Studio: le app per telefoni cellulari visualizzano i dati privati ​​più del necessario

Le app di telefonia mobile accedono ai dati privati ​​degli utenti e li trasmettono a server remoti di gran lunga di più di quanto appare strettamente necessario, mentre gli utenti hanno strumenti inadeguati per monitorare o controllare tale accesso, secondo un nuovo studio di due agenzie governative francesi.

La Commissione nazionale francese su informatica e libertà (CNIL) ha studiato il comportamento di 189 app su sei iPhone dotati di software di monitoraggio e strumenti di analisi sviluppati dall'Istituto nazionale francese per la ricerca in informatica e controllo (INRIA). L'obiettivo era migliorare la comprensione generale del modo in cui le app utilizzano i dati privati, non puntare il dito contro determinati sviluppatori, ha detto il presidente del CNIL Isabelle Falque-Pierrotin in una conferenza stampa per presentare la ricerca.

Piuttosto che studiare app in laboratorio condizioni, CNIL ha preso un approccio reale, chiedendo a sei volontari di mettere le proprie carte SIM nei telefoni e usarle come sarebbero le proprie tra metà ottobre e metà gennaio. Un volontario ha scaricato quasi 100 app e ne ha aggiunte solo cinque a quelle installate da Apple.

[Ulteriori letture: i migliori telefoni Android per ogni budget.]

Una su 12 delle app ha avuto accesso alla rubrica e quasi una su tre ha avuto accesso alle informazioni sulla posizione. In media, gli utenti hanno monitorato la loro posizione 76 volte al giorno durante lo studio. Foursquare e l'app di Maps di Apple hanno richiesto le informazioni sulla posizione più spesso - forse comprensibili a causa del loro scopo - con AroundMe e l'app Apple Camera a portata di mano.

Il nome dell'iPhone è stato raggiunto da un'app in sei, cosa che i ricercatori hanno trovato inspiegabile perché serve quasi senza scopo ed è lontano da un identificatore univoco, sebbene dal momento che spesso contenga il nome specificato dell'utente, potrebbe essere considerato informazione di identificazione personale.

L'app di Facebook apparentemente ha fatto pochi tentativi per accedere a tali informazioni private - ma poi, hanno detto i ricercatori

I ricercatori di due agenzie governative francesi, CNIL e INRIA, vogliono dare agli utenti Apple iOS un controllo aggiuntivo su come le app accedano alle loro informazioni private, permettendo loro di rivedere e modificare tale accesso in qualsiasi momento.

I dati a cui si accede di gran lunga più nello studio sono stati l'Universal Device Identifier (UDID) dell'iPhone, un numero di serie permanente associato ad un particolare telefono. Quasi la metà delle app l'ha acceduta, e una su tre l'ha inviata su Internet senza crittografia. L'app di un quotidiano ha raggiunto l'UDID 1,989 volte durante lo studio, inviandolo 614 volte al suo editore.

Il portavoce CNIL Stéphane Petitcolas ha dimostrato come gli utenti potrebbero riprendere il controllo con un nuovo strumento di impostazioni per limitare il modo in cui le app accedono a qualsiasi tipo di privato informazioni, proprio come Apple consente agli utenti di controllare l'accesso alle informazioni sulla posizione oggi. Apple non ha ancora visto lo strumento, ma INRIA prenderebbe in considerazione la condivisione del codice se la società fosse interessata, ha detto Claude Castelluccia, direttore del gruppo di ricerca.

Gli acquirenti di app per iPhone hanno poca idea di quali informazioni o funzioni avranno accesso alle loro app. Il Play Store di Google mostra quali informazioni e funzioni avranno accesso a un'app, ma la scelta è tutto o niente. Le versioni precedenti del SO BlackBerry davano agli utenti più libertà di scegliere quali API (interfacce di programmazione delle applicazioni) consentirebbero a un'app di accedere, con il rischio di rompere l'app, ma in BlackBerry 10 quel controllo granulare è disponibile solo per le app native: Le app per Android scelgono ancora una volta o la lasciano.

Apple sta compiendo piccoli passi per dare agli utenti quel tipo di controllo. In iOS 5 potrebbero impedire alle singole app di accedere alla loro posizione, e in iOS 6 avranno un'altra opzione in quanto Apple cerca di svezzare gli sviluppatori usando l'UDID per identificare gli utenti e indirizzare la pubblicità.

Invece, Apple vuole che gli sviluppatori utilizzino l'identificatore pubblicitario introdotto in iOS 6. Questo non è associato in modo permanente a un telefono oa una persona e gli utenti che non vogliono essere monitorati possono cambiarlo ogni volta che lo desiderano - a condizione che pensino di cerca in Impostazioni / Generale / Info / Pubblicità piuttosto che in Impostazioni / Privacy più ovvie.

Questa opzione non era disponibile per i partecipanti allo studio CNIL-INRIA, tuttavia, che per ragioni tecniche è stata condotta utilizzando iOS 5. Il la prossima fase di ricerca utilizzerà iOS 6, ora che INRIA ha aggiornato la sua app di monitoraggio per utilizzare la nuova versione.

Per monitorare il modo in cui le app hanno accesso alle informazioni private, INRIA ha dovuto effettuare il jailbreak degli iPhone e installare un'app speciale per intercettare la Apple Le API attraverso le quali le app richiedono l'accesso a informazioni private, ha dichiarato Vincent Roca, ricercatore dell'INRIA. I ricercatori hanno scelto di lavorare su iPhone perché avevano già esperienza nello sviluppo per iOS. Ora stanno sviluppando un'app con funzionalità simili per telefoni Android, che devono essere root per installarla.

L'app di monitoraggio INRIA registrava ogni richiesta intercettata in un database sul telefono, insieme alle informazioni private richieste, in modo che potrebbe identificarlo nel traffico di rete in uscita. L'app iOS 5 poteva monitorare solo il traffico di rete non crittografato, ma la versione per iOS 6 ora può agganciare le API di rete prima che il traffico venga crittografato, ha detto Roca.

L'app inoltrava anche richieste intercettate a un server centrale per lo studio - senza le informazioni private correlate, come anche i soggetti sperimentali hanno diritto alla loro privacy, sottolineano i ricercatori.

INRIA e CNIL stanno appena iniziando ad analizzare i dati raccolti dai sei iPhone: ci sono 9 gigabyte di esso, che coprono 7 milioni di privacy eventi nel periodo di tre mesi.

Una cosa che lo studio ha già rivelato è che l'accesso ai dati privati ​​è accidentale. Un'app per identificare la piscina più vicina a Parigi (la città ha 38 nel raggio di circa 5 chilometri) ha ottenuto informazioni sulla posizione molto più del necessario per svolgere la sua funzione, apparentemente a causa di un errore di programmazione, ha detto Petitcolas del CNIL.