NESSUNA TREGUA PER LA APPLE: SCOPERTE ALCUNE APP CAPACI DI ASSOCIARE IL CODICE DELL’IPHONE ALL’ACCOUNT FACEBOOK DI CIASCUN UTENTE

Dopo la vicenda degli iPhone “spioni”, la società di Cupertino rischia ancora una volta di finire nel mirino degli inquisitori sempre pronti a fiutare qualsiasi rischio per la privacy degli utenti. Il corpo del reato stavolta andrebbe ricercato nella App Store, dove alcune app, per l’appunto, sarebbero in grado di associare l’Udid (Unique device identifier) ovvero il codice identificativo di ciascun dispositivo iOS della Apple, all’account Facebook, completo di nome e cognome, del possessore del device iphone o ipad, che udite udite, risulta sempre l’ultimo a saperlo. Artefice della scoperta, è un security researcher, Aldo Cortesi, che sul proprio blog spiega passo dopo passo i dettagli del caso, già oggetto di un’inchiesta svolta dal Wall Street Journal nel dicembre dello scorso anno, in cui si riscontrava che più della metà delle app testate direttamente dal giornale inviavano il codice identificativo di ciascun device a società di monitoraggio che avrebbero utilizzato tali informazioni a scopo di marketing. Ma non è il codice di per sé a fornire informazioni sensibili. Nel caso della Apple, l’Udid non è altro che una combinazione di 40 numeri e lettere impresse dall’azienda per identificare il numero di serie, il modello ed altri dati anonimi relativi a ciascun dispositivo. “È come un cookie di tracciamento permanente e immutabile che non può essere cambiato e di cui l’utente non è a conoscenza”, chiarisce Cortesi in un’intervista rilasciata alla testata Wired.com. Il problema insorgerebbe nel momento in cui, tale codice venga associato ad altri tipi di informazioni, magari esposte agli sviluppatori dell’app attraverso una API, e senza il consenso dell’utente. Il che, se da un lato, è esplicitamente menzionato dalla Apple nelle regole per gli sviluppatori che dettano “Per la sicurezza e la privacy dell’utente è d’obbligo non associare pubblicamente l’Udid di ciascun device all’account del possessore”, dall’altro non impedisce che ciò possa accadere. Lo conferma Cortesi, rivelando come il 68% delle apps (dati di una ricerca del gruppo PSKL di professionisti IT) invii i codici identificativi dei dispositivi Apple ai server su Internet, il che spesso sarebbe corredato di informazioni su come, quando e dove lo stesso device venga utilizzato dal suo possessore.
Sembrerebbe che il destinatario più comune di tali dati non sia solo la società di Cupertino ma anche il network Flurry mobile analytics e OpenFeint, una compagnia di social gaming mobile. Tali siti fungerebbero da iper-aggregatori di informazioni legate a ciascun Udid dal momento che sono molteplici le apps che utlizzano le API di loro fabbricazione. Il che è stato anche oggetto di un procedimento legale depositato il 27 Gennaio di quest’anno in California dove il querelante Anthony Chiu ha accusato la Apple di trasmettere consapevolmente a terze parti i dati sull’uso, la cronologia del browsing su internet, i tipi di apps scaricati, e da ultimo, informazioni più sensibili come il nome reale o l’user ID dell’utente che usa il dispositivo, senza il suo esplicito consenso, in chiara violazione delle leggi sulla privacy. Ma l’esperto di sicurezza Aldo Cortesi è voluto andare oltre. Ha infatti sviluppato un tool apposito chiamato “mitmproxy” che è in grado di intercettare il traffico in http con crittografia SSL, e lo ha utilizzato per monitorare il traffico di dati criptati inviati dal suo stesso terminale iOS. Ebbene l’esperto è stato in grado di “de-anonimizzare” il suo Udid tramite una app di OpenFeint, ottenendo una cronologia (sotto forma di stringa) sugli ultimi giochi utilizzati, il nome dell’account e l’url alla sua foto del profilo di Facebook. Una vera e propria schedatura che interesserebbe almeno 7.5 milioni di utenti che fino a poco più di un paio di settimane fa avevano l’account Facebook associato al proprio Udid, 22.5 milioni di persone con le coordinate GPS alla mercé degli sviluppatori mentre 15 milioni di utenti potrebbero ancora avere informazioni identificative nel proprio account OpenFeint (senza saperlo) e gli altri 75milioni continueranno ad avere dettagli personali legati ai giochi scaricati. OpenFeint è stato informato sul fatto il 5 Aprile dallo stesso Cortese, dando risposta il 20 aprile con un ringraziamento per aver segnalato il problema. L’unica certezza è che allo stato attuale vi siano migliaia di database sulla rete (di cui la Apple è a perfetta conoscenza) che relazionano le informazioni “anonime” di ciascun Udid a quelle personali degli utenti, rese disponibili agli sviluppatori, scaricando una semplice app, con le ovvie conseguenze per la propria privacy.

Manuela Avino