App Android sottrae dati degli utenti. Nessuna sanzione

“Perché una semplice applicazione che trasforma lo smartphone Android in una torcia (…) dovrebbe accedere all’identificativo IMEI del telefono od alla rubrica dei contatti? (…) Prima di installare una nuova app Android è quindi preferibile esaminare con attenzione l’elenco dei permessi richiesti“.
Abbiamo ripetutamente citato, in passato, l’esempio dell’applicazione che permette di attivare il display ed il flash della fotocamera in modo da usare lo smartphone Android come se fosse una torcia: Antivirus Android, malware a quota 97%. Ecco perché.

Uno dei punti deboli di Android – è innegabile – risiede nella gestione dei permessi un po´ troppo “leggera”. Il sistema operativo di Google, infatti, non offre un’impostazione che permetta di ridurre i permessi richiesti dalle varie applicazioni concedendo solo quelli di base.
A complicare la situazione, c’è poi la cattiva abitudine di molti utenti di dispositivi Android che consiste nell’accettare di buon grado i permessi richiesti dalle app in fase d’installazione senza minimamente verificarli.

Si tratta di un grave errore perché installando quella che all’apparenza può sembrare un’app Android legittima, si rischia di porgere immediatamente il fianco alla sottrazione di informazioni personali.

Per evitare di correre rischi, quindi, è sempre bene visionare con attenzione i permessi che vengono richiesti all’atto dell’installazione da ogni app. Gli utenti più smaliziati, inoltre, possono effettuare il root del proprio dispositivo Android (vedere Differenza jailbreak, root e sblocco sui dispositivi mobili) ed installare un’applicazione firewall (esempio: Android Firewall) che permetta di scegliere, per ogni singola app, quali permessi concedere e quali negare.

Emblematico il recente caso dell’applicazione chiamata Brightest Torcia Gratis (o Brightest Flashlight Free, in inglese), ancora disponibile su Google Play. L’app Android non soltanto consentiva di fare quanto dichiarato nella descrizione (accendere display, flash, retroilluminazione, trasformando il telefono Android in una luminosissima torcia) ma, una volta installata, trasmetteva sui server degli sviluppatori e verso terzi informazioni sull’esatta posizione dell’utente e sul codice identificativo univoco legato al suo dispositivo mobile.
L’applicazione Brightest Flashlight Free, infatti, tra i permessi Android richiesti mostrava (e mostra tutt’oggi) i seguenti: “posizione approssimativa (basata sulla rete); posizione precisa (GPS e basata sulla rete); accesso di rete completo; lettura stato e identità telefono“.
Già la richiesta di questi permessi, per un’applicazione che dovrebbe solamente fungere da torcia, avrebbe – come minimo – dovuto insospettire.

La Federal Trade Commission (FTC), l’antitrust statunitense, dopo aver analizzato il comportamento di Brightest Flashlight Free aprendo un’indagine ufficiale ha concluso che gli sviluppatori non hanno adeguatamente informato gli utenti sulle modalità di trattamento dei loro dati non indicando, in modo chiaro, che informazioni come l’esatta posizione geografica e l’identità del telefono fossero trasmessi a terzi.

All’autore dell’app Android la FTC ha ordinato di cancellare tutti i dati degli utenti sin qui raccolti (entro 10 giorni). Lo stesso sviluppatore, inoltre, dovrà preventivamente comunicare alla FTC l’intenzione di aprire qualunque altra attività commerciale, nel corso dei prossimi 10 anni.
Nessuna sanzione di carattere pecuniario è stata invece decisa nei confronti di chi ha sviluppato “Brightest Flashlight Free” sollevando non pochi interrogativi.

Morale? Ancora una volta, il consiglio migliore è sempre quello di porre la massima attenzione alle applicazioni che s’installano sul dispositivo Android e, soprattutto, alla natura dei permessi richiesti. Nell’articolo Antivirus Android, malware a quota 97%. Ecco perché sono pubblicati una serie di consigli per difendersi da chi cerca di approfittarsi della fiducia degli utenti.
Un buon suggerimento, inoltre, consiste nell’installare su Android un valido antimalware e, in caso di dubbi sull’identità di un’applicazione, effettuarne una scansione su VirusTotal (Scaricare APK da Google Play: come fare senza installare nulla).