Categories: Privacy

NESSUNA TREGUA PER LA APPLE: SCOPERTE ALCUNE APP CAPACI DI ASSOCIARE IL CODICE DELL’IPHONE ALL’ACCOUNT FACEBOOK DI CIASCUN UTENTE

Dopo la vicenda degli iPhone “spioni”, la società di Cupertino rischia ancora una volta di finire nel mirino degli inquisitori sempre pronti a fiutare qualsiasi rischio per la privacy degli utenti. Il corpo del reato stavolta andrebbe ricercato nella App Store, dove alcune app, per l’appunto, sarebbero in grado di associare l’Udid (Unique device identifier) ovvero il codice identificativo di ciascun dispositivo iOS della Apple, all’account Facebook, completo di nome e cognome, del possessore del device iphone o ipad, che udite udite, risulta sempre l’ultimo a saperlo. Artefice della scoperta, è un security researcher, Aldo Cortesi, che sul proprio blog spiega passo dopo passo i dettagli del caso, già oggetto di un’inchiesta svolta dal Wall Street Journal nel dicembre dello scorso anno, in cui si riscontrava che più della metà delle app testate direttamente dal giornale inviavano il codice identificativo di ciascun device a società di monitoraggio che avrebbero utilizzato tali informazioni a scopo di marketing. Ma non è il codice di per sé a fornire informazioni sensibili. Nel caso della Apple, l’Udid non è altro che una combinazione di 40 numeri e lettere impresse dall’azienda per identificare il numero di serie, il modello ed altri dati anonimi relativi a ciascun dispositivo. “È come un cookie di tracciamento permanente e immutabile che non può essere cambiato e di cui l’utente non è a conoscenza”, chiarisce Cortesi in un’intervista rilasciata alla testata Wired.com. Il problema insorgerebbe nel momento in cui, tale codice venga associato ad altri tipi di informazioni, magari esposte agli sviluppatori dell’app attraverso una API, e senza il consenso dell’utente. Il che, se da un lato, è esplicitamente menzionato dalla Apple nelle regole per gli sviluppatori che dettano “Per la sicurezza e la privacy dell’utente è d’obbligo non associare pubblicamente l’Udid di ciascun device all’account del possessore”, dall’altro non impedisce che ciò possa accadere. Lo conferma Cortesi, rivelando come il 68% delle apps (dati di una ricerca del gruppo PSKL di professionisti IT) invii i codici identificativi dei dispositivi Apple ai server su Internet, il che spesso sarebbe corredato di informazioni su come, quando e dove lo stesso device venga utilizzato dal suo possessore.
Sembrerebbe che il destinatario più comune di tali dati non sia solo la società di Cupertino ma anche il network Flurry mobile analytics e OpenFeint, una compagnia di social gaming mobile. Tali siti fungerebbero da iper-aggregatori di informazioni legate a ciascun Udid dal momento che sono molteplici le apps che utlizzano le API di loro fabbricazione. Il che è stato anche oggetto di un procedimento legale depositato il 27 Gennaio di quest’anno in California dove il querelante Anthony Chiu ha accusato la Apple di trasmettere consapevolmente a terze parti i dati sull’uso, la cronologia del browsing su internet, i tipi di apps scaricati, e da ultimo, informazioni più sensibili come il nome reale o l’user ID dell’utente che usa il dispositivo, senza il suo esplicito consenso, in chiara violazione delle leggi sulla privacy. Ma l’esperto di sicurezza Aldo Cortesi è voluto andare oltre. Ha infatti sviluppato un tool apposito chiamato “mitmproxy” che è in grado di intercettare il traffico in http con crittografia SSL, e lo ha utilizzato per monitorare il traffico di dati criptati inviati dal suo stesso terminale iOS. Ebbene l’esperto è stato in grado di “de-anonimizzare” il suo Udid tramite una app di OpenFeint, ottenendo una cronologia (sotto forma di stringa) sugli ultimi giochi utilizzati, il nome dell’account e l’url alla sua foto del profilo di Facebook. Una vera e propria schedatura che interesserebbe almeno 7.5 milioni di utenti che fino a poco più di un paio di settimane fa avevano l’account Facebook associato al proprio Udid, 22.5 milioni di persone con le coordinate GPS alla mercé degli sviluppatori mentre 15 milioni di utenti potrebbero ancora avere informazioni identificative nel proprio account OpenFeint (senza saperlo) e gli altri 75milioni continueranno ad avere dettagli personali legati ai giochi scaricati. OpenFeint è stato informato sul fatto il 5 Aprile dallo stesso Cortese, dando risposta il 20 aprile con un ringraziamento per aver segnalato il problema. L’unica certezza è che allo stato attuale vi siano migliaia di database sulla rete (di cui la Apple è a perfetta conoscenza) che relazionano le informazioni “anonime” di ciascun Udid a quelle personali degli utenti, rese disponibili agli sviluppatori, scaricando una semplice app, con le ovvie conseguenze per la propria privacy.

Manuela Avino

editoriatv

Recent Posts

Per la Corte europea dei diritti dell’uomo i social sono uno spazio pubblico

Per anni il dibattito sulla libertà di espressione online è stato caratterizzato dalla convinzione che…

16 ore ago

Presentati i nuovi palinsesti Rai, Rossi: “Più ore d’inchiesta”, il mal di pancia delle opposizione

Presentati i nuovi palinsesti Rai e l’amministratore delegato Giampaolo Rossi, pronti via, rintuzza le furibonde…

17 ore ago

Il pasticcio delle dimissioni dalla Commissione Vigilanza Rai

“Siamo al punto di non ritorno” e gli esponenti delle minoranze rassegnano le dimissioni dalla…

2 giorni ago

La maggioranza insorge: “Così sinistra vuole monopolizzare la Rai”

Passa qualche ora dalla presa di posizione della minoranza ed ecco che arrivano pure le…

2 giorni ago

Libertà di stampa nell’era degli algoritmi: presentato a Roma il nuovo volume di Francesco Saverio Vetere

La libertà di stampa continua a rappresentare uno dei pilastri della democrazia, ma oggi è…

3 giorni ago

Giornalista preso a pugni a Chivasso: “Inaccettabile”

Non si fermano le aggressioni ai danni dei giornalisti: a Chivasso un cronista di Repubblica…

3 giorni ago