Non sempre i controlli sulle app di Google Play vengono effettuati con l’accuratezza che ci si aspetterebbe da un gigante del settore, che proprio per la sua forte posizione di mercato è in grado di ispirarci una certa sicurezza.
All’inizio dello scorso dicembre, la Apple aveva richiesto agli sviluppatori eliminare una parte di codice detta SDK della X-Mode dalle proprie app, entro due settimane, pena la rimozione dall’App Store. A quanto pare, al momento esistevano circa 100 app di 30 sviluppatori diversi che utilizzavano questo SDK capace di “creare di nascosto profili degli utenti partendo dai dati raccolti”.
Venuti a conoscenza del fatto che X-Mode raccoglie i dati direttamente dalle applicazioni per poi passarle a terze parti, fra cui gli appaltatori del Ministero della Difesa degli Stati Uniti, anche Google aveva applicato la stessa politica.
Le applicazioni includevano app di messaggistica, un convertitore video, diversi siti di incontri e app a tema religioso, con decine di milioni di download, per un introito di 10mila dollari al mese o più per ciascuna app coinvolta.
Vediamo quale è il business in questione: la X-Mode, un broker di dati avente base a Reston, in Virginia, raccoglie i dati utilizzando una piccola parte di codice detta “software development kit” (SDK), e paga affinché venga inclusa nelle app da parte degli sviluppatori, ricevendo in cambio i dati sulla posizione degli utenti.
La società sottolinea che non raccoglie informazioni atte ad identificare le persone, come ad esempio nomi o indirizzi di posta elettronica, ma sappiamo bene che anche i dati di localizzazione possono portare a un certo livello di identificazione dell’utente. Apple e Google non sono tornate sui propri passi neanche con la rassicurazione, presente all’interno del sito della società, di operare in compliance alle normative privacy, con il California Consumer Privacy Act e con il GDPR Europeo. Le app restano così disabilitate.
Venerdì scorso Google ha rimosso ulteriori 25 app Android che erano erroneamente rimaste disponibili nel Google Play Store pur contenendo l’SDK X-Mode.
“A causa di una svista durante il nostro processo di rafforzamento, 25 app contenenti l’SDK X-Mode erano state rimosse da Google Play a seguito del preavviso di 7 giorni dato agli sviluppatori.” ha dichiarato un portavoce di Google al sito britannico The Register “Dopo essere venuti a conoscenza dell’errore, le abbiamo rimosse immediatamente.”
Come si sono accorti in Google della falla nelle proprie verifiche?
A fine gennaio ExpressVPN, società operante nel campo della sicurezza informatica, in collaborazione con la Defensive Lab Agency di Parigi, ha pubblicato un report che comprende 450 app Android che hanno incorporato questo tipo di SDK, per un totale di 1,7 miliardi di download, e centinaia di tali app erano ancora disponibili a fine mese.
ExpressVPN ha rilevato, a seguito del primo step di “pulizia” da parte del colosso di Mountain View, che rimanevano 25 app nello store, e ha chiesto direttamente a Google di effettuare una verifica.
La maggior parte delle app coinvolte sono guide turistiche per varie città, per le quali è necessario l’assenso all’utilizzo dei dati di localizzazione, che l’utente fornisce senza batter ciglio viste la tematica trattata e la funzionalità dell’app.
Le azioni finora intraprese si dimostrano però parziali, oltre che non proprio accurate. Sean O’Brien, ricercatore della ExpressVPN Digital Security, ha sottolineato che le app contenenti X-Mode rimaste in circolazione sono state scaricate più di 12 milioni di volte e inoltre che ci sono versioni precedenti di app contenenti X-Mode, ancora installate sugli smartphone degli utenti e in circolazione su app store per Android alternativi a quello di Google e, fatto più importante, i problemi di privacy connessi alla vigilanza della localizzazione non sono limitati a quanto effettuato dalla X-Mode.
Al fine di garantire la privacy e il rispetto dei propri diritti, è necessario che gli utenti possano individuare in maniera semplice ed immediata se sono tracciati, anche solo a livello di posizione geografica, e soprattutto che possano scegliere se attivare o meno tali funzionalità. Purtroppo, visto tale episodio e le attuali logiche di mercato, siamo ancora ben lontani da questo traguardo.
