I telefoni Android spiano i loro utenti: lo studio

Disinstallare le app inutilizzate sugli smartphone Android e disattivare l'opzione di tracciamento nelle impostazioni potrebbe non essere sufficiente per migliorare la propria privacy. L'ultimo studio elaborato dal Trinity College Dublin mette infatti in evidenza uno scenario piuttosto inquietante, seppur non totalmente sconosciuto, e cioè il costante flusso di dati inviato in modo indisturbato e silenzioso dai nostri dispositivi mobili verso aziende terze. L'utente diventerebbe quindi suo malgrado un semplice spettatore, non potendo in qualche modo governare o interferire sul processo.

I ricercatori irlandesi hanno utilizzato alcuni smartphone Android appartenenti a diversi brand (Samsung Galaxy S9, Xiaomi Redmi Note 9, Realme 6 Pro, Huawei P10 Lite e Google Pixel 2) e preso pure in considerazione le piattaforme LineageOS ed /e/, due fork di Android che puntano ad offrire un supporto a lungo termine sui dispositivi più obsoleti e un'esperienza "de-Googlizzata". Come si evince dalla ricerca, tutti i dispositivi erano aggiornati ad Android 10 e proposti in versione europea: soltanto Pixel 2 è stato utilizzato in due varianti, l'una con a bordo la LineageOS e l'altra con il sistema operativo /e/.

Il risultato dell'indagine è piuttosto appariscente: fatta eccezione della piattaforma /e/, tutti gli smartphone Android tracciano gli utenti, inoltrando quantità considerevoli di informazioni in background che dagli sviluppatori del sistema operativo si propagano fino a società terze, come Google, Microsoft, LinkedIn, Facebook e via discorrendo. Nel mirino dei ricercatori dell'ateneo di Dublino ci sono soprattutto i bloatware, vale a dire le applicazioni di sistema che non possono essere disinstallate dalle impostazioni, a meno di ottenere i permessi di root con conseguente sblocco del bootloader e invalidazione della garanzia legale. E tra questi programmi figurano pure app molto importanti per l'utilizzo quotidiano, come quella per l'invio e la ricezione degli SMS e la fotocamera.

Una tabella riepilogativa mostra la tipologia di dati sensibili raccolti dalle singole personalizzazioni al primo avvio: si tratta fondamentalmente di identificatori persistenti, dettagli sull'uso delle app e informazioni telemetriche. Dati dunque tecnici, che se separati non consentono di identificare il proprietario dello smartphone, ma insieme formano una sorta di "impronta digitale" attraverso la quale è possibile rintracciare con buona approssimazione l'identità dell'utente Android.

E questo avviene coinvolgendo nel loro insieme, dati come la SIM, l'IMEI, la cronologia dei dati sulla posizione, l'indirizzo IP e l'SSID della rete. 

Come ribadito qualche riga sopra, tali dati vengono condivisi non soltanto con il produttore, ma anche con società di terze parti. E qui si richiama il caso di SwiftKey, la tastiera preinstallata sullo smartphone Huawei preso a riferimento, la quale invierebbe appunto dettagli sull'utilizzo dell'app a Microsoft. Stesso discorso per LinkedIn, app preinstallata invece sugli smartphone Samsung: in base all'indagine, i dati includerebbero un identificatore unico e il numero di applicazioni Microsoft installate sul dispositivo.

Ma l'elemento che più salta all'occhio nella tabella è la ricorrenza del nome di Google, che ottebberrebbe in quasi tutti i casi i dati condivisi in automatico dallo smartphone Android. Inoltre, alcune app native utilizzano delle cifrature, come miui.analytics di Xiaomi, Hicloud di Huawei e Heytap di Realme, che possono essere decodificate, aprendo quindi la strada ad attacchi man-in-the-middle.

Come sottolineato dallo studio, anche se l'utente ripristina gli identificatori pubblicitari per il proprio account Google su Android, il sistema di raccolta dati è in grado di ricollegare il nuovo ID allo stesso dispositivo e di aggiungerlo quindi alla cronologia di monitoraggio originale.

Non c'è modo purtroppo di migliorare la privacy: non potendo disinstallarle completamente dal proprio smartphone, le app continuerebbero infatti a inviare costantemente il flusso di dati personali in background anche se inutilizzate o addirittura mai aperte. 

In base alle conclusioni della ricerca e come anticipato qualche riga addietro, l'unico a mostrarsi maggiormente attento alla privacy è il il fork di Android /e/, in quanto rimuove tutte le tracce di Google dal sistema operativo, essendo anche distaccato dai produttori. Il disallineamento rispetto a LineageOS (assunto peraltro dal primo come base) si spiega probabilmente nel fatto che in quest'ultimo caso si è scelto di installare i servizi Google tramite OpenGApps, come puntualizzato dalla stessa LineageOS in una nota condivisa a Bleeping Computer.

Anche Google ha voluto rilasciare un commento dopo la pubblicazione dello studio, sentenziando che "è così che funzionano gli smartphone moderni". Secondo quanto riportato infatti dall'azienda americana, la raccolta dei dati riportati nell'indagine risulta "essenziale per garantire il funzionamento dei servizi principali dei dispositivi, come le notifiche push e gli aggiornamenti software". Anche la raccolta di informazioni di base limitate, come l'IMEI di un dispositivo, viene giustificata da Big G come "necessaria per fornire aggiornamenti critici in modo affidabile su dispositivi e app Android".