Attenzione: nel Play Store di Android 1.325 app raccolgono dati personali senza permesso

La scoperta in questione, presentata alla scorsa PrivacyCon di Washington, ha permesso anche di capire il modus operandi delle applicazioni coinvolte che, tuttavia, verranno rimesse in riga solo col successivo rilascio di Android Q.

Attenzione: nel Play Store di Android 1.325 app raccolgono dati personali senza permesso

Tra applicazioni mangiasoldi, e colme di adware, non si può certo dire che quello attuale sia un momento d’oro per la sicurezza dell’ecosistema Android e, nelle ultime ore, anche una ricerca appena condivisa negli States conferma tale conclusione, con – in più – inquietanti ricadute in ottica privacy, visto il rinvenimento di migliaia di applicazioni capaci di accedere ai dati personali anche in assenza delle autorizzazioni degli utenti.

Qualche settimana fa, nel corso della conferenza PrivacyCon 2019 allestita il 27 Giugno scorso al Constitution Center di Washington, l’ICSI (International Computer Science Institute), un istituto di ricerca indipendente con sede in California, ha presentato il risultato di una ricerca condotta su pressappoco 88 mila applicazioni molto usate del Play Store androidiano.

La conclusione cui i ricercatori, coordinati da Serge Egelman, sono giunti è alquanto sconsolante, dato che molte delle applicazioni esaminate, per la precisione 1.325, riuscirebbero a dragare e spedire ai propri server le informazioni personali degli utenti anche nei casi in cui questi ultimi avessero negato l’autorizzazione a procedere in tal senso.

Il modo in cui tutto ciò avveniva, secondo Egelman, era reso possibile da due escamotage. Alcune applicazioni, tra cui quell a di Shutterfly (acquisizione di foto per consentire la stampa di photo-album su carta, poi spediti a casa degli utenti), che ha negato di aver ottenuto i dati poi inviati ai propri server senza l’avallo esplicito degli utenti, desumevano i dati personali, tra cui quelli sulla posizione GPS, dai metadati delle immagini presenti in galleria, o dalle connessioni Wi-Fi cui ci si appoggiava. 

Altre, invece, erano persino in grado di accedere ai file personali stoccati sulle schedine microSD non agendo direttamente, ma servendosi di applicazioni che, invece, avevano ricevuto il placet verso l’accesso a simili informazioni: potenzialmente, in questo caso il problema riguardava 153 app (es. le samsunghiane Health e Internet Browser), sebbene solo 13 di queste (però con 17 milioni di download) ne abbiano effettivamente approfittato, col caso più celebre relativo ad un’app, curata dal motore di ricerca cinese Baidu, riservata al parco Disneyland dell’ex colonia inglese di Hong Kong.

Al momento, l’esito della ricerca è stato già inoltrato alla commissione federale americana per il commercio (FTC), ed a Google, ma quest’ultima ha delegato la soluzione definitiva del problema all’imminente varo di Android Q in versione definitiva, visto che il nuovo robottino verde prevederà che ogni app connessa alla Rete debba ottenere l’autorizzazione esplicita per accedere alla geolocalizzazione, diversamente occultata di default.

Continua a leggere su Fidelity News