App Android condividono dati con Facebook anche senza un account

02 Gennaio 2019 222

Molte app per dispositivi Android inviano dati a Facebook senza il consenso degli utenti, anche se a Facebook non sono nemmeno registrati o non sono correntemente collegati. L'analisi condotta da Privacy International ha esposto nomi piuttosto famosi nel settore, come Weather Channel, TripAdvisor, Skyscanner, Spotify, Indeed e Duolingo.

L'associazione ha sfruttato un'applicazione proxy open-source (mitmproxy) e monitorato il flusso di dati al sito graph.facebook.com. Ne emerge che, sfruttando il Facebook SDK, le applicazioni coinvolte inviano al social molte informazioni, alcune di queste sensibili e in grado di identificare/profilare con una certa precisione una persona, in particolare in merito a religione, salute, interessi, viaggi e abitudini, attività e altro ancora. Di tutte le app testate, il 61 per cento sono coinvolte in questa pratica, che inizia non appena l'utente apre l'app. I dati inviati inizialmente già permettono a Facebook di sapere tutte le volte che un utente usa una specifica app.

Per esempio, un individuo che ha installato le seguenti app: Qibla Connect (app di preghiere musulmane), Period Tracker Clue (app per tenere traccia del ciclo mestruale), Indeed (ricerca lavoro) e My Talking Tom (app per bambini) può essere profilato come probabilmente di sesso femminile, probabilmente musulmano, probabilmente alla ricerca di lavoro e probabilmente genitore.

Ci sono poi app come KAYAK, che inviano a Facebook informazioni dettagliate sulle ricerche fatte dagli utenti, tra cui città, data e aeroporto di partenza e di arrivo, numero di biglietti (incluso il numero di bambini) e addirittura la classe. I dati trasmessi sono condivisi insieme a un identificatore univoco, che è il Google Advertising ID (AAID). Questi codici servono agli inserzionisti per inviare annunci personalizzati e pertinenti agli interessi dell'utente.

Facebook, dice Privacy International, dice che il compito di ottenere il consenso per la raccolta dei dati grava solo sugli sviluppatori terzi; tuttavia, emerge che la raccolta inizia anche prima che le app abbiano la possibilità di dialogare con l'utente. A giugno, 35 giorni dopo l'entrata in vigore della GDPR, Facebook ha interrotto la raccolta di informazioni antecedenti la richiesta di consenso - incluso il segnale che l'SDK è stato inizializzato. Funziona solo con le versioni 4.34 e più recenti dell'SDK.

Privacy International dice che "senza ulteriore trasparenza da parte di Facebook, è impossibile sapere con certezza come questi dati siano stati usati". Il problema è che la reputazione del social network è al momento piuttosto bassa, a causa dei ripetuti scandali di cui si è resa protagonista nell'ultimo periodo (dalla vicenda Cambridge Analytica in poi). Secondo l'associazione, comunque, le responsabilità legali sono ripartite tra gli sviluppatori terzi e Facebook stessa.

Sul sito di Privacy International (link in FONTE) è possibile esaminare nel dettaglio i risultati di ogni app testata, inclusi tutti i dati scambiati con Facebook e le eventuali risposte fornite dagli sviluppatori. Non tutte l'hanno fatto, ma in genere si tratta di "grazie per la segnalazione, investigheremo"; altre hanno già assicurato che provvederanno a rimuovere la condivisione con Facebook (tra queste citiamo Skyscanner); altre ancora sostengono che è tutto regolare, come MyFitnessPal.

Uno smartphone concreto, veloce e con un display eccellente? Asus Zenfone 5Z, in offerta oggi da Computer Shop Pisa a 399 euro oppure da Amazon a 454 euro.

222

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
ManuMao

No shit sherlocks

jose manu

Credevo che significasse che lo puoi implementare dove vuoi senza chiedere a Google. Allora non so

takaya todoroki

e suoi leccac*ulo dietro a dargli il +1

un massa di rit4rdati....

takaya todoroki

non c'è bisogno di replicare nulla.
Le app possono sparare in giro tutti i dati che pare loro, su qualsiasi OS.

L'articolo si riferisce ad un *FRAMEWORK* fatto da FB che è stato adottato da certe app.

Ma qualunque app lo può fare con tre righe di codice sue.

takaya todoroki

cioè tu credi che per fare una POST HTTP(s) su IOS, un'app ti debba chiedere un permesso???

Marco

Sì, ma qui non si parla di app misconosciute.

kalmondo

giallu74 what

Tiwi

una vergogna

Cave Johnson

Ho fatto una breve ricerca online ma non trovo informazioni su Assistant. Wikipedia dice "licenza non libera".

Cave Johnson

Ma Shazam non è di Apple?

Cave Johnson

L'articolo non dice questo e nemmeno la fonte. Semplicemente è stato fatto un test utilizzando una particolare app open source (citata nell'articolo) su Android e sono saltati fuori questi risultati. Lo stesso test non è stato ripetuto su altri os.

Marco Seregni

a quel livello di paranoia non ti compri manco uno smartphone

Marco Seregni

Scusami, non voglio fare il difensore di apple o l'applefan (ho google home, OP5T e l'unico dispositivo in casa mia apple è un ipod nano), però da come dice l'articolo sembra di capire che queste app riescono a fare sta cosa solo su android, cioè lasciando sottointeso che iOS empedisca la trasmissione di certi dati. Forse ho inteso male io...

SteDS

Non hai capito niente, anche i geni che ti hanno messo il +1... cioè, ok che era facile arrivarci comunque, ma bastava leggere oltre il titolo

Nembolo
jose manu

Si

SteveMcQueer

adguard funziona non solo su samsung, ma qualsiasi marchio. personalmente ce l'ho su un Lg, un Sony, un Samsung. Poi funziona anche su pc nel caso ti servisse. comunque basta andare sul sito adguardPUNTOcom e scaricare l'app :)

Stefano Ferri

Blockada del play store è solo dns changer, quella in apk che trovi sul sito è tutt’altro ma sul play store non la lasciano pubblicare per ovvi motivi . Però tanta mondezza la lasciano . Cerca il canale Telegram di blockada è molto esauriente il personale.

zanshin

secondo me non serve a nulla, parliamo di google , quei signori che se disattivi la "posizione" sul cell , continuano a tracciarti con gps,wifi e reti mobili, non sembrano i paladini della privacy

Max
riccardik

probabilmente hai ragione, non ci avevo pensato

Garrett

In pochi lo ricordano

KenZen
takaya todoroki

praticamente non hai capito nulla di quello di cui parla l'articolo.

takaya todoroki

sì però senza CA installata come trusted, il traffico non lo decifri.
non ricordo se su IOS si possano aggiungere a mano delle CA.

riccardik

beh in questo caso sicuro, anche se ios non lo consentisse basterebbe un router ben configurato

Edward mnc343

Neanche con il 950...

CAIO MARIOZ

Praticamente le cattiverie scritte finora nei confronti di questo sistema operativo sono nulla in confronto a quello che realmente è

Gianni

Con il 920 questo non succede

xantarmob

Che schifo.... Non serve aggiungere altro.

takeoff

io non mi preoccupo più di tanto infatti..

comunque se si usa Android, Gmail e Google a Mountain View già sanno tutto per cui usare Google Assistant piuttosto che Shazam limita la cessione di eventuali dati a terzi.

wanax

Io non uso nemmeno le google appe e play services e posso dirti che è dura utilizzare il telefono a 360 gradi, anche se fortunatamente non ancora impossibile. Per molte cose utilizzo il browser (purtroppo ho dovuto optare per chrome, disabilitando il possibile), per altre fdroid ed aptoide.

takaya todoroki

Io non uso nulla (ma uso poco anche il telefono e soprattutto non installo mai niente).

comunque per curiosità avevo cercato anche io una soluzione e questa dovrebbe essere una buona risposta:
https://www.netguard.me/

non garantisco che poi non rivenda i tuoi dati agli alieni però!

Francesco R. Berardocco

"anche", appunto, qui si tratta di persone che manco sono registrate a facebook...

Horatio

Beh, sono app che usano (anche) il log in tramite FB, quindi non dovrebbe stupire che comunichino con FB, Spotify l'ho collegato apposta.

Marco.27

takaya todoroki Blokada cambia solo i DNS da quello che vedo sul Play Store - di quale app parli tu?
SteveMcQueer Adguard lavora solo per le app Samsung - quale altra app puo' svolgere questa funzione monitorando tutte le connessioni in uscita da cellulare?

Piu' in generale quale puo' essere un buon tool per blindare il telefono, sempre ammesso di installare il minimo indispensabile?

Horatio

d10 c4n3!

Horatio

Uhm, ti preoccupi per i dati personali e usi Google Assistant? -.-

elfabio80

Si, ma a Teheran!!

Johnny Il_Camminatore

Non mi vengono altre parole per descrivere l'accaduto: "figli di madri avvezze al mercimonio!" (cit. Crozza / De Luca)

elfabio80

A Ciolla è la canzone preferita da Zuckerberg. E non solo come canzone....

Price Tag

Di tutte quelle citate uso solo Spotify.. c4xx0 ora Facebook viene a sapere che ascolto Brigan Tony...?!?!?!

Stefano Ferri

Forse la schermata del dettagli traffico è quella dell’ applicazione dell operatore.

ErCipolla

Non è un'ipotesi la mia eh, c'è scritto nell'articolo, hanno usato MITMProxy.

Tale proxy oltretutto supporta la decrittazione del traffico HTTPS, basta aggiungere la CA del proxy alla lista di authority affidabili del dispositivo (cosa che si può fare sia in Android che iOS se non sbaglio)

ErCipolla

No, ci sono i manutentori di F-Droid che lo fanno già, non c'è bisogno che lo faccia io.

Per carità, è ovvio che ad un certo punto diventa una questione di "quanto vuoi essere paranoico", ma non sono a quei livelli francamente, anche perché se arrivi al punto di non fidarti di nessuno esci pazzo...

takaya todoroki

e tu hai verificato che compilando quel codice venga fuori un app che ha esattamente la stessa firma hash che ha quella installata nel tuo telefono?
E rifai questa procedura tutte le volte che c'è un aggiornamento (ovviamente dopo aver analizzato il codice dall'aggiornamento)?

Marco Cerasoli
Cave Johnson

Google Assistant è open source?

takeoff

Shazam puoi sostituirlo con Google Assistant

ErCipolla

Blockada è open source, puoi verificare il codice e vedere che non le mandano a nessuno...

Recensione Xiaomi Mi Mix 3: difficile chiedere di più a 500 euro

Xiaomi Mi Mix 3 (3.200mAh): live batteria | Fine ore 21.50

LG V40 ThinQ al CES in attesa del suo debutto in Italia | Video anteprima

SNAPDRAGON 855 su Lenovo Z5 Pro GT e SLIDER | Video Anteprima