App su Android condividono dati con Facebook anche senza il consenso degli utenti

Al 35mo Chaos Communication Congress (35C3) appena conclusosi a Lipsia, in Germania, il gruppo Privacy International ha rivelato che dozzine di popolari app per Android mandano a Facebook i dati dei loro utenti anche senza aver ottenuto i necessari consensi.

Facebook così è in grado di tracciare anche chi non è iscritto al famoso social network, o chi vi si è cancellato, e il tutto in barba al nuovo regolamento europeo sulla privacy (GDPR).

Il gruppo ha preso in esame 34 app per Android, tutte con una base di installato fra i 10 e i 500 milioni di utenti, scoprendo che 21 di queste inviano informazioni a Facebook attraverso il suo Software Development Kit (SDK). L’SDK viene utilizzato da molte app per analizzare le statistiche sugli utilizzatori, per mostrare pubblicità o per consentire agli utenti di loggarsi con il loro account Facebook.

Le app che informano Facebook sulle attività dei propri utilizzatori sono, fra le altre, Duolingo, Kayak, My Talking Tom (molto usato dai bambini), Shazam, Skyscanner, Spotify e TripAdvisor. L’elenco completo è disponibile sul sito di Privacy International.

Le informazioni condivise variano a seconda dell’app, e possono essere semplicemente l’apertura e la chiusura dell’app stessa, oppure informazioni dettagliate su un viaggio (come fa Kayak, che informa Facebook sui dettagli di un volo, date e destinazioni, e se sono presenti bambini) ma è chiaro che semplicemente l’uso di un’app può rivelare più dati di quelli che l’utente vorrebbe condividere. Ad esempio usare Calorie Tracker può significare che siamo a dieta, Indeed Job Search che siamo alla ricerca di un lavoro, Kayak Flights che stiamo organizzando un viaggio, King James Bible che siamo cristiani, Muslim Pro che siamo musulmani e Period Tracker che stiamo tenendo sotto controllo il periodo di ovulazione. Tutte le app citate inviano dati a Facebook, che l’utente sia iscritto o meno.

Tuttavia la colpa, secondo il ricercatore di Privacy International Christopher Weatherhead, non è da addossare agli sviluppatori delle app, bensì a come è stato realizzato l’SDK di Facebook. Per default l’SDK è configurato per condividere i dati con Facebook nello stesso momento in cui l’app viene aperta, e poiché in molti casi l’SDK viene integrato con le impostazioni di default, Facebook finisce per ottenere dati anche quando non vi è un esplicito consenso da parte dell’utente dell’app.

Ma anche la gestione dei consensi nell’era del GDPR, secondo i ricercatori e gli stessi sviluppatori delle app, non è stata gestita ottimamente da Facebook. Ben quattro settimane dopo l’entrata in vigore del regolamento europeo l’SDK inviava ancora i dati a Facebook appena le app venivano aperte, e non dopo aver raccolto il consenso esplicito come richiesto dalla normativa.

Facebook ha risposto a Privacy International “riconoscendo l’importanza di effettuare miglioramenti in quest’area” e annunciando diversi cambiamenti, incluso lo sviluppo di un tool che si chiamerà “Clear History“.

Ho iniziato a interessarmi di cybersecurity dal 1989, quando ho "trovato" il mio primo virus. Dal 1992 me ne occupo professionalmente: per oltre un decennio come collaboratore di testate specializzate (fra cui PC Professionale), poi come consulente del Ministro delle Comunicazioni su aspetti di sicurezza delle reti, quindi con collaborazioni sui medesimi temi con Telespazio (gruppo Finmeccanica). Oggi mi interesso di nuove tecnologie (AI) e cyber warfare. Sono socio fondatore del chapter italiano di Internet Society e membro dell'Associazione Italiana esperti in Infrastrutture Critiche. Dal 2006 lavoro presso ESET Italia, dove ricopro il ruolo di Operations Manager. Il blog è personale.