Le app Android raccolgono dati degli utenti anche dopo aver negato il permesso

Oltre 1.000 app Android stanno raccogliendo i tuoi dati senza permesso

Un nuovo studio di ricerca ha rivelato che più di 1.000 app Android disponibili nel Google Play Store hanno violato i permessi per rubare dati privati come messaggi, registri delle chiamate, foto e altro.

I ricercatori dell’International Computer Science Institute (ICSI) dell’UC Berkeley, che ha prodotto la ricerca, hanno testato 88.000 app dal Google Play Store degli Stati Uniti e hanno scoperto che 1.325 app raccoglievano informazioni riguardanti dati di geolocalizzazione e identificatori del telefono.

Correlati - 10 delle migliori app Android gratuite

Lo studio pubblicato sul sito della Federal Trade Commission (FTC) ha citato 153 app, tra cui Samsung Health, il browser di Samsung, Shutterfly e l’app del parco Disneyland di Hong Kong, che hanno raccolto dati senza permessi espliciti.

“Le moderne piattaforme per smartphone implementano modelli basati sui permessi per proteggere l’accesso a dati sensibili e risorse di sistema. Tuttavia, le app possono eludere il modello di permesso e ottenere accesso a dati protetti senza il consenso dell’utente utilizzando sia canali covert che side,” hanno scritto i ricercatori in un ampio rapporto.

“I canali side presenti nell’implementazione del sistema di permessi consentono alle app di accedere a dati protetti e risorse di sistema senza permesso; mentre i canali covert abilitano la comunicazione tra due app colluse in modo che un’app possa condividere i suoi dati protetti da permesso con un’altra app priva di tali permessi. Entrambi rappresentano minacce per la privacy degli utenti.”

Ad esempio, i ricercatori hanno scoperto che Shutterfly – il sito di condivisione foto utilizzato per modificare foto – stava raccogliendo dati GPS dai telefoni cellulari e inviandoli ai propri server, indipendentemente dal fatto che gli utenti avessero consentito o rifiutato il permesso dell’app di accedere ai dati di posizione.

“Come molti servizi fotografici, Shutterfly utilizza questi dati per migliorare l’esperienza dell’utente con funzionalità come categorizzazione e suggerimenti di prodotti personalizzati, tutto in conformità con l’informativa sulla privacy di Shutterfly e con l’accordo per sviluppatori Android,” ha dichiarato l’azienda in una dichiarazione in risposta allo studio chiarendo che raccoglie solo dati GPS da coloro che gli danno permesso.

Nel caso di Disneyland di Hong Kong, è stato scoperto che l’app utilizzava la scheda SD come canale covert per memorizzare le informazioni IMEI del telefono. Sebbene 13 app siano state trovate a sfruttare questo canale covert per ottenere le informazioni IMEI, queste app sono state installate più di 17 milioni di volte.

“Il numero di potenziali utenti colpiti da queste scoperte è nell’ordine delle centinaia di milioni. Queste pratiche ingannevoli consentono agli sviluppatori di accedere ai dati privati degli utenti senza consenso, minando la privacy degli utenti e dando origine a preoccupazioni sia legali che etiche,” hanno scritto i ricercatori.

“Le legislazioni sulla protezione dei dati in tutto il mondo—compreso il Regolamento generale sulla protezione dei dati (GDPR) in Europa, il California Consumer Privacy Act (CCPA) e le leggi sulla protezione dei consumatori, come il Federal Trade Commission Act—imponendo trasparenza sulle pratiche di raccolta, elaborazione e condivisione dei dati delle applicazioni mobili.”

I ricercatori che avevano segnalato le loro scoperte a Google nel settembre dello scorso anno affermano che alcune di esse potrebbero essere risolte nel prossimo sistema operativo Android Q previsto per il rilascio quest’anno. Questo significa che diversi utenti di smartphone più vecchi che non ricevono gli aggiornamenti Android Q continueranno a affrontare il problema lasciando i loro dispositivi vulnerabili.

Correlati - Microsoft sta iniettando annunci per installare le sue altre app su Android

“Scoprendo queste pratiche e rendendo pubblici i nostri dati, speriamo di fornire dati e strumenti sufficienti per consentire ai regolatori di intraprendere azioni di enforcement, all’industria di identificare e risolvere problemi prima di rilasciare app, e consentire ai consumatori di prendere decisioni informate sulle app che utilizzano,” hanno affermato i ricercatori.

I ricercatori suggeriscono che Google dovrebbe considerare queste questioni di privacy come gravi vulnerabilità di sicurezza e che è necessario aggiornare il modo in cui funzionano i permessi.

Leggi anche - Miglior antivirus gratuito per smartphone Android