Oltre 1000 app Android salvano i dati degli utenti senza autorizzazione

Continua il periodo di incertezza relativo alla sicurezza dei dati personali su Android per le applicazioni disponibili nel Play Store. Dopo il problema di sicurezza relativo all’app “Update for Samsung” che prometteva repentini aggiornamenti dei dispositivi, ma che in realtà nascondeva una truffa, un vero e proprio scandalo ha colpito il sistema operativo di Mountain View.

Sono infatti almeno 1300 le applicazioni Android che continuano a raccogliere i dati degli utenti, anche senza la loro autorizzazione, aggirando il sistema di protezione di Google.

Le 1325 applicazioni Android che raccolgono i dari personali

A mettere in risalto questo importante problema è l’International Computer Science Institute (ICSI) che, con una ricerca presentata al PrivacyCon 2019, ha puntato il dito contro il colosso di Mountain View, mettendo in evidenza come moltissime applicazioni disponibili tuttora nel Play Store continuino a raccogliere e salvare i dati personali degli utenti, anche se gli è stata negata l’autorizzazione.

Lo studio ha analizzato 88.000 applicazioni ed esaminato come vengono gestiti i dati personali quando gli utenti negano l’autorizzazione all’accesso, con un risultato tutt’altro che confortante: circa 1800 applicazioni sono di fatto in grado di bypasare la protezione di Android e continuare ad accumulare tantissimi dati personali, per poi inviarli ai propri server.

Non è ancora nota la lista completa delle applicazioni incriminate, che sarà resa pubblica in occasione della conferenza Usenix che si terrà ad agosto, quel che è noto però è che queste fantomatiche “app sicure”, in realtà hanno il pieno accesso a tutti i dati relativi alle connessioni WiFi a cui si connettono gli utenti, ai metadati archiviati nelle foto (e quindi alle relative posizioni GPS) e addirittura all’IMEI di ogni dispositivo.

“ In realtà, gli utenti Android hanno pochissimi strumenti e segnali che possono sfruttare per controllare ragionevolmente la propria privacy e adottare decisioni in merito” – ha spiegato Serge Egelman, direttore delle ricerche di sicurezza e privacy dell’ICSI – “Se gli sviluppatori delle applicazioni possono aggirare il sistema di protezione di Google, allora  il fatto che si chieda l’autorizzazione agli utenti perde totalmente senso”.

Ma non finisce qui. Oltre al problema riscontrato su queste applicazioni, almeno 153 app di questa lista (tra cui Samsung Health e Samsung Internet Browser, installate su oltre 500 milioni di dispositivi) sarebbero in grado di sfruttare un’altra applicazione a cui erano state concesse alcune autorizzazioni, e ricavare i dati attraverso il semplice accesso alla memoria interna del dispositivo (un permesso, tra l’altro, essenziale per il funzionamento delle app). In soldoni, in questo modo se ad un’applicazione A non è stato concesso alcun permesso, e ad un’applicazione B è stato dato il permesso di memorizzare (ad esempio) i dati di localizzazione, l’applicazione A tramite l’accesso alla memoria interna (essenziale per il funzionamento della maggior parte delle app) potrebbe accedere ai dati dell’applicazione B ed estrarne il contenuto, per poi inviarlo ai propri server.

La risposta di Google

Ma se da Samsung non è giunta alcuna risposta ufficiale, sovente è arrivata la replica di Google che, avvisata assieme alla Federal Trade Commission dall’ICSI lo scorso settembre, ha comunicato ufficialmente che questa problematica sarà risolta con Android Q, il prossimo  aggiornamento di Android in arrivo questo Agosto.

Sarà quindi con il prossimo sistema operativo che gli utenti potranno “dormire sonni tranquilli”, almeno finché non verrà scoperto il prossimo stratagemma. Per tutti quelli che posseggono uno smartphone che non verrà aggiornato ad Android Q, invece, ad oggi Google non ha trovato alcuna soluzione.