Credits: Cristiano Betta @ Flickr
Quante spie avete volontariamente fatto entrare nel vostro iPhone? Quanti cavalli di Troia vi stanno copiando la rubrica mentre vi intontiscono con le loro croccantissime funzionalità? No, non mi sono ammattito, parlo sul serio. Perché questo è lo scenario che è emerso dal tombino Address Book, sollevato la scorsa settimana da un utente dell’applicazione Path: più o meno qualunque app del vostro iPhone è in grado di sottrarvi dati personali (gli indirizzi dell’address book, ma anche gli appuntamenti del vostro calendario) senza doversi prendere la briga di chiedervi l’autorizzazione. Ma soprattutto, senza che voi nemmeno ve ne accorgiate.
Tutto è cominciato una settimana fa, quando lo sviluppatore Arun Thampi, mentre lavorava a una app di Path per Mac OS X, si è reso conto che l’applicazione inviava automaticamente indirizzi email, numeri di telefono e altri dati personali ai server Path sotto forma di file .plist. Dopo aver indagato, servendosi di un programma (mitmproxy) che permette di tracciare il flusso di dati in entrata e in uscita da un’applicazione, Thampi ha realizzato che Path cominciava a collezionare gli indirizzi della sua rubrica fin dal momento dell’installazione. Qualche minuto dopo, l’intera faccenda compariva a chiare lettere sul suo blog.
Apriti cielo. La notizia ha fatto il giro della Rete, centinaia di utenti hanno incrociato le braccia indignati (sebbene a molti probabilmente importi poco di tener custoditi i propri contatti) e da Path sono arrivate fulminee scuse, accompagnate da un aggiornamento dell’applicazione.
La cosa però non si è conclusa tanto facilmente. Sì, perchè nel suo blog Arun Thampi non si era limitato a denunciare il problema, aveva anche inserito una dettagliata serie di istruzioni per chiunque volesse controllare di persona se la app stesse facendo incetta dei propri dati personali. Non è passato molto prima che decine di blogger e media si dedicassero ad applicare il metodo Thampi alle altre app iOS.
Risultato: gran parte delle app per iPhone sono virtualmente in grado di sottrarti ogni bit possibile da rubriche e calendari. La notizia buona è che poche lo fanno senza avvertirti. È il caso di Foursquare e Hipster, ad esempio. Negli scorsi giorni, alcuni utenti hanno reso note falle nella gestione della privacy di queste app. La reazione di Hipster e Foursquare è stata identica a quella di Path: ginocchia sui ceci, scuse sgranate come un rosario e garanzia di aggiornamento dell’app.
Ci sono poi app che importano i dati relativi ai tuoi contatti solo nel caso in cui tu decida di ricorrere al tuo address book per trovare possibili contatti: è il caso di Twitter, Facebook, LinkedIn, Gowalla, Foodspotting e Angry Birds. Ma anche in questo caso le informazioni del tuo address book vengono fagocitate senza bisogno di un esplicito consenso. Tra le poche app che informano esplicitamente l’utente sull’utilizzo dei suoi dati personali figurano (a parte, adesso, Hipster e Path): Instagram e Instapaper. Ma esistono anche app che non si prendono la briga di stoccare i dati relativi al tuo elenco contatto, tra i tanti ricordiamo: Pinterest, TripIt, Google+, Flipboard, Shazam, Skype e Meebo.
Le conseguenze di questo Address Book-gate (figurarsi se potevano chiamarlo in altro modo) sono facilmente prevedibili: le app finite sotto vetrino provvederanno a rendere più esplicite le proprie policy e a coinvolgere maggiormente l’utente. Ma per risolvere veramente il problema bisogna risalire a monte, per la precisione a Apple, che sulla carta sostiene di respingere dal suo App Store qualunque app “richieda agli utenti di condividere informazioni personali per funzionare” e informa gli sviluppatori che “Le app non possono trasmettere dati riguardanti i propri utenti senza previo consenso”.
Insomma, mentre gli sviluppatori si cospargono il capo di cenere, da Cupertino non è ancora arrivata una sola riga di scuse. Ma è probabile che il silenzio di Apple sulla questione non duri molto, dal momento che dalla comunità Web si moltiplicano ogni ora gli appelli affinché Apple sviluppi un sistema per bloccare il trasferimento automatico di dati personali alle App e affinché questi dati siano rigorosamente criptati e resi anonimi.
Nel frattempo, rimaniamo in attesa di vedere se l’Address Book-gate si estenderà anche alle app Android.
Commenti