Immagine: Flickr/Jeff Wilcox
Non dovrebbe suscitare stupore che la maggior parte delle applicazioni per cellulari effettuino una qualche sorta di analisi del comportamento degli utenti. Ma Facebook Messenger, l'applicazione per iOS, traccia apparentemente un po' di più di quello che gli utenti probabilmente si aspettano.Il ricercatore per la sicurezza, Jonathan Zdziarski, ha smontato il binario iOS di Facebook Messenger e ha dichiarato su Twitter che "Messenger ha più codici spyware dei prodotti specifici per la sorveglianza aziendale."In una mail, Zdziarski mi ha detto che Messenger sta praticamente registrando tutto ciò che un utente può fare all'interno dell'applicazione, da cosa e dove tocca, a quanto spesso tiene il dispositivo verticalmente oppure orizzontalmente, compreso il tempo trascorso su Messenger rispetto al tempo che quest'app trascorre in esecuzione in background.Tutto questo, in parte, rientra nel normale processo di sviluppo di un'applicazione. Ma ci sono cose che Zdziarski ha scoperto, che destano una maggiore preoccupazione e il cui scopo è meno chiaro."[Facebook] utilizza alcune API private che non sapevo fossero disponibili all'interno della sandbox; è in grado di estrarre il vostro SSID WiFi (che potrebbe servire a sapere su quali reti WiFi vi siete connessi) e anche d'intercettare l'elenco dei processi del dispositivo," ha scritto.Zdziarki sostiene di aver lavorato per aziende che realizzano software di sorveglianza, ma che non pensava che questo livello fosse possibile da raggiungere.Tuttavia, alcune di queste funzioni, che hanno nomi come "global Provider Map Data" e "is Head Publisher," non hanno un impiego molto chiaro, e soprattutto non si capisce perché dovrebbero giustificare una minaccia di denuncia, che sia uno scherzo o meno.Zdziarski ha affermato che "smanettarci per due ore non fornirà conclusioni significative… ma ci sono un sacco di codici che suggeriscono che Facebook analizzi quasi tutto l'analizzabile."Facebook si è rifiutato di fornire qualsiasi risposta ufficiale, ma un portavoce mi ha segnalato le risposte di uno degli sviluppatori di Messenger, Lucy Zhang, che ha risposto a Zdziaski via Twitter, affermando "che probabilmente non è una sorpresa che utilizziamo strumenti di analisi per rendere l'applicazione più veloce e più efficiente."Ad esempio, alla luce del fatto che gli utenti usavano spesso gli adesivi, il team si è "focalizzato su quella caratteristica, affinché l'utente possa inviarli con un numero minore di tocchi."Anche se non è fuori dal comune che gli sviluppatori di applicazioni eseguano tutti i tipi di analisi sui loro utenti per monitorare gli utilizzi dell'applicazione, è spesso poco chiaro quanti dati siano in grado di raccogliere, ammesso che venga specificato che tipo di dati siano raccolti. Anche quando le applicazioni sono in anticipo sulle autorizzazioni, come nel caso di Facebook Messenger per Android, c'è ancora una mancanza di chiarezza su determinate autorizzazioni. Facebook ha affrontato il colpo dell'applicazione Messenger per Android nel mese di agosto, quando gli utenti si sono chiesti perché l'applicazione richiedesse l'accesso a fotocamera, microfono, messaggi di testo del proprio dispositivo. Tutti avevano pensato, naturalmente, al peggio.La ragione si è rivelata relativamente benigna, ma la preoccupazione dovrebbe servire a ricordare che non è più sufficiente che un'applicazione chieda semplicemente l'accesso alle funzioni del telefono senza spiegazioni. Forse fa ancora tutto parte dello shock post-Snowden, ma è comunque il caso che gli sviluppatori di Facebook, così come i proprietari dell'Apple store e di Google, spieghino il motivo per cui è necessario questo accesso e come verrà utilizzato."In ultima analisi, la questione è se vi fidate o meno di Facebook,le capacità tecniche per curiosare su di voi e sul vostro dispositivo ce le hanno di sicuro", ha scritto Zdziarski.AGGIORNAMENTO: Dopo la pubblicazione di questo articolo, Facebook, che inizialmente si era rifiutato di commentare, ha risposto così:"Queste accuse sono del tutto ingiustificate. La privacy è fondamentale per il nostro approccio con Messenger e, come ogni sviluppatore, analizziamo le tendenze di utilizzo per rendere le nostre applicazioni migliori, più veloci ed efficienti. Ad esempio, quando abbiamo notato che le persone stavano usando un sacco di adesivi, abbiamo modificato l'applicazione in modo che gli utenti potessero inviarli con pochi tocchi."
Pubblicità
Ho chiesto all'esperto di sicurezza Ashkan Soltani, via mail, se il rapporto di Facebook con le applicazioni Apple aventi l'account utente direttamente su iOS potrebbe fornire l'accesso di Facebook ad API private. Soltani mi ha risposto di sì.Molte righe all'interno del binario, scoperte da Zdziarski, contengono anche una frase minacciosa, ["NON_USARE_O_SARAI_FRITTO"]. L'hacker di iPhone Chpwn (anche noto come Grant Paul) che ora lavora per Facebook, è intervenuto su Twitter attribuendosi la responsabilità della denominazione delle righe, aggiungendo "è tutto uno scherzo".Messenger ha più codici spyware dei prodotti specifici per la sorveglianza aziendale.
Pubblicità