Come utilizzi lo smartphone e le applicazioni è molto importante per le aziende che offrono servizi tramite app o devono investire in pubblicità tramite le stesse. Per questo motivo, l’ideale per le società è avere a disposizione i dettagli di come un’utente interagisce con uno dei software presenti sul proprio terminale: sembra che la questione sia così importante da venire prima della consapevolezza dell’utente sulla raccolta e l’utilizzo dei propri dati personali. Infatti, secondo un report realizzato da TechCrunch, ci sono molte applicazioni per iOS che registrano lo schermo dello smartphone, mentre l’utente le utilizza: peccato però che di questo non si faccia menzione all’interno della privacy policy.
iPhone, iOS, app che registrano
Sono parecchio famosi i nomi all’interno dell’elenco delle app incriminate, tanto per fare qualche esempio: Expedia, Air Canada, Hollister and Abercrombie & Fitch ed anche Hotels.com. La registrazione dello schermo durante l’utilizzo è semplice da implementare ed è possibile senza che l’utente non se ne renda conto.
Il sistema si chiama screen replay ed in teoria permette agli svilupppatori di controllare come funziona l’app quando viene utilizzata e come migliorarla: in pratica viene spesso utilizzato per raccogliere informazioni di diverso genere.
Sul Web ci sono diversi provider di servizi di screen replay, quello utilizzato dalle app esaminate è offerto da Glassbox. Al fine di capire in dettaglio cosa venga registrato dalle applicazioni e come venga gestito, il report di TechCrunch è stato raealizzato chiedendo l’aiuto degli esperti di App Analysis. Questi ultimi hanno preso come caso di studio l’app di Air Canada e sono riusciti – con uno strumento di intercettazione dello scambio di informazioni fra app e server esterni (con sistema proxy man-in-the-middle) – a recuperare alcuni screen capture prodotti dall’applicazione.
Con sommo stupore, ci si è resi conto che la pratica è ancora più pericolosa di quello che sembra: spesso i dati sensibili (nome, cognome, numero di carta di credito) inseriti dagli utenti non sono correttamente oscurati, dunque disponibili potenzialmente per chiunque decida di intercettare le registrazioni. Inoltre, spesso gli screen capture generati dall’app sono inviati direttamente a dei server terzi di Glassbox e non a quelli interni dei proprietari dell’applicazione: questo aumenta esponenzialmente il rischio di furto dei dati personali.
Naturalmente, i colleghi di TechCrunch hanno chiesto spiegazioni alle aziende clienti di Glassbox e responsabili di registrare dati sensibili senza un consenso esplicito: molte non hanno fornito risposta, altre – come Air Canada – hanno spiegato tramite portavoce che le registrazioni riguardano solo quello che avviene all’interno dell’app, non oltre, e servono a migliorare l’esperienza utente. Una giustificazione che non è esattamente la spiegazione richiesta.
