Ormai è risaputo, il Play Store di Google non sempre riesce a garantire la buona qualità – soprattutto in termini di sicurezza – delle applicazioni qui presenti, e spesso e volentieri ci si ritrova ad installare delle app che nascondono al loro interno codici maligni in grado di rubare le nostre informazioni, spiare la nostra attività o provocare rallentamenti del dispositivo.
Secondo una ricerca condotta dall’International Computer Science Institute presentata al PrivacyCon di quest’anno, sono più di mille le applicazioni che raccolgono i nostri dati personali a nostra insaputa. Lo studio ha preso in considerazione 88.000 applicazioni presenti nel Play Store ed esaminato come si comportano queste app quando l’utente non concede loro i permessi necessari al trattamento e al trasferimento dei dati. Il risultato? Ben 1325 applicazioni hanno ignorato la mancata autorizzazione, risalendo ai dati personali da altri canali, come le connessioni WiFi o i metadati presenti nelle foto, come le coordinate GPS e il codice IMEI.
Android, “chiedere l’autorizzazione ai consumatori è relativamente privo di senso”
Oltre le circa milletrecento applicazioni che raccolgono i dati degli utenti a loro insaputa, vi sarebbero almeno altre 153 applicazioni tra cui Samsung Health e Internet Browser che sfrutterebbero software secondari che godono dell’autorizzazione per ricavare dati attraverso l’accesso alla scheda SD. Tra le applicazioni che hanno sfruttato questo meccanismo rientrerebbe anche quella sviluppata da Baidu per il parco divertimenti di Disneyland ad Hong Kong.
“Gli utenti hanno pochissimi strumenti e segnali a loro disposizione da usare per controllare ragionevolmente la propria privacy e adottare decisioni in merito. Se gli sviluppatori possono aggirare il sistema, allora chiedere l’autorizzazione agli utenti è relativamente privo di senso”, commenta Serge Egelman, direttore delle ricerche di sicurezza e privacy dell’International Computer Science Institute.
Samsung e Baidu non hanno replicato alle accuse, ma Google ha riferito che questo problema verrà risolto con il lancio di Android Q, nascondendo le informazioni sulla posizione e richiedendo che tutte le app che hanno l’accesso al WiFi siano in possesso dell’autorizzazione per accedere alla posizione degli utenti. Il problema, però, è che Android Q non sarà supportato da tutti i dispositivi, ma solo da smartphone più recenti. Ciò significa che chi è in possesso di un dispositivo più datato debba sacrificare la propria Privacy per poter utilizzare determinate applicazioni? O si arriverà ad una soluzione in modo da assicurare un buon livello di Privacy anche a quella grande fetta di utenti che non riceveranno l’aggiornamento ad Android Q?
