Tra le informazioni degli utenti, una di quelle maggiormente sensibili riguarda la posizione geografica, la cui indebita comunicazione è altamente lesiva della privacy. Proprio per tale motivo ha destato un particolare allarme in tema di sicurezza digitale la ricerca Investigation Xoth condotta dai ricercatori del Digital Security Lab di ExpressVPN, in merito al comportamento dei kit di sviluppo SDK contenuti in diverse applicazioni presenti negli store di Android e iOS.
Secondo lo studio in questione, molte applicazioni diffuse, riguardanti categorie d’uso molto popolari, come le app di preghiera, le app di conversione audio e video, quelle di messaggistica (ad esclusione di quelle note) o di dating, quelle con funzionalità di telecomando, diversi videogame, radio online, browser, tastiere smart, app per il meteo e i viaggi, tool di cartografia (mappe) o per lo shopping online, conterrebbero, sia sul Play Store che sull’App Store, il pericoloso data broker “X-Code”, in uso sin dal lontano 2013.
Questo kit, nello specifico, risulta sviluppato dalla società omonima X-Code, già bannata da Appe e Google, nota per rivendere i dati raccolti, tra cui appunto quelli della posizione dell’utente, a diversi clienti governativi e militari, come nel caso di SignalFrame, un operatore conosciuto per aver realizzato un software di intercettazione telefonica per conto dell’aviazione americana (US Air Force). Non meno serie sono le posizioni del cliente OneAudience, bannato dai principali social (Twitter e Facebook) e colpito da varie cause legali, o di Sense360 e BeaconsInSpace.
Nel corso del 2020, sia Google che Apple avevano proibito l’uso dell’SDK X-Code, ma da allora solo il 10% delle app che lo adoperava si è aggiornata privandosene, col risultato che la ricerca di cui sopra ha evidenziato come circa 450 applicazioni ne facciano ancora uso, per un totale di oltre 1.7 miliardi di installazioni avvenute a livello globale.
Ad oggi, per cautelarsi contro la minaccia in questione, la soluzione principale consta nel consultare l’elenco delle app Android / iOS incriminate, debitamente listate nella pagina della ricerca, github.com/expressvpn/xoth_location_tracker_investigation/blob/main/all_apps.md, e nel procedere, in caso di riscontro positivo, ad una pronta disinstallazione manuale delle stesse, dalle impostazioni dei relativi sistemi operativi mobili.