GUARDA QUIhttps://www.accademiaitalianaprivacy.it/assets/images/immagineFB.jpg

Dettaglio news
Servizi VPN per Android: oltre il 62% richiede permissioni invadenti e superflue.


giovedì 14 marzo 2019
di s-mart.biz



 

Il ricercatore di sicurezza John Mason, esperto di privacy e servizi di Virtual Private Network, qualche tempo fa ha rivelato un dato molto interessate, ovvero che la maggior parte dei servizi VPN gratuiti forniti dalle big corporation raccolgono moltissimi (ok, forse è il caso di dire troppi) dati degli utenti. Così Mason ha deciso di approfondire ulteriomente il tema, analizzando il comportamento rispetto alla privacy degli utenti delle più diffuse e popolari VPN per Android, sia gratuite che a pagamento: il risultato, lo scrive lui stesso, è stato scioccante.

Il 62% delle App VPN per Android richiede permissioni pericolose
Quando ci si approccia al tema dell'abuso dei dati, specialmente nell'ambito dei dispositivi mobile, è importante individuare per prima cosa quale sia il problema reale e, nel mondo mobile, tutto ruota attorno al tema delle permissioni che gli utenti concedono alle app VPN quando queste vengono installate sul dispositivo. La documentazione ufficiale degli sviluppatori Android classifica le permissioni concesse alle app in due categorie:

  • permissioni normali, richieste perchè necessarie per il funzionamento di una app;
  • permissioni pericolose, ovvero che mettono a repentaglio la privacy degli utenti e, spesso, non sono neppure necessarie al corretto funzionamento delle app (almeno per gli scopi apertamente dichiarati).

Contestualizzato il tema, vediamo i risultati degli studi di Mason: sono state oltre 82 le app VPN più popolari poste in analisi. I risultati sono impressionanti: oltre il 62% di queste app VPN richiede permissioni pericolose che non sono assolutamente necessarie per il corretto funzionamento dell'app e per i compiti per i quali viene presentata. Se già questo è grave, ancora più grave è che anche i servizi VPN a pagamento non fanno eccezione, anzi (la lista delle app VPN incriminate, con le relative permissioni richieste, è consultabile qui)

Che tipi di permissioni vengono richieste da queste app?
Eccone alcuni esempi:

  • permissione WRITE_EXTERNAL_STORAGE -
    consente ad un'app di scrivere sulla memoria esterna (ad esempio la scheda SD;
  • permissione READ_EXTERNAL_STORAGE -
    permette ad un'app di leggere i dati contenuti sulla memoria esterna (ad esempio la scheda SD);
  • permissione READ_PHONE_STATE -
    consente l'accesso di sola lettura allo stato del telefono, inclusi il numero di telefono, le informazioni sulla rete e lo stato di ogni chiamata in entrata e uscita;
  • permissione ACCESS_COARSE_LOCATION e ACCESS_FINE_LOCATION -
    consentono ad un'app di geolocalizzarti;
  • permissione ACCESS_WIFI_STATE -
    consente ad un'app di avere accesso alle informazioni relative alle reti Wi-Fi;

E' consigliabile non usare più questi servizi VPN?
Non necessariamente, spiega Mason: ad esempio, alcune delle VPN citate nello studio, e che sono tra le migliori in circolazione, sono state citate in giudizio proprio dall'FBI e il procedimento ha dimostrato che non c'è stato abuso dei dati raccolti. Tuttavia le autorizzazioni che molte di queste richiedono sono del tutto inopportune e non necessarie al funzionamento delle app, quindi, tecnicamente, non v'è ragione di richiederle. Fatto dimostrato dall'evidenza che alcune famose VPN (ExpressVPN, ProtonVPN, CyberGhost per fare alcuni esempi) non richiedono alcuna permissione eccessiva o pericolosa e sono perfettamente funzionanti.

Insomma secondo Mason non si deve affatto rinunciate alla privacy abbandonando i servizi VPN: al contrario occorre consapevolezza da parte dell'utente e anche l'impegno da parte degli sviluppatori al rispetto della privacy affinchè venga evitato qualsiasi abuso di utilizzo dei dati degli utenti. Ovviamente occorre grande attenzione al momento dell'installazione di queste app (ma il consiglio vale in tutti i casi): è consigliabile verificare attentamente il tipo di permissioni richieste rispetto alla tipologia di servizio offerta dall'app che si sta installando (un'app per il meteo non ha bisogno di accedere alla rubrica dei contatti telefonici, ad esempio), ma anche il numero di permissioni richieste (troppe permissioni richieste, inutile dirlo, creano sospetto). 




CONDIVIDI QUESTA PAGINA!