connessioni WiFi o i metadati archiviati nelle foto: ad esempio le coordinate gps per la geolocalizzazione o il codice Imei. L’app Shutterfly, ad esempio, invia al server le coordinate GPS presenti nei metadati EXIF delle foto anche se l’utente ha negato il permesso di accedere alla posizione dello smartphone. In altri casi invece, si è scoperto che le applicazioni ricavano i dati di geolocalizzazione attraverso l'indirizzo MAC del router - una sorta di codice identificativo delle connessioni - dopo che l'utente si era collegato alla rete WiFi. Si tratta prevalentemente di app che svolgono la funzione di telecomandi smart e che, come tali, non hanno affatto la necessità di accedere alle funzioni di localizzazione.

Non solo, almeno 153 app - tra cui ci sarebbero anche Samsung Health e Internet Browser, software diffusissimi e installati su più di 500 milioni di dispositivi - sfrutterebbero altre app precedente autorizzate per ricavare dati attraverso l'accesso alla scheda SD dei dispositivi. l risultato dello studio è stato sintetizzato da Serge Egelman, direttore delle ricerche sulla sicurezza e sulla privacy presso l'ICSI, con queste parole: «Fondamentalmente, i consumatori hanno pochissimi strumenti e segnali che possono usare per controllare ragionevolmente la propria privacy e adottare decisioni in merito. Se gli sviluppatori di app possono aggirare il sistema, allora chiedere l'autorizzazione ai consumatori è relativamente privo di senso».

Stando alle parole del team di ricerca inoltre, l'ICSI avrebbe già avvisato da molto tempo Google (almeno da settembre 2018) proprio sulle problematiche riscontrate. Non è un caso infatti che - almeno secondo i rumor e le prime versioni di prova - la prossima versione del sistema operativo Android conterrà delle stringhe di codice correttive pesnate proprio per risolvere la situazione denunciata dai ricercatori. Ad esempio è già noto che Android Q  richiederà che tutte le app che accedono al WiFi abbiano anche l'autorizzazione per leggere i dati sulla posizione. Allo stesso modo, in "Q", da un lato non sarà possibile leggere il codice IMEI e dall'altro, attraverso la funzionalità Scoped Storage, verrà impedito alle app di leggere l’informazione sulla posizione dalle foto. Tuttavia però, trattandosi di un aggiornamento dell'intero sistema operativo, motissimi smartphone non riceveranno affatto la nuova versione di Android. Gli utenti con dispostivi meno recenti infatti, dovranno sperare che Mountain View includa queste misure anche nella prossima patch di sicurezza per smartphone con Android 9 Pie.