Alcune app Android trasferiscono dati a Facebook senza autorizzazione

• Facebook
• Privacy

A fine dicembre 2018 i ricercatori di Privacy International avevano messo in evidenza come di 34 applicazioni Android molto note, 20 inviavano dati personali a Facebook senza alcuna esplicita autorizzazione da parte degli utenti. Tra di esse spiccavano nomi quali Skyscanner, TripAdvisor, Kayak e MyFitnessPal.

Le informazioni trasmesse a Facebook sono diverse: nome dell’app, ID univoco Google dell’utente, numero di volte che l’applicazione è stata aperta e chiusa. Nel caso di Kayak, ad esempio, venivano trasferiti anche i dettagli delle ricerche sui voli aerei.

La buona notizia è che le società sviluppatrici di alcune famose app hanno preso a cuore le segnalazioni di Privacy International e ne hanno modificato il comportamento.
Spotify, Skyscanner e Kayak, ad esempio non contattano più i server di Facebook all’apertura dell’applicazione. Molte altre app, però, continuano a comportarsi esattamente come in passato: tra queste ci sono ad esempio Duolingo e Yelp.
Nel nuovo report appena pubblicato Privacy International fa il punto della situazione spiegando che Duolingo ha assicurato che il problema sarà risolto in una delle prossime release dell’applicazione.

La nuova normativa europea sulla protezione dei dati personali (GDPR) prevede sanzioni fino a 20 milioni di euro o il 4% del fatturato per quelle aziende che non informassero correttamente sull’utilizzo dei dati degli utenti.

Frederike Kaltheuner, uno degli autori dell’interessante ricerca, spiega che la situazione venutasi a creare è piuttosto ingarbugliata: se infatti, stando a quanto stabilito dal GDPR, la responsabilità sarebbe in capo agli sviluppatori delle varie app, Facebook non permetterebbe ai programmatori di disattivare la trasmissione dei dati in attesa della ricezione di un permesso esplicito da parte degli utenti.

Diversi sviluppatori hanno segnalato la cosa alla società di Mark Zuckerberg già da maggio 2018 e Facebook ha successivamente dichiarato di aver rilasciato un aggiornamento. Allo stato attuale non è chiaro se il “fix” messo a punto da Facebook risolva definitivamente il problema anche perché molti sviluppatori sembrano non averlo proprio utilizzato.

Privacy International, come anticipato qualche mese fa, ha poi annunciato il rilascio delle informazioni sull’ambiente di test utilizzato per mettere alla prova il comportamento delle app.
Ciò significa che da oggi chiunque è in grado di verificare le asserzioni di Privacy International e controllare come si comporta ciascuna applicazione.

Vale infine la pena osservare che il pacchetto SDK di Facebook è solamente uno dei tanti elementi traccianti che vengono comunemente inseriti nelle app. I ricercatori di Privacy International spiegano che il 90% delle app Android condividono dati con i server di Google.