Perché le app pre-installate sugli smartphone sono un rischio per la privacy

Spesso i programmi già inclusi sui telefoni succhiano dati in maniera indiscriminata e lasciando all’oscuro gli stessi utenti. Perché serve la net neutrality

Navigazione internet via smartphone (Getty Images)

Siamo abituati ad acquistare i nostri smartphone e trovarli subito pronti all’utilizzo con app già pre-installate come quelle per i social network, la suite di Google, o quelle prodotte da Apple per i suoi dispositivi iOs. Oltre a queste, però, diversi modelli di smartphone Android a basso costo offrono anche un vasto ecosistema di app sconosciute e impossibili da disinstallare.

Proprio queste app potrebbero mettere il nostro dispositivo a rischio e, per la loro invasività, limitare il nostro controllo sui dispositivi elettronici. È per questo che oltre alla net neutrality, si sta cominciando a parlare sempre di più anche di device neutrality: non abbiamo infatti solo un problema di discriminazione del traffico dati, ma ci troviamo anche ad essere discriminati nella scelta di ciò che viene installato sui nostri dispositivi, non potendo così utilizzarli a pieno secondo i nostri desideri.

Lettera a Google

Lo scorso 8 gennaio, l’organizzazione britannica Privacy International, attiva nel campo dei diritti digitali, ha inviato insieme ad altri 53 associazioni una lettera aperta all’amministratore delegato di Alphabet, Sundar Pichai, per chiedere che Google affronti seriamente il problema dei cosiddetti “bloatware”—quelle app che vengono generalmente pre-installate sugli smartphone Android e che non è possibile rimuovere o disabilitare.

Grazie al programma Android Partners, i produttori di smartphone possono utilizzare il marchio Android per i propri dispositivi, installare il Google Play Store e le app di Google, e ricevere la certificazione Play Protect da Google stessa. A fianco di queste app, però, sia per diversificare i propri dispositivi rispetto ai concorrenti che per aggiungere ulteriori funzionalità e ricavare guadagni dalle informazioni raccolte, i produttori possono includere tutta una miriade di altre app che non vengono controllate da Google.

Secondo quanto riportato nella lettera di Privacy International, queste app possono introdurre vulnerabilità per gli utenti e raccogliere indiscriminatamente dati senza che vi sia una vera e propria notifica di ciò che sta avvenendo. Quando installiamo un app dallo store riceviamo, per esempio, la richiesta di accordare il consenso per l’accesso alla nostra rubrica o alla nostra videocamera. Nel caso delle app pre-installate, questi consensi non vengono generalmente richiesti.

Giardini murati

Nel 2018, l’autorità delle telecomunicazioni francese, Arcep, aveva pubblicato un report sottolineando come i dispositivi che utilizziamo ogni giorno ci offrono solo una piccola porzione di internet, rinchiudendoci all’interno di giardini murati in cui possiamo utilizzare solo determinate applicazioni già scelte per noi. Pensiamo per esempio al Google Play Store e all’App Store: questi due software sono la porta di ingresso verso internet, e decidono per noi quali app possiamo installare, di fatto costringendo all’oblio tutte quelle che non vengono accettate dalle due aziende.

È anche per questo che alcuni utenti ricorrono al jailbreak dei propri dispositivi iOs o a installare store alternativi, come per esempio lo store F-Droid che include app free e open source. Tra le soluzioni proposte nel report, Arcep sottolinea la necessità di poter disinstallare tutte le app pre-installate sullo smartphone e di prevedere store alternativi o motori di ricerca che possano collegarsi direttamente all’App Store e al Play Store grazie ad Api specifiche.

La device neutrality

Una legge sulla device neutrality è stata già introdotta in Corea del Sud, offrendo la possibilità di disinstallare software che non sia fondamentale per le funzioni primarie degli smartphone e vieta la possibilità di limitare ingiustamente la capacità dei consumatori di installare altri software.

Una legge simile—seppur lievemente depotenziata—era stata proposta anche in Italia nel 2017 ma era purtroppo naufragata e aveva generato il timore infondato della messa al bando dei dispositivi Apple. In realtà la proposta offriva la possibilità di fare con gli smartphone ciò che facciamo giornalmente con i nostri computer: installare software alternativo che troviamo online senza passare per store privati.

La mancanza di norme che proteggano la device neutrality rafforza gli ecosistemi e monopoli tecnologici preesistenti, rischiando anche di mettere a repentaglio l’esistenza di sviluppatori indipendenti. Inoltre, mette anche a rischio la sicurezza degli utenti stessi. Uno studio del 2019 ha sottolineato e riassunto tutti i rischi di queste app pre-installate analizzando 1.742 dispositivi prodotti da 214 diversi venditori. Dei 424.584 firmware analizzati, solo nel 9% dei casi sono state individuate applicazioni già presenti nel Play Store.

Per la maggior parte, si tratta di social network, pubblicità e tracker per analisi e il monitoraggio degli utenti a fini commerciali, e raccolta di dati tra cui quelli sulla posizione e metadati delle comunicazioni e utilizzo delle app. Inoltre, i ricercatori hanno anche individuato alcuni campioni di malware già noti che possono eseguire installazione silenziose di app o commettere frodi pubblicitarie.

Malware inclusi nel prezzo

I rischi per la sicurezza informatica dei dispositivi sono molto concreti: lo scorso 9 gennaio, i ricercatori dell’azienda di sicurezza Malwarebytes hanno individuato due malware pre-installati su smartphone che vengono venduti a 35 dollari nell’ambito di un programma finanziato dal governo statunitense. Entrambi i malware erano inclusi sotto forma di app pre-installate per le Impostazioni e i Wireless Update.

Non solo quindi, come suggerisce anche Privacy International, è indispensabile che gli utenti possano disattivare programmi che girano in background nello smartphone, ma diventa cruciale anche l’azione stessa di Google, che deve analizzare con maggior cura le app introdotte dai produttori e deve prevedere dei meccanismi di aggiornamento delle stesse. “Google dovrebbe rifiutare di certificare un dispositivo per motivi di privacy, dal momento in cui i produttori o i distributori dello smartphone hanno tentato di sfruttare gli utenti in questi modi,” si legge nella lettera aperta di Privacy International.

Senza le garanzie della device neutrality rischiamo quindi di trovarci a vivere in un mondo digitale prestabilito dalle grandi aziende e di essere vittime di violazioni sistematiche della nostra privacy a cui non possiamo nemmeno opporci, rimanendo completamente all’oscuro di questi meccanismi.

Fonte : Wired