36c3

Uso non autorizzato dei dati personali nelle app per smartphone

Privacy International ci parla delle app per il monitoraggio del ciclo mestruale e dei pericoli della condivisione con le app di certe informazioni personali.

Julia Glazova
23 Gen 2020

Alcune applicazioni per smartphone ricordano agli utenti di prendere le medicine; altre monitorano la qualità del sonno, contano i passi, le calorie e così via. Le app che ci aiutano a tenere sotto controllo la nostra salute e il nostro benessere non mancano. Spesso queste applicazioni richiedono che gli utenti condividano dati molto personali su sentimenti, stati d’animo, diagnosi e altro ancora. Ahinoi, non tutte gestiscono queste informazioni private nelle app con il dovuto riguardo.

Alla conferenza 36C3, l’organizzazione per i diritti umani Privacy International ha condiviso i risultati dello studio delle applicazioni che aiutano le donne a prevedere le mestruazioni, a monitorare la propria salute sessuale e a pianificare le gravidanze. Come si è scoperto, alcune app hanno abusato della fiducia delle utenti fino a condividere informazioni intime con Facebook e altri.

Cosa ha visto Facebook esattamente?

Per la stesura del report sull’uso dei dati personali dalle app, i ricercatori hanno esaminato due app: Maya e MIA (rispettivamente 5 milioni e 1 milione di download su Google Play). Lo studio è stato molto semplice: Privacy International ha esaminato il traffico in uscita delle app, eseguendole in una sandbox, e ha analizzato i dati che stavano trasferendo, inclusa la loro destinazione. I risultati sono stati a dir poco interessanti.

All’inizio, ancor prima di far conoscere agli utenti la propria politica sulla privacy, entrambe le app hanno contattato Facebook e altri partner. Maya ha inviato i dati alla piattaforma di analisi CleverTap, e MIA ad AppsFlyer, che anch’essa fornisce servizi di analisi agli sviluppatori.

MIA ha voluto subito sapere se la utente avesse installato l’app per pianificare una gravidanza o solo per monitorare il ciclo mestruale, e ha informato tempestivamente i partner della app. Lo stesso succedeva con altrii dettagli, compresi i tempi e la durata del ciclo mestruale. Successivamente, il programma ha cercato di conoscere l’utente il più possibile: sensazioni, metodi contraccettivi, consumo di caffeina, alcol e tabacco. L’applicazione ha anche cercato di raccogliere informazioni private non relazionate alla salute delle donne, come ad esempio sul taglio di capelli e manicure.

In base delle informazioni raccolte e alle proprie conclusioni sulla fase del ciclo in cui si trovava la donna, l’app offriva articoli correlati. Questo sembrerebbe innocuo e persino utile, eccetto per una cosa: l’elenco degli articoli, dedotto in maniera evidente dalle indicazioni fornite dalla utente nella app, è stato inviato a Facebook e AppsFlyer.

L’approccio di Maya è stato un po’ meno creativo. L’app ha trasmesso tutto ciò che ha scoperto: informazioni sul benessere, sull’umore, sui contraccettivi, sui prodotti per l’igiene personale, sull’attività sessuale e così via. Questa applicazione non ha chiesto informazioni su taglio di capelli o manicure, ma offriva una funzione di diario personale, e ha inviato i contenuti a Facebook e CleverTap.

Oltre a tutte queste informazioni, le app trasmettono anche altri dati personali, come l’indirizzo e-mail o l’identificativo unico del dispositivo. Per le utenti con un account Facebook, queste informazioni da sole potrebbero essere sufficienti per identificarle, anche se non hanno installato l’applicazione di Facebook sul telefono. In altre parole, Facebook sa perfettamente di chi sono i dati che riceve.

Perché le aziende vanno a caccia di questi dati personali

Grazie alle informazioni e dati personali raccolti dalle applicazioni sulla salute, l’umore e la vita intima di un utente le reti pubblicitarie, incluso Facebook, possono vendere con maggiore profitto i beni e i servizi degli inserzionisti. Ad esempio, gli annunci che si rivolgono alle donne in gravidanza costano dieci volte di più di quelli non mirati, perché è molto più probabile che portino a un acquisto (le esigenze di acquisto di una donna incinta sono in una certa misura prevedibili; inoltre, è possibile che sia il suo primo acquisto e che non conosca altre marche, quindi gli inserzionisti che la raggiungono per primi hanno una grande possibilità di influenzare la sua scelta).

La pubblicità non è la cosa peggiore. Informazioni sanitarie intime che cadono nelle mani sbagliate potrebbero influire, ad esempio, sul costo dell’assicurazione sanitaria. Un potenziale datore di lavoro che scopre che una candidata sta pianificando una gravidanza potrebbe dare la preferenza a un’altra. Una donna incinta potrebbe anche non essere ammessa su un volo internazionale. Sicuramente non vi piacerebbe che Facebook venga a conoscenza di dettagli che non condividereste neppure con il vostro più caro amico.

Gli sviluppatori di Maya sostengono che tutti i dati richiesti dalla app sono necessari per il suo funzionamento. Questo è in parte vero: i farmaci ormonali, lo stress e le abitudini come il fumo possono alterare il ciclo mestruale; e gli sbalzi d’umore, i dolori addominali e altri sintomi possono indicare che le mestruazioni sono in arrivo. Tuttavia, una parte significativa delle informazioni richieste ha poco o nessun effetto sull’accuratezza della diagnosi.

Gli sviluppatori lasciano Facebook Analytics

Ci sono buone notizie: né Maya né MIA trasmettono più informazioni a Facebook. I ricercatori hanno contattato gli sviluppatori delle app, che hanno rapidamente rimosso lo strumento di Facebook Analytics, responsabile dell’invio dei dati personali degli utenti. Questo sì, entrambe le app utilizzano ancora CleverTap e AppsFlyer.

Si è scoperto quindi che non c’era davvero bisogno di trasmettere i dati a Facebook: gli sviluppatori avevano semplicemente integrato un sistema di analisi aggiuntivo senza mai considerare dove sarebbero andati a finire i dati.

I creatori di Maya ritengono che le informazioni sui server di CleverTap non siano accessibili a terze parti. Gli sviluppatori della piattaforma affermano che la soluzione è conforme al Regolamento generale sulla protezione dei dati (GDPR) e che i suoi algoritmi di analisi elaborano pool di dati anonimi. Se questo è vero, allora la minaccia alla privacy di questa applicazione può essere considerata minima.

La situazione di MIA, che utilizza AppsFlyer, è un po’ diversa. In risposta alle osservazioni dei ricercatori, l’azienda ha dichiarato che vieta ai clienti di raccogliere i dati estremamente personali degli utenti, comprese le informazioni sulla salute. AppsFlyer afferma di aver contattato gli sviluppatori dell’applicazione MIA affinché rivedano il loro approccio nei confronti degli analytics. Ma come fanno notare i ricercatori, AppsFlyer è piuttosto vago su quali dati ritiene di dover raccogliere dalle app che lavorano specificamente con le informazioni sulla salute.

Come prevenire un uso improprio dei dati personali

Quando si comunicano dati a un’app di qualsiasi tipo (in particolare dati intimi), ricordate che l’app potrebbe condividere i vostri dati con altre persone. Se non potete fare a meno di un particolare servizio, considerate le seguenti raccomandazioni di sicurezza per evitare la fuga di dati personali:

Scegliete saggiamente le app. Leggete le recensioni su Google Play e sull’App Store e verificate cosa dicono gli utenti sugli sviluppatori. Magari l’app che vi interessa in passato ha inviato dati a chi non avrebbero dovuto, oppure potrebbe avere una reputazione impeccabile (anche questo può succedere);
Se un’app vuole i vostri dati sensibili, date un’occhiata alla sua politica sulla privacy. Potrebbe dichiarare apertamente che i vostri dati saranno trasmessi a terze parti, il che è un cattivo segno. Ma anche in assenza di una clausola specifica, se la politica è redatta in modo vago o incomprensibile potrebbe essere che gli sviluppatori stiano cercando di nascondere qualcosa;
Se avete bisogno di un’app per il monitoraggio del ciclo, almeno adesso sapete che due di loro (Maya e MIA) hanno già smesso di collaborare con Facebook. Il rapporto di Privacy International menziona anche altre app che non hanno dimostrato nessun comportamento non appropriato che potrebbe mettere in pericolo la privacy degli utenti;
Non concedete più informazioni del necessario alle app, pensate bene a ciò di cui hanno veramente bisogno e di cui possono fare a meno. Ciò non significa che dovete tornare all’epoca in cui si usavano solo carta e penna, basta essere consapevoli dell’improbabilità che tutte le informazioni che fornite alle app rimangano completamente private.

Industrial Cybersecurity: le vulnerabilità che mettono a rischio il business

La Digital Transformation delle aziende industriali, ormai inarrestabile, implica una convergenza tra OT (Operational Technology) e IT (Information Technology). La Cybersecurity non può essere l’anello debole

Privacy e bambini

SOLUZIONI TARGETED SECURITY

ENTERPRISE SOLUTIONS

Uso non autorizzato dei dati personali nelle app per smartphone

Cosa ha visto Facebook esattamente?

Perché le aziende vanno a caccia di questi dati personali

Gli sviluppatori lasciano Facebook Analytics

Come prevenire un uso improprio dei dati personali

Cifratura dei file PDF: una questione di sicurezza

Privacy online: certi suoni sono indicatori di attività di tracking

Industrial Cybersecurity: le vulnerabilità che mettono a rischio il business

Consigli

Ecco perché sul vostro iPhone non dovreste mai utilizzare l’ID Apple di qualcun altro

Mese della Cybersecurity Awareness

In che modo i trojan bancari bypassano l’autenticazione a due fattori?

Sicurezza online: 6 semplici regole adatte a tutte le età

Iscriviti per ricevere le nostre notizie via e-mail

Soluzioni per gli utenti privati

Prodotti per piccole imprese

Prodotti per medie imprese

Soluzioni aziendali

Securelist

Eugene Personal Blog

Encyclopedia