{"id":19722,"date":"2020-01-23T18:07:54","date_gmt":"2020-01-23T16:07:54","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=19722"},"modified":"2020-01-23T18:38:47","modified_gmt":"2020-01-23T16:38:47","slug":"36c3-period-apps","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/36c3-period-apps\/19722\/","title":{"rendered":"Uso non autorizzato dei dati personali nelle app per smartphone"},"content":{"rendered":"

Alcune applicazioni per smartphone<\/strong> ricordano agli utenti di prendere le medicine; altre monitorano la qualit\u00e0 del sonno, contano i passi, le calorie e cos\u00ec via. Le app che ci aiutano a tenere sotto controllo la nostra salute e il nostro benessere non mancano. Spesso queste applicazioni richiedono che gli utenti condividano dati molto personali su sentimenti, stati d\u2019animo, diagnosi e altro ancora. Ahinoi, non tutte gestiscono queste informazioni private <\/strong>nelle app con il dovuto riguardo.<\/p>\n

Alla conferenza 36C3<\/a>, l\u2019organizzazione per i diritti umani Privacy International ha condiviso i risultati dello studio<\/a> delle applicazioni che aiutano le donne a prevedere le mestruazioni, a monitorare la propria salute sessuale e a pianificare le gravidanze. Come si \u00e8 scoperto, alcune app hanno abusato della fiducia delle utenti fino a condividere informazioni intime con Facebook<\/a> e altri.<\/p>\n

Cosa ha visto Facebook esattamente?<\/h2>\n

Per la stesura del report sull\u2019uso dei dati personali dalle app<\/strong>, i ricercatori hanno esaminato due app: Maya e MIA (rispettivamente 5 milioni e 1 milione di download su Google Play). Lo studio \u00e8 stato molto semplice: Privacy International ha esaminato il traffico in uscita delle app, eseguendole in una sandbox<\/a>, e ha analizzato i dati che stavano trasferendo, inclusa la loro destinazione. I risultati sono stati a dir poco interessanti.<\/p>\n

All\u2019inizio, ancor prima di far conoscere agli utenti la propria politica sulla privacy, entrambe le app hanno contattato Facebook e altri partner. Maya ha inviato i dati alla piattaforma di analisi CleverTap, e MIA ad AppsFlyer, che anch\u2019essa fornisce servizi di analisi agli sviluppatori.<\/p>\n

MIA ha voluto subito sapere se la utente avesse installato l\u2019app per pianificare una gravidanza o solo per monitorare il ciclo mestruale, e ha informato tempestivamente i partner della app. Lo stesso succedeva con altrii dettagli, compresi i tempi e la durata del ciclo mestruale. Successivamente, il programma ha cercato di conoscere l\u2019utente il pi\u00f9 possibile: sensazioni, metodi contraccettivi, consumo di caffeina, alcol e tabacco. L\u2019applicazione ha anche cercato di raccogliere informazioni private<\/strong> non relazionate<\/a>\u00a0alla salute delle donne, come ad esempio sul taglio di capelli e manicure.<\/p>\n

In base delle informazioni raccolte e alle proprie conclusioni sulla fase del ciclo in cui si trovava la donna, l\u2019app offriva articoli correlati. Questo sembrerebbe innocuo e persino utile, eccetto per una cosa: l\u2019elenco degli articoli, dedotto in maniera evidente dalle indicazioni fornite dalla utente nella app, \u00e8 stato inviato a Facebook e AppsFlyer.<\/p>\n

L\u2019approccio di Maya \u00e8 stato un po\u2019 meno creativo. L\u2019app ha trasmesso tutto ci\u00f2 che ha scoperto: informazioni sul benessere, sull\u2019umore, sui contraccettivi, sui prodotti per l\u2019igiene personale, sull\u2019attivit\u00e0 sessuale e cos\u00ec via. Questa applicazione non ha chiesto informazioni su taglio di capelli o manicure, ma offriva una funzione di diario personale, e ha inviato i contenuti a Facebook e CleverTap.<\/p>\n

Oltre a tutte queste informazioni, le app trasmettono anche altri dati personali, come l\u2019indirizzo e-mail o l\u2019identificativo<\/strong> unico del dispositivo<\/strong><\/a>.<\/strong> Per le utenti con un account Facebook, queste informazioni da sole potrebbero essere sufficienti per identificarle, anche se non hanno installato l\u2019applicazione di Facebook sul telefono. In altre parole, Facebook sa perfettamente di chi sono i dati che riceve.<\/p>\n

Perch\u00e9 le aziende vanno a caccia di questi dati personali<\/h2>\n

Grazie alle informazioni e dati personali raccolti dalle applicazioni<\/strong><\/a> sulla salute, l\u2019umore e la vita intima di un utente le reti pubblicitarie, incluso Facebook, possono vendere con maggiore profitto i beni e i servizi degli inserzionisti. Ad esempio, gli annunci che si rivolgono alle donne in gravidanza costano dieci volte di pi\u00f9 di quelli non mirati, perch\u00e9 \u00e8 molto pi\u00f9 probabile che portino a un acquisto (le esigenze di acquisto di una donna incinta sono in una certa misura prevedibili; inoltre, \u00e8 possibile che sia il suo primo acquisto e che non conosca altre marche, quindi gli inserzionisti che la raggiungono per primi hanno una grande possibilit\u00e0 di influenzare la sua scelta).<\/p>\n

La pubblicit\u00e0 non \u00e8 la cosa peggiore. Informazioni sanitarie intime che cadono nelle mani sbagliate potrebbero influire, ad esempio, sul costo dell\u2019assicurazione sanitaria. Un potenziale datore di lavoro che scopre che una candidata sta pianificando una gravidanza potrebbe dare la preferenza a un\u2019altra. Una donna incinta potrebbe anche non essere ammessa su un volo internazionale<\/a>. Sicuramente non vi piacerebbe che Facebook venga a conoscenza di dettagli che non condividereste neppure con il vostro pi\u00f9 caro amico.<\/p>\n

Gli sviluppatori di Maya sostengono che tutti i dati richiesti dalla app sono necessari per il suo funzionamento. Questo \u00e8 in parte vero: i farmaci ormonali, lo stress e le abitudini come il fumo<\/a> possono alterare il ciclo mestruale; e gli sbalzi d\u2019umore, i dolori addominali e altri sintomi possono indicare che le mestruazioni sono in arrivo. Tuttavia, una parte significativa delle informazioni richieste ha poco o nessun effetto sull\u2019accuratezza della diagnosi.<\/p>\n

Gli sviluppatori lasciano Facebook Analytics<\/h2>\n

Ci sono buone notizie: n\u00e9 Maya n\u00e9 MIA trasmettono pi\u00f9 informazioni a Facebook. I ricercatori hanno contattato gli sviluppatori delle app, che hanno rapidamente rimosso lo strumento di Facebook Analytics, responsabile dell\u2019invio dei dati personali degli utenti.<\/strong> Questo s\u00ec, entrambe le app utilizzano ancora CleverTap e AppsFlyer.<\/p>\n

Si \u00e8 scoperto quindi che non c\u2019era davvero bisogno di trasmettere i dati a Facebook<\/a>: gli sviluppatori avevano semplicemente integrato un sistema di analisi aggiuntivo senza mai considerare dove sarebbero andati a finire i dati.<\/p>\n

I creatori di Maya ritengono che le informazioni sui server di CleverTap non siano accessibili a terze parti<\/a>. Gli sviluppatori della piattaforma affermano che la soluzione \u00e8 conforme al Regolamento generale sulla protezione dei dati (GDPR) e che i suoi algoritmi di analisi elaborano pool di dati anonimi. Se questo \u00e8 vero, allora la minaccia alla privacy<\/strong> di questa applicazione pu\u00f2 essere considerata minima.<\/p>\n

La situazione di MIA, che utilizza AppsFlyer, \u00e8 un po\u2019 diversa. In risposta alle osservazioni dei ricercatori, l\u2019azienda ha dichiarato che vieta ai clienti di raccogliere i dati estremamente personali degli utenti, comprese le informazioni sulla salute. AppsFlyer afferma di aver contattato gli sviluppatori dell\u2019applicazione MIA affinch\u00e9 rivedano il loro approccio nei confronti degli analytics. Ma come fanno notare i ricercatori, AppsFlyer \u00e8 piuttosto vago su quali dati ritiene di dover raccogliere dalle app che lavorano specificamente con le informazioni sulla salute.<\/p>\n

Come prevenire un uso improprio dei dati personali<\/h2>\n

Quando si comunicano dati a un\u2019app di qualsiasi tipo (in particolare dati intimi), ricordate che l\u2019app potrebbe condividere i vostri dati con altre persone. Se non potete fare a meno di un particolare servizio, considerate le seguenti raccomandazioni di sicurezza per evitare la fuga di dati personali<\/strong><\/a>:<\/strong><\/p>\n