Privacy delle App: facciamo attenzione

Nel mio smartphone non c’è l’applicazione Facebook Messenger, e non ci sarà mai. Perché questa scelta così drastica? Lo spiego in questo articolo, grazie anche alle nuove regole che Apple ha imposto alle applicazioni che entrano nell’App Store.

In un mio precedente articolo “WhatsApp e sistemi di messaggistica istantanea: ci possiamo fidare?” ponevo la domanda: Quanto le applicazioni di Messaggistica Instantanea (IM) sono sicure? E soprattutto quali sono le più adatte per difendere la nostra privacy?
Ora è più facile dare una risposta a questa domanda, da quando Apple ha introdotto per tutti gli sviluppatori che producono applicazioni l’obbligo di indicare come ogni applicazione gestisce i dati degli utenti.
Queste informazioni devono essere fornite obbligatoriamente a partire dall’8 dicembre 2020: dopo tale data, ogni nuova app o aggiornamento per poter essere ammesso nell’App Store dovrà contenere le “etichette sulla privacy”. Qualcosa di abbastanza simile alle etichette nutrizionali presenti sulle confezioni degli alimenti.
Queste etichette privacy sono visibili nell’App Store e possono essere esaminate dall’utente prima dello scaricamento di un app e del suo utilizzo. Con questa opportunità (che consiglio caldamente di non trascurare!) diventa possibile decidere se la privacy che l’applicazione intende applicare è appropriata per le nostre esigenze e preferenze.
E potremo decidere – in modo consapevole – se e quanto siamo disposti a concedere all’app in termini di privacy e di conoscenza (ed ovviamente di utilizzo, non dimentichiamolo!) dei nostri dati.

Abbiamo esaminato le “Privacy dell’app” su App Store

Abbiamo preso in considerazione le applicazioni di Instant Messaging (quelle trattate nel citato nostro articolo “WhatsApp e sistemi di messaggistica istantanea: ci possiamo fidare?”) perché sono le app maggiormente scaricate dagli utenti di tutto il mondo ed anche quelle che possono risultare più invadenti in termini di privacy.

Come si leggono le etichette privacy che ogni app pubblica nell’App Store di iOS

Lo spiega questa pagina di Apple: https://support.apple.com/en-us/HT211970.
I dati che vengono trattati sono suddivisi nelle seguenti categorie principali:

  • Data Used to Track You (Dati utilizzati per monitorarti): per esempio la posizione, i contatti, foto o video, ecc.
  • Data Linked to You (Dati collegati a te): per esempio informazioni di contatto (email, nome, numero di telefono, ecc.), la cronologia di navigazione e quella degli acquisti, l’ID del dispositivo o dell’utente, i dati di utilizzo, ecc. 
  • Data not Linked to You (Dati non collegati a te o alla tua identità): per esempio i dati sulle prestazioni, quelli per la diagnostica dell’app, ecc.

Questi dati non sono – evidentemente – tutti uguali in termini di privacy, quindi dovranno essere valutati con un peso diverso a seconda della loro tipologia. 
Esaminiamo per prime le app che nell’articolo abbiamo indicato come più sicure: Signal, Wickr, Wire e Threema.

Cliccare su un’etichetta per espanderla

Come si può vedere, Signal utilizza solo il numero di telefono e non lo collega comunque all’identità della persona. Inoltre i numeri di telefono – necessari per la funzionalità dell’app – vengono trasmessi al server in forma crittografata. Quindi non traccia gli utenti.

Anche Wickr ha un comportamento molto “discreto”: come abbiamo scritto nell’articolo già menzionato, è tra le più sicure, assieme a Signal. Soprattutto vediamo la presenza solo di “Dati non collegati a te”.

Appena più invasive risultano Wire, Threema ed anche la stessa Telegram.

Una menzione a parte merita Silent Phone (di Silent Circle) che non raccoglie proprio nessun dato, perché utilizza il protocollo ZRTP (ove “Z” si riferisce al suo inventore, Zimmermann, mentre “RTP” significa Real-time Transport Protocol). Tuttavia il suo costo di 9,95 $ al mese lo rendono un prodotto molto poco diffuso.

Confide e WeChat (l’app di messaggistica più diffusa in Cina ed utilizzata da oltre un miliardo di cinesi in tutto il mondo) utilizzano una quantità di dati più ampia.

Apple fornisce anche la scheda della sua app iMessage (Messaggi): questa scheda non si trova su App Store, essendo l’app integrata in iOS. Si può consultare in questa pagina: https://support.apple.com/it-it/HT211975 che è stata inserita evidentemente per porre le app di Apple sullo stesso piano di quelle degli altri sviluppatori. Infatti l’obbligo delle etichette privacy ha sollevato molte rimostranze da parte di alcuni sviluppatori, che hanno visto questo come un’imposizione da parte di Apple, per penalizzare le app non-Apple.
Lo sviluppatore che più di tutti ha cercato di contrastare queste nuove regole è stato Facebook, che ha apertamente accusato Apple di comportamento anticoncorrenziale. Quando esamineremo le etichette delle app di Facebook sarà più chiaro il motivo di questa reazione che si è manifestata con campagne anche sulla stampa. 

Comunque da quello che si può vedere nella scheda, iMessage risulta piuttosto discreta: dei dati collegati all’utente memorizza solo il numero di cellulare, la cronologia di ricerca, l’ID del dispositivo e l’indirizzo email.

Infine vediamo le due principali app di messaggistica prodotte da Facebook: WhatsApp e Messenger. Queste trattano una notevole quantità di dati dell’utente e – da non sottovalutare – questi dati sono soprattutto relativi alla categoria “Dati collegati a te”.

Ma se per WhatsApp i dati indicati nell’etichetta privacy sono già molti, quelli trattati da Facebook Messenger sono una quantità impressionante: oltre 70 informazioni vengono raccolte dall’app compresa la posizione precisa dell’utente, l’indirizzo, foto, video, audio, la cronologia web e molti altri tipi di dati, classificati sotto la generica sezione “Altri scopi”.
In fondo ad ogni sezione compare poi la voce “Altri dati”, una definizione non certo trasparente dietro la quale si possono celare dati di molti tipi. Come si può vedere nelle immagini sottostanti, l’elenco è talmente lungo da richiedere due pagine per essere mostrato per intero.

Facebook Messenger, prima parte dell’etichetta privacy
Facebook Messenger, seconda parte dell’etichetta privacy

Ora risulterà più chiara al lettore l’affermazione con cui abbiamo aperto l’articolo: “Facebook Messenger non c’è e non entrerà mai nel mio smartphone”. Ma per fare questa scelta non c’era bisogno di leggere le etichette privacy, solo da poco tempo introdotte… Bastava leggere l’End-user license agreement (EULA) che ogni app ci mostra quando la apriamo per la prima volta. Ed evitare di cliccare frettolosamente su tutti le voci “Accetto” che ci vengono presentate!

In questa immagine possiamo vedere un confronto diretto di quali dati della tipologia “Data Linked to You“, che sono quelli più importanti per la privacy di noi utenti, sono trattati da alcune delle applicazioni più diffuse.

Vediamo che mentre tutti i dati di WhatsApp sono classificati come “Data Linked to You”, Signal non ne tratta nessuno, mentre per iMessage gli unici dati collegati all’identità di un utente sono l’indirizzo e-mail, il numero di telefono, l’ID del dispositivo e la cronologia delle ricerche. Secondo Apple, “dati collegati a te” significa che “i dati sono raccolti in un modo che è collegato alla tua identità, come il tuo account, il tuo dispositivo o i tuoi dettagli. Dichiarando che i dati sono raccolti ma non collegati a te, uno sviluppatore deve utilizzare protezioni per la privacy come la rimozione di qualsiasi identificatore diretto.”


Aggiungiamo, per concludere questa analisi sulla privacy delle app di messaggistica, che il trattamento dei dati fatto da WhatsApp potrebbe peggiorare (per l’utilizzatore). Proprio in questi primi giorni del 2021 è comparsa sugli smartphone di chi usa WhatsApp una comunicazione che modifica sia i termini di servizio che le politiche sulla privacy di WhatsApp.
Lo scopo è fin troppo evidente: garantire una sempre maggiore integrazione del servizio di messaggistica istantanea con la casa madre Facebook (che ha acquistato WhatsApp nel 2014 per 19 miliardi di dollari e che ovviamente intende mettere a frutto questo ingente investimento). Le nuove condizioni non sono negoziabili: l’utente dovrà accettarli entro l’8 febbraio o non potrà più usare WhatsApp.
In realtà la condivisione dei dati con le molte altre applicazioni di Facebook (Instagram, Boomerang, Messenger, Thread, ecc.) verrà applicata solo agli utenti che non risiedono in Europa.
Whatsapp ha precisato che per gli utenti della regione europea e del Regno Unito non cambierà niente. Un portavoce di WhatsApp ha dichiarato che “Non condividiamo i dati degli utenti dell’area europea con Facebook allo scopo di consentire a Facebook di utilizzare tali dati per migliorare i propri prodotti o le proprie pubblicità”.
Evidentemente hanno dovuto fermarsi di fronte alle regole imposte dal GDPR (il Regolamento Europeo sulla Protezione dei Dati). Ma è facile supporre che si tratti di uno stop solo temporaneo…
Questa discutibile mossa di WhatsApp ha messo le ali a Signal che in questi giorni sta registrando un vertiginoso aumento di utenti, al punto che l’account Twitter @signalapp ha invitato i nuovi iscritti ad avere pazienza per qualche ritardo che si sta verificando “because so many new people are trying to join Signal right now”.

Inoltre l’iniziativa di WhatsApp (che rischia di trasformarsi in un clamoroso “autogol”) ha allarmato il Garante Privacy che il 14 gennaio 2021 ha definito poco chiara l’informativa data da WhatsApp agli utenti: “Il messaggio con il quale Whatsapp ha avvertito i propri utenti degli aggiornamenti che verranno apportati, dall’8 febbraio, nei termini di servizio – in particolare riguardo alla condivisione dei dati con altre società del gruppo – e la stessa informativa sul trattamento che verrà fatto dei loro dati personali, sono poco chiari e intelligibili e devono essere valutati attentamente alla luce della disciplina in materia di privacy. Per questo motivo il Garante per la protezione dei dati personali ha portato la questione all’attenzione dell’Edpb, il Board che riunisce le Autorità privacy europee. Il Garante ritiene che dai termini di servizio e dalla nuova informativa non sia possibile, per gli utenti, evincere quali siano le modifiche introdotte, né comprendere chiaramente quali trattamenti di dati saranno in concreto effettuati dal servizio di messaggistica dopo l’8 febbraio. Tale informativa non appare pertanto idonea a consentire agli utenti di Whatsapp la manifestazione di una volontà libera e consapevole. Il Garante si riserva comunque di intervenire, in via d’urgenza, per tutelare gli utenti italiani e far rispettare la disciplina in materia di protezione dei dati personali.”

Aggiornamento al 1° giugno 2021: WhatsApp ci ha ripensato e, almeno per il momento, non imporrà alcuna limitazione delle funzionalità agli utenti che dallo scorso 15 maggio non hanno ancora accettato la nuova informativa privacy. La data del 15 maggio era stata indicata da WhatsApp come termine ultimo per accettare i nuovi termini di servizio voluti da Facebook/WhatsApp.
La minaccia era evidente: per chi non avesse accettato le nuove regole, ci sarebbe stato il blocco progressivo delle funzionalità.
WhatsApp torna dunque sui suoi passi annunciando che, almeno per ora, gli utenti potranno continuare ad utilizzare il proprio account senza alcuna limitazione.
Ne ho parlato in questa intervista su Cybersecurity360.

Una regola fondamentale per tutelare la nostra privacy quando usiamo le app

È bene sapere che nei sistemi operativi dei dispositivi mobili (Android e iOS) le applicazioni non hanno accesso all’intero sistema operativo ed a tutti i dati presenti sullo smartphone. Possono accedere solo a quella parte di dati necessari al loro funzionamento e a quelli per i quali siamo noi che gli concediamo il permesso di accedere
Ma non sempre quando si utilizza una app ci si preoccupa della propria privacy e quindi – per pigrizia e fretta – si concedono all’app tutti i permessi che questa richiede con l’EULA. 
Una app può richiedere accesso alle immagini, ai contatti in rubrica, ai dati sulla geolocalizzazione, al microfono, alla fotocamera, ecc.
Chiediamoci se questi accessi (che siamo noi a concedere all’app) sono realmente necessari per il suo funzionamento. 
Per quale motivo un’app che fatta per ritoccare foto dovrebbe avere accesso ai nostri contatti? Se ci facciamo questa domanda, non dovremo aver timore di negare all’app un permesso immotivato.
E se una app richiede obbligatoriamente accesso a dati e funzionalità non strettamente necessari rispetto ai servizi offerti, evitiamo di installarla ed eliminiamola dal nostro dispositivo. Potrebbe essere un’app che fa un uso non corretto dei dati che ci richiede!
Consideriamo inoltre che il principale vettore di malware nei dispositivi mobili sono proprio le app: il malware viene veicolato all’interno di un’app che lo contiene e che qualcuno potrebbe scaricare senza prestare la giusta attenzione. 
Quindi: 

  1. scarichiamo le app solo dagli store ufficiali (Play Store per Android e App Store per iOS), 
  2. leggiamo le recensioni che l’app presenta, prima di scaricarla,
  3. poi, una volta installata, facciamo in modo di essere sempre attenti e parsimoniosi nel concedere i permessi d’accesso.

I suggerimenti del Garante per tutelare la tua privacy quando usi delle app

Su questo tema il Garante della Privacy ha pubblicato recentemente (ottobre 2020) una pratica guida “APProva di privacy” per invitarci ad un utilizzo più consapevole (e meno distratto) delle applicazioni per dispositivi mobili. 
Un documento breve, ben illustrato e di facile lettura, che consiglio di consultare.


© Copyright 2021 Giorgio Sbaraglia
All rights reserved.

Questa immagine ha l'attributo alt vuoto; il nome del file è by-nc-nd.eu_-300x105.png

Quest’opera è distribuita con Licenza Creative Commons Attribuzione – Non commerciale – Non opere derivate 4.0 Internazionale.


Lascia un commento