Che i nostri smartphone comunichino con l’esterno (senza il nostro consenso) non è di certo cosa nuova: quante volte vi è capitato di parlare di un determinato argomento, mai cercato online, e di veder apparire, poche ore dopo, pubblicità inerente proprio a quel servizio/prodotto/argomento che avete citato? Non è un caso e di questo ne ho parlato spesso anche pubblicamente (vedasi, per ultimo, il mio intervento a Radio Freccia del 18 Ottobre 2021). Ma una nuova ricerca effettuata dall’Università di Edinburgo e dal Trinity College di Dublino, dimostra come gli stessi produttori di smartphone siano in grado di raccogliere, spesso rendendo impossibile l’opt-out (ovvero la possibilità di negare il consenso), una somma ingente di dati personali e dati sensibili fin dal primo giorno in cui acquistate uno smartphone Android.
Lo studio, il cui titolo è “Android Mobile OS Snooping By Samsung, Xiaomi, Huawei and Realme Handsets“, ha dimostrato come, per impostazioni di default, i dispositivi Android inviino una grande quantità di informazioni alle aziende produttrici. E non si parla di App di terze parti, ma di impostazioni di fabbrica, quindi attive fin dalla prima accensione. I dispositivi presi in considerazione dalla ricerca fanno parte dei seguenti produttori:
- Samsung
- Xiaomi
- Realme
- Huawei
- LineageOS
- /e/OS
- OS Google
Per chi se lo stesse chiedendo, LineageOS ed /e/OS, sono due sistemi operativi basati su Android, ma alternativi: in particolar modo, queste due versioni modificate di Android permettono di gestire in modo più approfondito il proprio smartphone, con un elevato grado di privacy e sono sicuramente stati integrati all’interno dello studio per dimostrare la loro efficacia trasparenza e sicurezza in merito al trattamento dei dati personali e sensibili.
Durante lo studio, i ricercatori, nel primo avvio degli smartphone, hanno effettuato delle scelte di configurazioni che ci si aspetterebbe da un utente con una conoscenza informatica media (quindi, negando alcune scelte di tracciamento del comportamento dell’utente, ma tenendo altresì attive altre impostazioni, come la geolocalizzazione).
Al fine di poter tracciare il comportamento degli smartphone ed in particolar modo per analizzare quali fossero le informazioni raccolte ed a chi venissero inviate (e dove, ndr), lo strumento principalmente utilizzato è mitmproxy. Questo tool è uno software open source in grado di intercettare il traffico dati all’interno di una rete, decodificando anche le comunicazioni cifrate di tipo SSL/TLS, le quali sono generalmente illeggibili da parte di un utente terzo. La tecnica in questione prende il nome di “Man in the middle” ed è una nota forma di attacco informatico. Nel caso in cui ve lo stesse chiedendo: sì, con mitmproxy (così come con un qualsiasi altro strumento in grado di porre in essere un attacco “Man in the middle”) è possibile intercettare un qualsiasi utente, scoprendo eventuali password e siti Web visitati. Ma non è questo l’argomento dell’articolo 🙂
Quali sono i dati raccolti?
I dati raccolti sono stati suddivisi in base alla versione del sistema operativo Android installato. Infatti, per chi non lo sapesse, i produttori di smartphone possono personalizzare la versione ufficiale di Android, aggiungendo o rimuovendo funzioni per meglio adattare il sistema operativo allo smartphone in questione. A titolo di esempio, nonostante Xiaomi e Samsung utilizzino come sistema operativo Android, questo può leggermente differire nelle funzioni a disposizione per l’utente.
I risultati sono stati elencati all’interno della “Tabella 1” che qui sotto vi riporto.
Traducendo quanto scritto nella tabella sopra riportata, abbiamo 6 categorie in cui sono raggruppati in modo macroscopico i dati inviati dai vari produttori, elencati in ogni colonna:
- Identificatori a lungo termine del dispositivo: generalmente informazioni che non possono essere modificate, come il codice seriale di un componente hardware o l’IMEI
- Identificatori resettabili che individuano il dispositivo: informazioni che possono essere modificate da parte dell’utente, come per esempio l’account Google
- Applicazioni di terze parti, in grado di ottenere informazioni aggiuntive dal dispositivo
- Dati telemetrici
- Analisi dell’utilizzo di applicazioni
- Analisi delle applicazioni installate
Escludendo i sistemi operativi di cui abbiamo parlato spra (LingeageOS ed /e/OS), il più sensibile alla privacy risulta essere la versione originale rilasciata da Google, mentre, le versioni personalizzate da parte dei produttori, non brillano certo per trasparenza.
Dove vengono inviati i dati?
Lo studio non si è fermato a scoprire quali fossero i dati inviati, ma si è spinto oltre, analizzando anche dove fossero fisicamente collocati i server nei quali le informazioni, almeno in un primo momento, venissero conservate.
Nella maggior parte dei casi, i dati vengono inviati a server situati sul territorio europeo. L’eccezione principale riguarda gli smartphone Xiaomi, i quali inviano i dati anche a server che sembrerebbero situati a Singapore (in particolare: tracking.intl.miui.com, api.ad.intl.xiaomi.com, data.mistat.intl.xiaomi.com). Per quanto riguarda i dispositivi marchiati Samsung, questi inviano dati a server che sembrano essere situati sul territorio degli Stati Uniti (in particolare: capi.samsungcloud.com)
Cos’è possibile fare?
Per aumentare la privacy del proprio dispositivo Android, come sempre, la prima cosa è utilizzare il buon senso: se non siamo certi di cosa significhi “spuntare” una determinata voce, lasciamola disattivata. Avremmo modo di attivare tale funzione in un momento successivo, nel caso in cui si dovesse rendere necessario.
In alternativa, è possibile installare sul proprio smartphone un sistema operativo differente a quello fornito dal produttore, ma anche se non si tratta di una procedura complessa, richiede un minimo di dimestichezza con i mezzi informatici. Inoltre, nella gran parte dei casi, la sostituzione del firmware invalida la garanzia ed in ogni caso si rende necessaria una cancellazione completa dei dati memorizzati.
In ogni caso, non c’è da preoccuparsi in modo insensato: i dati che lasciamo in mano a molti altri servizi che quotidianamente utilizziamo (vedasi i Social Network) sono assai maggiori e più sensibili delle informazioni recuperate da parte dei produttori che, in fin dei conti, possono utilizzarle per migliorare la propria versione del sistema operativo.
1 commento