- 04/12/2020
App e privacy, quanta confusione. Eppure tutti si improvvisano esperti (basti pensare a tutte le illazioni emerse a proposito di Immuni, tanto per citare la cronaca), nonostante la maggior parte di noi non abbia realmente idea di quali e quanti dati vengano raccolti dalle applicazioni che scarichiamo e usiamo ogni giorno.
Se infatti è vero che l'utente fintech è forse in media più consapevole ed è più incline a condividere dati personali finanziari in cambio di un ritorno economico sotto forma di sconti, coupon etc. (così dichiara, ad esempio, il 76% del campione del rapporto di CRIF, SDA Bocconi e Nomisma sull'open banking), è altrettanto acclarato che i dati sono continuamente messi a rischio dai ripetuti tentativi da parte dei malintenzionati di entrare in possesso delle nostre informazioni, sfruttando vulnerabilità presenti nei sistemi informatici.
Come testare la sicurezza
Come procedere? Innanzitutto è bene sapere con chi si ha a che fare, dunque quanti e quali tracker e autorizzazioni sono incorporati nelle app installate sul proprio dispositivo mobile.
Un aiuto per salvaguardare la nostra privacy arriva da Exodus Privacy, un'organizzazione no profit che ha come obiettivo proprio quello di aiutare le persone a comprendere meglio i problemi di tracciamento tramite le applicazioni Android.
Basta andare sul loro sito e inserire il nome della app di cui si vuole cercare il report e in pochi secondi si sapranno quanti e quali tracker e permessi sono presenti nella app. Esiste anche una app Exodus open source per Android, che mostra direttamente i tracker e i permessi delle app installate sul proprio smartphone.
Cosa sono tracker e autorizzazioni
Perché segnalare i tracker e le autorizzazioni? Cerchiamo di capire di cosa si tratta. Il tracker è un software che raccoglie informazioni sulla persona che usa l'applicazione, su come la usa o sullo smartphone che viene utilizzato. I tracker sono solitamente distribuiti dalle aziende che li sviluppano attraverso i cosiddetti SDK (Software Development Kit), una sorta di “cassetta degli attrezzi” che semplifica enormemente la loro integrazione all’interno delle applicazioni. Ce ne sono di diversi tipi che svolgono funzioni diverse: segnalatori di crash, analisi, profilazione, identificazione, ads (per proporre annunci pubblicitari mirati), localizzazione.
Le autorizzazioni sono permessi di accesso al tuo telefono richiesti da un’app per poter funzionare. Possono riguardare varie funzioni o parti di informazioni, come l'accesso alla tua geolocalizzazione, i tuoi contatti, i tuoi file, il tuo microfono, la funzione vibrazione, la fotocamera e così via. Le autorizzazioni vengono suddivise in diversi livelli di protezione da Google: normali, di firma e pericolose.
Le autorizzazioni normali e di firma sono quelle che consentono l’accesso a dati e risorse al di fuori dell'ambiente di test dell'app, senza costituire un effettivo rischio per la privacy dell'utente o per il corretto funzionamento di altre app (ad esempio, l'autorizzazione per impostare il fuso orario). Queste autorizzazioni vengono concesse dal sistema al momento dell'installazione senza chiedere permessi all'utente.
Invece è necessaria l'approvazione esplicita dell'utente per quelle autorizzazioni pericolose che coprono aree in cui l'app richiede dati o risorse che coinvolgono le informazioni private dell'utente o che potrebbero potenzialmente influire sui dati memorizzati dell'utente o sul funzionamento di altre app (ad esempio, la capacità di leggere i contatti dell'utente).
Il minor numero di tracker? Soldo, Qonto e poi Satispay, Revolut e Hype
Abbiamo effettuato l'analisi sui report delle app Android dei servizi presenti nel nostro comparatore di conti correnti digitali e soluzioni fintech. Se prendiamo in analisi i tracker segnalati da Exodus, a conquistarsi il primo posto con zero segnalazioni è Soldo, seguita da Qonto (2 tracker) e quindi da Satispay, Hype e Revolut (3 tracker). Ad avere invece il maggior numero di segnalazioni tracker sono Yap (con 11), poi N26, Wirex e Oval (con 8) quindi Monese (7) e Transferwise (6).
Se analizziamo nel dettaglio le tipologie di tracker segnalate, in Qonto si segnala ad esempio la presenza di Crashlytics (per effettuare crash reporting, trovato da Exodus in 23478 app monitorate) e di Google Analytics (trovato da Exodus in 19.706 applicazioni tra quelle censite). Sono gli stessi due tracker che troviamo anche in Satispay, che evidenzia in più anche la presenza di Kochava (tracker di analytics, profiling e advertising, attivo in 343 app censite da Exodus). Hype, oltre ai due tracker Google già segnalati, ha anche MixPanel (funzione analytics e adv, presente in 1.459 app), mentre Revolut come terzo tracker (oltre ai soliti due), ha Branch (analytics, presente in 1.541 app).
Autorizzazioni pericolose, Qonto ne ha meno di tutti
Per le autorizzazioni i numeri salgono decisamente. Come però spiegato nella parte iniziale, da tenere in considerazione sono solo quelle “pericolose”. Prendendo in esame solo queste ultime, ad averne di meno sono Qonto (con 3), seguita da Soldo, Tink, Transferwise, Wirex (con 5). Seguono in classifica Satispay e N26 (con 6), Oval, Yap e Hype (con 7), poi Monese (8), Bunq (9) e Revolut (10).
Diamo un'occhiata al tipo di pericolo a cui si va incontro. Qonto, ad esempio, tra le 10 autorizzazioni segnalate da Exodus, ne ha 3 valutate come pericolose. Si tratta di “Camera” (accedere e fare foto e video), “Read External Storage” (leggere i contenuti della scheda SD), “Write External Storage” (modificare o cancellare i contenuti della scheda SD).
Soldo invece su 12 autorizzazioni, ne presenta 5 pericolose. Oltre alle due delle precedenti, anche “Access coarse location” (accesso a una localizzazione approssimativa), “Access fine location” (accesso a una localizzazione precisa), “Get accounts” (trovare account sul device).
Transferwise invece, oltre a Camera, Read e Write External Storage, Get accounts, presenta anche Read Contacts (ovvero legge i tuoi contatti).
Come comportarsi per proteggere la propria privacy
Exodus avverte che i suoi report elencano le firme dei tracker trovate da analisi statica nei file APK (file Android Package) analizzati, ma che questo non è una prova di attività di questi tracker. In ogni modo, Exodus consiglia:
- fare sempre attenzione a come si utilizzano le applicazioni (verificando quali e quanti tracker e permessi richiede e domandandosi se vogliamo dare all'applicazione tutti i permessi richiesti o meno);
- dare priorità ad app libere (ovvero le app il cui codice è liberamente consultabile per verificarne il funzionamento);
- utilizzare siti web mobile invece delle app perché permettono di utilizzare componenti aggiuntive del browser web;
- installare blocker di pubblicità.