Uno studio condotto dai laboratori Yale Privacy Lab ed Exodus Privacy ha fatto luce su dozzine di tracker presenti in applicazioni Android che sono in grado di registrare l'attività dell'utente, in alcuni casi anche senza il consenso dello stesso.
I risultati dello studio, pubblicati il giorno del Black Friday, mostrano che la pratica di collezionare dati degli utenti tramite l'utilizzo di codice malevolo si sta diffondendo tra gli sviluppatori di app Android tanto da essere paragonabile a quanto già accade con i siti web.
Il codice spia non è stato rilevato solo in applicazioni Android poco conosciute, in cui i piccoli sviluppatori potrebbero utilizzare tali strategie per monetizzare una piccola fetta di utenti, ma anche all'interno di app molto popolari come Uber, Twitter, Tinder, Soundcloud e Spotify.
Un nuovo sito web elenca le app ed i tracker utilizzati
I risultati dello studio sono stati convogliati in un sito web (https://reports.exodus-privacy.eu.org/reports/apps/) dedicato che contiene un elenco di tutte le app che utilizzano codice che colleziona dati sull'utente ed una lista dei tracker utilizzati in tali app. Il sito è molto dettagliato e mette a disposizione degli utenti le seguenti informazioni:
- I tracker utilizzati da ciascuna app;
- quali dettagli ciascun tracker è in grado di estrapolare dal dispositivo;
- informazioni sulle politiche di privacy del tracker.
In totale i ricercatori hanno individuato 44 tracker incorporati in più di 300 app Android che sono risultati presenti in tre quarti delle app analizate.
I tracker più diffusi in tali app sono risultati essere CrashLytics e DoubleClick entrambe facenti capo a Google. E' necessario sottolineare che alcuni di questi tracker sono in grado di collezionare solo ed esclusivamente informazioni sui crash delle app, mentre altri sono in grado di collezionare anche altre informazioni sensibili tra cui informazioni sull'utilizzo dell'app e dettagli utente.
La stessa problematica potrebbe affliggere anche i dispositivi iOS
I ricercatori coinvolti nello studio hanno sottolineato che molti dei provider dei tracker individuati mettono a disposizione degli sviluppatori anche componenti per IOS; per tale motivo anche alcune app iOS potrebbero presentare la stessa problematica.
Per fornire un supporto alla risoluzione della problematica i ricercatori hanno rilasciato anche le firme relative a ciascun tracker in maniera tale che i software che si occupano di sicurezza su dispositivi mobili possano incorporarle nei loro scanner di sicurezza ed individuare app che usano qualcuno di questi servizi.
Ulteriori dettagli sono disponibili sul sito ufficiale Exodus (https://reports.exodus-privacy.eu.org/reports/apps/)) e sul repository GitHub del Yale Privacy Lab.