Una nuova versione di Facebook per Android ha attirato l’interesse dell’opinione pubblica perché, tra i vari permessi richiesti, vi è anche quello di accedere agli SMS degli utenti. La preoccupazione sulla salvaguardia della privacy cresce ogni giorno di più. Gli sviluppatori hanno una spiegazione ragionevole per questa scelta, che non è comunque esente da critiche.
Qualsiasi proprietario di uno smartphone Android sa che, prima di scaricare un’app da Google Play, deve dare una serie autorizzazioni. Ogni consenso garantisce all’applicazione l’accesso ad alcune risorse dello smartphone. Se l’utente non vuole che l’app utilizzi la geolocalizzazione mediante GPS o che possa avere accesso ai contatti della rubrica, può decidere di non voler più installare l’app. Non ci sono funzionalità specifiche per annullare le autorizzazioni concesse di un’app ormai installata. La maggior parte degli utenti non si ferma a leggere l’elenco delle autorizzazioni (elenco lungo e noioso come un accordo di licenza, bisogna ammetterlo) e clicca direttamente su “Installa”. Coloro che invece leggono prima di accettare, potrebbero scoprire che, come ciliegina sulla torta, alcune app possono accedere agli SMS dell’utente. L’app di Facebook, di fatto, ha bisogno di accedere praticamente a qualsiasi risorsa dello smartphone.
Google avvisa l’utente che l’app di Facebook richiede autorizzazioni per:
Registrare audio, video e scattare foto;
Effettuare chiamate telefoniche, leggere SMS/MMS;
Individuare la geolocalizzazione dell’utente, aggiungere/modificare eventi del calendario;
Avere accesso ai contatti e al registro chiamate;
Controllare gli account dell’utente, modificare i contenuti della scheda SD;
Avere accesso allo status e all’identità del telefono.
Facebook ha dichiarato che l’accesso agli SMS è necessario per questioni di sicurezza. Se l’utente decide di attivare l’autenticazione a doppio fattore per il suo account, prima deve inserire la password e poi un codice di sicurezza che viene inviato via SMS durante il login. Per agevolare il processo, mediante una nuova app, si può inserire direttamente il codice inviato via SMS senza doverlo memorizzare e poi inserirlo a mano. È una pratica abbastanza comune, anche Whatsapp utilizza la stessa prassi per collegare il numero di telefono alla app.
In realtà c’è una sostanziale differenza tra le app di Facebook e Whatsapp: quest’ultima ha adottato la politica di non inserire pubblicità o di non salvare dati personali, mentre Facebook guardagna in parte grazie alla pubblicità personalizzata e all’analisi dei dati. È abbastanza comprensibile, quindi, che gli utenti non siano contenti nel sapere che Facebook vuole impossessarsi di ulteriori dati, soprattutto poi se viene impiegato un linguaggio piuttosto evasivo nella pagina di supporto. Gli sviluppatori spiegano a cosa servono determinate autorizzazioni; tuttavia, il loro elenco è incompleto e ogni autorizzazione può servire per diverse operazioni.
Tutto ciò non è affatto rassicurante. David Emm di Kaspersky Lab esprime chiaramente la sua preoccupazione: “Non è necessario che l’iter dell’autenticazione a doppio fattore venga eseguito automaticamente. Facebook potrebbe semplicente spingere l’utente a digitare il codice manualmente o, al massimo, lasciar decidere se eseguire l’operazione in automatico o meno. Si tratterebbe di una funzionalità semplice e corretta che, data la crescente preoccupazione per la privacy online, tranquillizzerebbe almeno un po’ gli utenti”.