Gli utenti più consapevoli e particolarmente attenti alla privacy e sicurezza dei propri dati online sono soliti usare due tipi di app o estensioni dedicati allo scopo: le VPN e gli ADBlock. 

Per darne una definizione in breve, le VPN (Virtual Private Network) per prima cosa criptano tutto il traffico internet, quindi rendono illeggibili i dati anche in caso di intercettazione delle comunicazioni. Oltre a questo proteggono l'identità online, ad esempio nascondendo l'indirizzo IP. Insomma sicurezza e anonimato.

Gli AdBlocker, che molto spesso sono estensioni del browser, bloccano pop e ads sulle pagine web che vengono visitate: oltre quindi a impedire il martellante comparire di pubblicità garantiscono maggiore privacy perchè bloccano i sistemi di tracciamento e profilazione che sono usati da praticamente tutte le piattaforme di distribuzione della pubblicità.

Questa è la teoria: VPN+AdBlocking+consapevolezza sembrano il giusto mix per garantirsi privacy e navigazione sicura. Il problema, che riguarda principalmente VPN e AdBlocker gratuiti (ma ci sono stati scandali che hanno travolto anche servizi a pagamento), è che sempre più spesso qualche riceratore o qualche redazione di riviste specializzate scoprono che i vendor di tali servizi, invece di garantire la privacy, usano VPN e AdBlock per rubare (il termine ci pare assolutamente adatto) i dati dei loro utenti, facendo esattamente l'opposto di quello che pubblicizzano nei loro siti web.

Recentemente BuzzFeed News, una rivista online specializzata in tecnologia, ha pubblicato i risultati di una indagine riguardo SensorTower, una nota piattaforma di analytics per sviluppatori e investitori. Cosa è stato scoperto? SensorTowaer raccoglie, tramite una propria VPN e alcune app AdBlocking sia per Android che per iOS i dati di milioni di persone. SensorTower offre vari servizi, alcuni hanno più di 35 milioni di download: parliamo di app come Free and Unlimited VPN, Luna VPN, Mobile Data, and Adblock Focus.

In breve, le app di SensorTower, una volta installate, chiedono all'utente di installare un certificato criptografico di root: un piccolo file, che consente semplicemente alla società di accedere a tutto il traffico e ai dati che passano tramite il telefono. L'azienda si è difesa specificando che i dati raccolti sono anonimi e si limitano all'analisi dell'uso e del tipo dei dati, ma insomma, SensorTower è una piattaforma di intelligence usata da sviluppatori, investitori, pubblicitari.. il cui scopo è esattamente quello di tracciare la popolarità, l'uso e il livello di profitto delle app.

La difesa dell'azienda non ha convinto neppure Google e Apple, che hanno rimosso queste app dai propri store. Anche perchè queste app violano i loro standard, ma non solo in termini di raccolta dati: Google e Apple infatti hanno ristretto l'uso dei certificati con privilegi di root a causa dei rischi che comportano per gli utenti. Le app di SensorTower bypassano il limite semplicemente spingendo gli utenti a installare il certificato tramite una fonte esterna, un sito web che viene mostrato all'utente una volta che l'app è scaricata.

E le permissioni? Lo scandalo delle VPN dello scorso anno
Nel Marzo 2019 il ricercatore di sicurezza John Mason, esperto di privacy e VPN, ha pubblicato uno sconcertante report che, in breve, rivela come la maggior parte dei servizi VPN gratuiti, ma anche a pagamento, forniti dalle big corporation raccolgono moltissimi, anzi troppi, dati degli utenti.

Per capirsi, il 62% delle 82 app VPN per Android analizzate da Mason richiede permissioni pericolose e assolutamente sproporzionate rispetto a quelle realmente necessarie al loro funzionamento: dal permesso di geolocalizzare il dispositivo, a quelli di scrivere su memorie esterne a quello di accedere allo stato del telefono della rete e a quello di ogni chiamata in entrata e in uscita.

Siamo obbligati a rinunciare alla privacy sul web?
Si può essere indotti a pensare, leggendo queste informazioni, che non ci sia speranza: che privacy e web siano ormai incompatibili, un ossimoro. In realtà non è così, ma la differenza la fa principalmente la consapevolezza dell'utente. Non solo in termini di quali dati decide di condividere, ma anche in termini di quali strumenti di navigazione e sicurezza decide di usare. Ad esempio, è fondamentale prestare attenzione alle permissioni richieste dalle app per funzionare. Non è sospetto che un'app per il meteo chieda l'accesso alla nostra rubrica o ai nostri sms? Forse si, quindi è bene passare oltre. Anche il numero di permissioni richieste è già una indicazione: una app che richiedere decine di permissioni per funzionare è sospetta. Un'app che fa scaricare un certificato di root da un sito esterno è infinitamente sospetta.

Attenzione, un pò di ricerca sul web e chiedere consiglio ad un esperto possono davvero fare la differenza: solo rassegnandoci all'idea di aver perso il diritto alla privacy, si perde effettivamente il diritto alla privacy.