Un vecchio codice di Twitter ha svelato la posizione di milioni di utenti

Un kit di sviluppo software del social network utilizzato da alcune app per monetizzare gli annunci pubblicitari non proteggeva i dati sulla geolocalizzazione

Alcune applicazioni che utilizzano un codice obsoleto di proprietà di Twitter stanno esponendo i dati delle posizioni dei loro utenti. Le app in questione includono Beach Cricket con oltre 5 milioni di installazioni, due app delle Pagine gialle statunitensi con una base combinata di oltre 2 milioni di utenti, un’app per il monitoraggio della crescita del bambino con 1 milione di utenti e poche altre app che hanno all’attivo tra le 5mila e le 500mila installazioni.

Al centro del problema sta l’importante ruolo che riveste il kit di sviluppo software (Sdk) MoPub di proprietà Twitter.

Gli Sdk vengono spesso utilizzati dagli sviluppatori per integrarli nelle loro app al fine di monetizzare l’attività tramite annunci pubblicitari. Purtroppo, se vengono aggiunti in modo sciatto o non vengono aggiornati, c’è il rischio che gli utenti finali possano incappare in esposizioni dei loro dati personali. In questo caso quelli relativi alla posizione.

Il problema è stato identificato dall’International digital accountability council (Idac), un’associazione senza scopo di lucro votata alla scoperta dei comportamenti scorretti nell’ecosistema digitale. Idac ha scoperto che le applicazioni monetizzavano attraverso MoPub, che raccoglie informazioni sulla posizione degli utenti in modo da aiutare a fornire annunci mirati.

L’Idac ha notato che una ricerca effettuata da Kaspersky nel 2018 sottolineava che alcuni Sdk, tra cui MoPub, trasferivano i dati delle posizioni degli utenti senza crittografarli. Analizzando le applicazioni interessate l’onlus ha effettivamente verificato l’assenza di protezioni digitali durante l’invio dei dati sensibili sulla posizione.

Idac ha scoperto che MoPub continua a utilizzare le versioni precedenti del protocollo, confermando che Twitter supporta un meccanismo non protetto di invio di informazioni precise sulla posizione gps per, potenzialmente, milioni di installazioni di app”, si legge in un comunicato stampa dell’onlus.

Immediata la risposta di Twitter, che ha preso le distanze da tutte le versioni di MoPub precedenti alla 5.3 per via di questo bug. Inoltre la piattaforma ha specificato che, essendo open source, gli stessi sviluppatori di app sono in grado di modificare l’Sdk e inviare dati crittografati, se lo desiderano.

Fonte : Wired