Le app di sistema, installate di default sullo smartphone e solitamente non rimovibili, tendono a rimanere fuori dai riflettori. Ma mentre con altre app e servizi gli utenti hanno almeno una certa scelta, in questo caso le capacità di tracciamento e sorveglianza sono legate agli stessi dispositivi.
Quanto sopra rappresenta alcune conclusioni di un recente studio congiunto dei ricercatori dell’Università di Edimburgo, Regno Unito, e del Trinity College di Dublino, Irlanda. Hanno esaminato gli smartphone di quattro noti fornitori per scoprire quante informazioni trasmettono. Come punto di riferimento, hanno confrontato i risultati con sistemi operativi open-source basati su Android, LineageOS e /e/OS, ecco cosa hanno trovato.
Metodo di ricerca
Per la precisione dell’esperimento, i ricercatori hanno impostato uno scenario operativo abbastanza rigoroso per i quattro smartphone, uno che gli utenti difficilmente incontreranno nella vita reale: hanno ipotizzato che ogni smartphone sarebbe stato utilizzato solo per le chiamate e i messaggi; i ricercatori non hanno aggiunto alcuna app, sono rimaste sui dispositivi solo quelle installate dal produttore.
Inoltre, l’utente immaginario ha risposto negativamente a tutte le domande del tipo “Vuoi migliorare il servizio inoltrando i dati?” a cui gli utenti devono rispondere la prima volta che accendono il dispositivo. Non hanno attivato alcun servizio opzionale del produttore, come il cloud storage o Find My Device. In altre parole, hanno mantenuto gli smartphone nel modo più privato e incontaminato possibile durante lo studio.
La tecnologia di base di “spionaggio” è la stessa in tutte queste ricerche. Lo smartphone si collega a un minicomputer Raspberry Pi, che funge da punto di accesso Wi-Fi. Il software installato sul Raspberry Pi intercetta e decifra il flusso di dati dal telefono. I dati vengono poi cifrati nuovamente e consegnati al destinatario, lo sviluppatore del telefono, dell’app o del sistema operativo. In sostanza, gli autori dell’articolo hanno eseguito un (benevolo) attacco man-in-the-middle.).
La buona notizia è che tutti i dati trasmessi erano cifrati. L’industria sembra finalmente aver superato la piaga di dispositivi, programmi e server che comunicano in chiaro, senza alcuna protezione. Infatti, i ricercatori hanno speso un sacco di tempo e di sforzi per decifrare e analizzare i dati per capire cosa esattamente veniva inviato.
Dopo di che, i ricercatori hanno avuto una navigazione relativamente semplice. Hanno cancellato completamente i dati su ogni dispositivo ed eseguito la configurazione iniziale. Poi, senza accedere a un account Google, hanno lasciato ogni smartphone acceso per alcuni giorni e hanno monitorato il trasferimento dei dati da esso. Successivamente, hanno effettuato l’accesso utilizzando un account Google, abilitato temporaneamente la geolocalizzazione e sono andati nelle impostazioni del telefono. In ogni fase, hanno monitorato quali dati sono stati inviati e dove. Hanno testato un totale di sei smartphone: quattro con il firmware del produttore e due con le versioni open-source di Android LineageOS e /e/OS.
Chi raccoglie i dati?
Non stupisce sapere che i ricercatori hanno riscontrato essere i produttori di smartphone i principali raccoglitori. Tutti e quattro i dispositivi con il firmware originale (e una serie di programmi preinstallati) hanno trasmesso al produttore i dati di telemetria, insieme a identificatori persistenti come il numero di serie del dispositivo. Qui, gli autori dell’articolo delineano i firmware standard dalle build personalizzate.
Per esempio, LineageOS ha un’opzione per inviare dati agli sviluppatori (per monitorare la stabilità operativa dei programmi, per esempio), ma disabilitando l’opzione si ferma la trasmissione dei dati. Sui dispositivi standard di fabbrica, bloccare l’invio di dati durante la configurazione iniziale può effettivamente ridurre la quantità di dati inviati, ma non esclude del tutto la trasmissione di dati.
I prossimi a ricevere dati sono gli sviluppatori di app preinstallate. Anche qui, troviamo una sfumatura interessante: secondo le regole di Google, le app installate da Google Play devono usare un certo identificatore per tracciare l’attività dell’utente, l’Advertising ID di Google. Se volete, potete cambiare questo identificatore nelle impostazioni del telefono. Tuttavia, il requisito non si applica alle app che il produttore preinstalla, che usano identificatori persistenti per raccogliere molti dati.
Per esempio, un’app preinstallata di un social network invia dati sul proprietario del telefono ai propri server, anche se quel proprietario non l’ha mai aperta. Un esempio più interessante: la tastiera di sistema su uno smartphone inviava dati su quali app erano in esecuzione sul telefono. Diversi dispositivi sono venuti con app dell’operatore che hanno raccolto anche informazioni relative all’utente.
Ed infine, le applicazioni di sistema di Google meritano una menzione separata. La stragrande maggioranza dei telefoni arriva con Google Play Services e il Google Play Store, e di solito YouTube, Gmail, Maps, e pochi altri già installati. I ricercatori notano che le app e i servizi di Google raccolgono molti più dati di qualsiasi altro programma preinstallato. Il grafico qui sotto mostra il rapporto dei dati inviati a Google (a sinistra) e a tutti gli altri destinatari della telemetria (a destra):
Quali dati vengono inviati?
In questa sezione, i ricercatori si concentrano nuovamente sugli identificatori. Tutti i dati hanno un qualche tipo di codice unico per identificare il mittente. A volte, si tratta di un codice univoco, che per la privacy è il modo più corretto di raccogliere le statistiche, per esempio, sulla stabilità operativa del sistema, che gli sviluppatori trovano utili.
Tuttavia, ci sono anche identificatori a lungo termine e persino persistenti che violano la privacy dell’utente. Per esempio, i proprietari possono cambiare manualmente il già citato Google Advertising ID, ma pochissimi lo fanno, quindi possiamo considerare l’identificatore, che viene inviato sia a Google che ai produttori del dispositivo, quasi persistente.
Il numero di serie del dispositivo, il codice IMEI del modulo radio e il numero della carta SIM sono identificatori persistenti. Con il numero di serie del dispositivo e il codice IMEI, è possibile identificare l’utente anche dopo un cambio di numero di telefono e un reset completo del dispositivo.
Il trasferimento regolare di informazioni sul modello del dispositivo, la dimensione del display e la versione del firmware del modulo radio è meno rischioso in termini di privacy; quei dati sono gli stessi per un gran numero di proprietari dello stesso modello di telefono. Ma i dati sull’attività dell’utente in certe app possono rivelare molto sui proprietari. Qui, i ricercatori parlano della linea sottile tra i dati necessari per il debug delle app e le informazioni che possono essere utilizzate per creare un profilo utente dettagliato, come per gli annunci mirati.
Per esempio, sapere che un’app sta consumando la durata della batteria può essere importante per lo sviluppatore e andrà a beneficio dell’utente. I dati su quali versioni dei programmi di sistema sono installati possono determinare quando scaricare un aggiornamento, il che è anche utile. Ma se raccogliere informazioni sull’ora esatta di inizio e fine delle telefonate sia utile, o addirittura etico, rimane in dubbio.
Un altro tipo di dati utente che viene spesso riportato è la lista delle app installate. Quella lista può dire molto sull’utente, incluse, per esempio, le preferenze politiche e religiose.
Combinare i dati degli utenti da diverse fonti
Nonostante il loro lavoro accurato, i ricercatori non sono stati in grado di ottenere un quadro completo di come i vari venditori di telefoni e software raccolgono ed elaborano i dati degli utenti. Hanno dovuto fare alcune ipotesi.
Ipotesi 1: i produttori di smartphone che raccolgono identificatori persistenti possono tracciare l’attività dell’utente, anche se l’utente cancella tutti i dati dal telefono e sostituisce la scheda SIM.
Ipotesi due: tutti i partecipanti hanno la capacità di scambiare dati e, combinando ID persistenti e temporanei, e diversi tipi di telemetria, creare il quadro più completo possibile delle abitudini e delle preferenze degli utenti. Come questo accada effettivamente, e se gli sviluppatori si scambino effettivamente i dati, o li vendano a terzi, è al di là dell’ambito dello studio.
Risultati
Il vincitore nominale in termini di privacy è risultato essere il telefono con la variante Android /e/OS, che utilizza il proprio analogo dei Google Play Services e non ha trasmesso alcun dato. L’altro telefono con firmware open-source (LineageOS) ha inviato informazioni non agli sviluppatori, ma a Google, perché i servizi di quest’ultimo erano installati su quel telefono. Questi servizi sono necessari affinché il dispositivo funzioni correttamente, alcune app e molte funzioni semplicemente non sono utilizzabili, o funzionano male, senza Google Play Services.
Per quanto riguarda i firmware proprietari dei produttori popolari, c’è poca differenza. Tutti raccolgono una serie abbastanza grande di dati, citando la cura dell’utente come motivo. Essenzialmente, secondo gli autori, ignorano l’opt-out degli utenti dalla raccolta e l’invio di “dati di utilizzo”. Solo più regolamenti per garantire una maggiore privacy dei consumatori possono cambiare questa situazione, e per ora, solo gli utenti avanzati che possono installare un sistema operativo non standard (con restrizioni sull’uso di software popolari) possono eliminare completamente la telemetria.
Per quanto riguarda la sicurezza, la raccolta di dati di telemetria non sembra comportare rischi diretti. La situazione è radicalmente diversa dagli smartphone di terzo livello, sui quali il malware può essere installato direttamente in fabbrica.
La buona notizia dello studio è che la trasmissione dei dati è abbastanza sicura, il che almeno rende difficile l’accesso agli estranei. I ricercatori hanno specificato un avvertimento importante: hanno testato modelli di smartphone europei con software localizzato. Altrove, a seconda delle leggi e dei regolamenti sulla privacy, le situazioni possono essere diverse.