Google sta chiudendo una scappatoia che ha consentito a migliaia di aziende di monitorare e vendere dati personali sensibili da smartphone Android, uno sforzo accolto favorevolmente dagli attivisti per la privacy sulla scia della decisione della Corte Suprema degli Stati Uniti di porre fine al diritto costituzionale delle donne all’aborto.
Venerdì ha anche compiuto un ulteriore passo per limitare il rischio che i dati degli smartphone possano essere utilizzati per controllare le nuove restrizioni sull’aborto, annunciando che cancellerà automaticamente la cronologia delle posizioni sui telefoni che sono stati vicini a un luogo medico sensibile come una clinica per aborti.
Le mosse della società della Silicon Valley arrivano tra i crescenti timori che le app mobili vengano utilizzate dagli stati statunitensi per controllare le nuove restrizioni sull’aborto nel paese.
Le aziende hanno precedentemente raccolto e venduto informazioni sul mercato aperto, inclusi elenchi di utenti Android che utilizzano app relative al monitoraggio del periodo, alla gravidanza e alla pianificazione familiare, come Planned Parenthood Direct.
Nell’ultima settimana, ricercatori e difensori della privacy hanno chiesto alle donne di eliminare le app di monitoraggio del ciclo dai loro telefoni per evitare di essere rintracciate o penalizzate per aver preso in considerazione l’aborto.
Il gigante della tecnologia statunitense ha annunciato lo scorso marzo che avrebbe limitato la funzionalità, che consente agli sviluppatori di vedere quali altre app sono installate ed eliminate sui telefoni delle persone. Quel cambiamento doveva essere implementato la scorsa estate, ma la società non è riuscita a rispettare tale scadenza citando la pandemia tra le altre ragioni.
La nuova scadenza del 12 luglio scatterà poche settimane dopo il ribaltamento di Roe vs Wade, una sentenza che ha messo in luce come le app degli smartphone potrebbero essere utilizzate per la sorveglianza da parte degli stati americani con nuove leggi anti-aborto.
“È atteso da tempo. Ai broker di dati è stato vietato l’utilizzo dei dati secondo i termini di Google per molto tempo, ma Google non ha creato salvaguardie nel processo di approvazione delle app per rilevare questo comportamento. L’hanno semplicemente ignorato”, ha affermato Zach Edwards, un ricercatore indipendente di sicurezza informatica che ha indagato sulla scappatoia dal 2020.
“Quindi ora chiunque disponga di una carta di credito può acquistare questi dati online”, ha aggiunto.
Google ha dichiarato: “Nel marzo 2021, abbiamo annunciato che avevamo pianificato di limitare l’accesso a questa autorizzazione, in modo che solo le app di utilità, come le app di ricerca dei dispositivi, antivirus e di gestione dei file, possano vedere quali altre app sono installate su un telefono”.
Ha aggiunto: “La raccolta di dati sull’inventario delle app per venderli o condividerli a fini di analisi o monetizzazione degli annunci non è mai stata consentita su Google Play”.
Nonostante l’uso diffuso da parte degli sviluppatori di app, gli utenti rimangono all’oscuro di questa funzione nel software Android: un’interfaccia di programmazione o API progettata da Google, nota come “Query tutti i pacchetti”. Consente alle app, o frammenti di codice di terze parti al loro interno, di interrogare l’inventario di tutte le altre app sul telefono di una persona. La stessa Google ha definito questo tipo di dati ad alto rischio e “sensibili” ed è stato scoperto che vengono venduti a terzi.
Ricercatori ho trovato che gli inventari delle app “possono essere utilizzati per dedurre con precisione gli interessi e le caratteristiche personali degli utenti finali”, inclusi sesso, razza e stato civile, tra le altre cose.
Edwards ha scoperto che un mercato di dati, Narrative.io, vendeva apertamente dati ottenuti da intermediari in questo modo, inclusi smartphone che utilizzavano Planned Parenthood e varie app di monitoraggio del periodo.
Narrative ha affermato di aver rimosso i dati dell’app per il monitoraggio della gravidanza e le mestruazioni dalla sua piattaforma a maggio, in risposta alla bozza trapelata che delineava l’imminente decisione della Corte Suprema.
Un’altra società di ricerca, Pixalate, ha scoperto che le app consumer, come una semplice app meteo, eseguivano bit di codice che sfruttavano la stessa funzionalità di Android e raccoglievano dati per un’azienda panamense con legami con appaltatori della difesa statunitensi.
Google ha affermato che “non vende mai i dati degli utenti e Google Play vieta rigorosamente la vendita dei dati degli utenti da parte degli sviluppatori. Quando scopriamo violazioni, agiamo”, aggiungendo che aveva sanzionato più società che si ritiene stiano vendendo i dati degli utenti.
Google ha affermato che limiterà la funzione Interroga tutti i pacchetti solo a coloro che la richiedono dal 12 luglio. Gli sviluppatori di app dovranno compilare una dichiarazione in cui spieghino il motivo per cui hanno bisogno dell’accesso e notificarlo a Google prima della scadenza in modo che possa essere verificato.
“Gli usi ingannevoli e non dichiarati di queste autorizzazioni possono comportare la sospensione della tua app e/o la chiusura del tuo account sviluppatore”, ha avvertito la società.