11096 Letture
App Android: riconoscere quelle che tracciano gli utenti

App Android: riconoscere quelle che tracciano gli utenti

Non tutte le app Android sono uguali: alcune, pur non essendo rilevate come dannose, possono rappresentare una minaccia per la privacy degli utenti e porre in essere raccolte di dati delle quali, spesso, non si è consapevoli.

Tante app Android pubblicate nel Play Store di Google contengono componenti tracker: alcuni sono innocui, altri possono costituire un rischio per la propria privacy. sfera privata. I tracker sono software il cui obiettivo principale è quello di raccogliere informazioni sul soggetto che sta usando l'applicazione, sulle modalità con cui l'app viene adoperata, sullo smartphone in cui essa è installata. I tracker vengono generalmente messi a disposizione degli sviluppatori (non soltanto Android ma anche iOS) sotto forma di pacchetti preconfezionati (SDK).

Non tutti i tracker sono uguali: alcuni sono progettati per gestire i crash delle applicazioni raccogliendo informazioni sui problemi eventualmente presentatisi, altri per conoscere meglio gli utenti che usano ciascuna app (analytics).
Altri tracker forniscono strumenti per la profilazione degli utenti permettendo di memorizzare e successivamente di analizzare quante più informazioni possibile sugli utenti, altri aiutano a identificare gli utenti, a mostrare messaggi pubblicitari a geolocalizzare i dispositivi client.

Generalmente sono gli sviluppatori delle singole applicazioni a decidere se integrare uno o più tracker al fine di coprire varie esigenze. In alcuni casi l'obiettivo è semplicemente quello di conoscere meglio il proprio audience mentre in altri monetizzare i dati raccolti trasferendoli a soggetti terzi (che li utilizzano per le loro finalità di business e per rivenderli ad altri). In epoca GDPR questi trattamenti dovrebbero essere meno comuni e più complicati da porre in essere, anche perché gli utenti debbono essere puntualmente informati sulla natura e sulle finalità della raccolta dei dati personali.


Eppure, come si conferma sul sito di Exodus Privacy, organizzazione francese senza scopo di lucro che si occupa di verificare il comportamento delle app Android e rilevare la presenza di tracker, la situazione è divenuta oggi ancora più caotica che in passato. Mentre quindi le Autorità tendono a concentrarsi molto sui trattamenti effettuati da parte dei gestori di siti web, quanto accade nel mondo delle app per i dispositivi mobili appare come una vera giungla all'interno della quale molte delle attività svolte e quindi gran parte dei trasferimenti dati posti essere appaiono quasi imperscrutabili.

Analizzare il comportamento di un'app Android risulta, per "i comuni mortali", piuttosto complesso. Nell'articolo Bloccare app Android con un firewall e verificare quelle che tracciano gli utenti e nel successivo Accesso Internet app Android e uso della connessione dati: come impostarli abbiamo visto come si possa usare un'applicazione come NetGuard per impedire trasferimenti di dati da parte delle varie app.

In molti casi, però, bloccando tutto il traffico in uscita prodotto da una specifica app Android si rischia di comprometterne il funzionamento. Un buon approccio per valutare il comportamento di un'app, quindi, consiste nel controllare quali permessi utilizza e chiedersi il motivo per cui, ad esempio, ne sfrutti alcuni non strettamente necessari: App Android pericolose per la sicurezza e la privacy.
Anche una scansione delle app installate con un'applicazione antivirus per Android (a patto che sia nota e universalmente apprezzata) - vedere l'articolo Antivirus Android: no, non è affatto inutile per qualche suggerimento - aiuta tantissimo nell'individuazione delle applicazioni potenzialmente pericolose.


Sì, perché alcune app Android possono essere all'apparenza innocue (quindi non contenere alcun malware) - come la maggioranza di quelle pubblicate sul Google Play Store - ma ospitare comunque tracker pericolosi per la privacy degli utenti.
Gli esperti del progetto Exodus Privacy sostengono di aver trovato app Android con più di 30 tracker integrati. Inoltre, in oltre 37.000 app Android esaminate estrapolandole dal Play Store di Google, Exodus Privacy ha individuato quasi 160 tracker differenti.

Gli sviluppatori delle app Android talvolta non sono neppure ben consapevoli circa la natura dei tracker che inseriscono. Non prestando particolare attenzione sul comportamento di ciascun oggetto software di terze parti, il tracker potrebbero per esempio estrarre la rubrica completa o una lista delle app installate e inviarle verso server remoti, nella maggior parte dei casi fuori dai confini dell'Unione Europea. In combinazione con altri frammenti di dati raccolti dai tracker (spesso si tratta di raccolto presentate come "anonime") soggetti terzi possono risalire all'identità dei singoli utenti e comporre una sorta di "rete sociale", con le informazioni su colleghi e conoscenti.


Come scoprire il comportamento delle app Android installate e accertare la presenza di eventuali tracker

Per controllare se un'app Android utilizzi o meno qualche tracker sarebbe ovviamente possibile procedere con la sua decompilazione. La maggior parte degli sviluppatori, tuttavia, proibisce qualunque attività di reverse engineering: il progetto Exodus Privacy utilizza un piccolo trucco che sfrutta la peculiarità di Android per elencare alcuni dettagli relativi al "dietro le quinte" delle applicazioni.


Un APK, infatti, è sostanzialmente soltanto un file Zip che ospita le informazioni sul layout dell'applicazione oltre ai cosiddetti file DEX, che contengono solo la parte dell'app scritta in Java o Kotlin e le librerie utilizzate. Tali file conservano i nomi di tutte le classi adoperate dall'app Android in chiaro, nomi delle librerie incluse compresi.
Questi elementi consentono di trarre velocemente conclusioni sulla natura e sul comportamento dell'app Android senza dover esaminare il codice da vicino.

Google offre lo strumento Dexdump che permette di effettuare una scansione dei file APK. Noi abbiamo provato a utilizzare Dexdump da un sistema Linux Debian avviando l'installazione del tool con il comando seguente:

apt-get install dexdump -y

App Android: riconoscere quelle che tracciano gli utenti


Supponendo di avere già a disposizione il file APK dell'app Android che si vuole esaminare (vedere anche App backup su Android: come si fa), basterà digitare dexdump nomeapp.apk | grep "Class descriptor" | sort | uniq

In questo modo si otterrà la lista completa delle classi utilizzate nell'applicazione Android. Il nome della classe ("Class descriptor") aiuta a capire a colpo d'occhio se fossero presenti tracker potenzialmente pericolosi.


Con Exodus Privacy è possibile ottenere preziose informazioni sulle app Android prima della loro installazione: il progetto utilizza il comando dexdump e gestisce un ricco database con i dettagli su ciascuna applicazione. Basta visitare la home page di Exodus Privacy e digitare il nome dell'app Android che si desidera controllare nella casella Application name. Si può anche digitare l'identificativo univoco dell'app che compare nella barra degli indirizzi, visitando la pagina corrispondente sul Play Store di Google.

App Android: riconoscere quelle che tracciano gli utenti

Nella pagina successiva, si potranno verificare i tracker eventualmente presenti (insieme con la loro identità) e i permessi richiesti.

App Android: riconoscere quelle che tracciano gli utenti

Cliccando sul nome del tracker è possibile saperne di più e conoscere i soggetti che gestiscono le raccolte di dati.

Per automatizzare l'analisi delle app Android alla ricerca di tracker e permessi troppo ampi, è possibile installare Exodus Privacy.


App Android: riconoscere quelle che tracciano gli utenti

Altre informazioni sulle app Android installate possono essere reperite su AppBrain e su AppCensus anche se in questo caso, purtroppo, i dati non sembrano aggiornati.


I più scaricati del mese

App Android: riconoscere quelle che tracciano gli utenti