Molto spesso si è soliti sostituire le tastiere di default di Android con altre tastiere, disponibili nel PlayStore androidiano, onde poter guadagnare delle funzioni accessorie. Non sempre, però, una scelta del genere si rivela una buona idea: a volte, infatti, il dazio da pagare per qualche icona in più è assai salato. Come nel caso di “Flash Keyboard”, la tastiera Android gratuita che spia l’utente a scopo statistico.
Flash Keyboard è una tastiera gratuita, disponibile al download (anche in italiano) nel PlayStore di Android e realizzata dalla software house cinese DotC United: installandola, si hanno in dote circa 400 emoji e smiley (in ogni app sociale nella quale sia necessario scrivere del testo), si ha la possibilità di personalizzare le foto con stickers gratuiti, ed è persino possibile disporre una tecnologia per la correzione automatica del testo (con speciali feature predittive).
Insomma, sembrerebbe – né più e né meno – una tastiera come altre. E, invece, in sé contiene una sorpresa mica tanto piacevole. Ad essersene accorsi sono stati gli specialisti di Pentest Limited, un’azienda del ramo IT security, i quali hanno preso ad analizzare quest’applicazione incuriositi dai suoi tanti “primati” di popolarità: Flash Keyboard, infatti, risulta scaricata da un range di 50-100 milioni di utenti, nel Febbraio scorso è stata all’11° posto tra le app più scaricate nel PlayStore USA, e – nel PlayStore internazionale – ha beneficiato di un voto di 4 stelle su 5 da almeno 700 mila utenti. Mica male, vero?
Analizzando il codice ed il comportamento di Flash Keyboard, gli esperti di cui sopra hanno notato un primo particolare fastidioso: la tastiera in oggetto chiede davvero tante autorizzazioni. Forse un po’ troppe: in particolare, viene chiesta l’autorizzazione per accedere ai contatti (e serve per correggere gli indirizzi digitati), quella alle foto (e serve per realizzare gli sticker personalizzati delle foto), quella per il GPS (a che pro?), quella per il log di sistema (attenti: in questo file sono spesso conservati dati sensibili come i log-in), e quella per sostituire la schermata di blocco con una personalizzata (nella quale visualizzare banner mirati e questo, va beh, ci può stare).
Quello che sembra più preoccupante è il fatto che Flash Keyboard si arroga anche la possibilità di spegnere alcuni processi attivi (i virus lo fanno per stoppare gli antivirus), di cambiare la connettività del dispositivo, e di aggiornarsi da sola senza avvertire l’utente. Anche disinstallarla non è mica facile visto che cambia alcune impostazioni del device e rientra tra gli amministratori del medesimo.
“Tutto qui”? Assolutamente no. Potenzialmente, Flash Keyboard è capace di registrare tutto quel che si digita (in linea teorica) e, di sicuro, è stato accertato che tale app invia diversi dati personali a dei server statistici (della “TalkingData”) piazzati in vari angoli del mondo (Olanda, Cina, Stati Uniti che – in genere – non brillano per tutela dei dati personali). I dati in questione sono davvero degni di una comare di quartiere in salsa 2.0: Flash Keyboard, infatti, invia il nome del device, il produttore, il sistema operativo, il codice IMEI del device, il nome della rete wireless e dell’operatore mobile, i nomi dei dispositivi Bluetooth connessi, e persino gli host proxy cui ci si connette.
Per fortuna, Pentest spiega che è improbabile che vi sia una motivazione malevola dietro un tal comportamento: è verosimile che si tratti solo di un tentativo spinto di monetizzare il successo dell’applicazione da parte della software house che la realizza. Però, per farlo, dovranno imparare a rispettare maggiormente le Linee di Guida di Google (palesemente violate) perché NON basta sostenere, come fanno nella descrizione dell’app, che tengono alla nostra privacy se, poi, nei fatti agiscono in tutt’altro modo!