Le mobile app per il fitness e la salute sono in costante aumento, se ne trovano di ogni genere, ci aiutano a tenere traccia dei nostri allenamenti, a condividerli con i nostri amici e ci suggeriscono le pietanze da consumare per essere sempre in forma. Vi starete chiedendo … e cosa c’è che non va?

Queste applicazioni in realtà collezionano una quantità impressionante di informazioni relative alla nostra persona e alle nostre abitudini e, per questa ragione, sono appetibili per fini commerciali e, come di consueto, per il crimine informatico.

La Federal Trade Commission Americana ha recentemente pubblicato i risultati di uno studio condotto su 12 tra le principali applicazioni per il fitness e la salute, focalizzando l’analisi sul modo in cui i dati degli utenti sono gestiti da esse e, purtroppo, non ci sono buone. Per ovvie ragioni la commissione ha evitato di rendere pubblici i nomi delle applicazioni limitandosi ad informare l’utenza dei risultati e le aziende stesse delle non conformità riscontrate.

La maggioranza delle applicazioni esaminate condivide all’insaputa dell’utente i dati collezionati con circa 76 differenti terze parti per fini commerciali, una vera minaccia alla sua privacy con risvolti non trascurabili anche sotto il profilo sicurezza. Abbiamo imparato in queste settimane che condivisioni non opportunamente gestite ampliano la nostra superficie di attacco esponendoci a frodi di vario genere. Queste aziende di terze parti collezionano per fini commerciali una grande quantità di informazioni dell’utente, dai dati tecnici del dispositivo mobile utilizzato (modello, dimensione dello schermo, lingua, paese di provenienza) ai dati propri dell’applicazione relative all’utente (e.g. età, peso, sesso) e alla tipologia di programma di allenamento seguito (e.g. tipo di attività fisica, durata dell’allenamento, locazione geografica).

Chi sono queste entità che collezionano le informazioni dell’utente, quali dati gestiscono e come lo fanno?

Praticamente tutte le app censite condividono dati del dispositivo mobile con aziende di terze parti, 18 su 76 di queste aziende collezionano dati come Unique Device Identifier (UDID) dei dispositivi Apple, il MAC address dei dispositivo e il codice International Mobile Station Equipment Identity (IMEI) del telefono; in questo modo conoscono esattamente chi sono gli utenti e su essi possono operare ogni genere di attività commerciale. Queste informazioni consentono infatti di tracciare l’utente anche una volta che l’app viene chiusa per aprirne una differente in modo che l’identificativo utente possa essere utilizzato per tracciare un profilo preciso e definire per esso una mirata campagna pubblicitaria.

Purtroppo le brutte notizie non finiscono qui. Queste entità sono principalmente interessate alle abitudini degli utenti (e.g. Frequenza con la quale camminano e/o corrono, percorsi seguiti dall’utente, programma di allenamento, abitudini alimentari).

22 su 76 aziende di terze parti riceve informazioni relative all’esercizio fisico dell’utente, sulla dieta seguita, eventuali sintomi, sesso e dati per la geo-localizzazione e 12 delle app censite inviano informazioni alla medesima azienda. Immaginiamo quindi a che quantità di informazioni essa colleziona sugli utenti! Nota dolente, i dati vengono trasferiti senza essere resi anonimi: gli esperti della commissione hanno infatti verificato che i dati menzionati sono trasferiti insieme al nome e cognome degli utenti.

Le applicazioni esaminate richiedono all’utente di fornire permessi non strettamente necessari al loro funzionamento con il risultato che i dati dell’utente condivisi con terze parti sono molti di più di quelli preventivati.

App SAlutePer un istante immaginiamo se un gruppo di criminali informatici rubasse le informazioni da queste terze parti. La prima evidenza è che, innanzitutto, difficilmente sapremmo che i nostri dati sono finiti nelle mani sbagliate, ma soprattutto finiremmo vittime di azioni fraudolente mirate. Come? Il criminale sa che la vittima ama correre e che utilizza l’applicazione del prodotto XX per condividere i dati sul suo allenamento, e gli propone perciò uno sconto fedeltà del 50% sull’ultimo modello se lo comprerà online su un sito “copia” di quello legittimo. In questo modo il criminale ha tutto quello che serve per portare avanti la frode. Bisogna essere onesti, quando si  scarica una app dallo store ufficiale, non si pensa a tutto questo…

Ma tali app rappresentano una minaccia anche per la sicurezza fisica degli utenti. Quando si condivide una performance sportiva vengono fornite il più delle volte informazioni relative al percorso e ai tempi di percorrenza, dati che potrebbero essere utilizzati da male intenzionati per ordire azioni criminali. Se l’utente è impegnato a fare footing e vive da solo … l’app fornisce indicazioni utili che danno l’opportunità ai criminali di derubare casa (magari la persona ha anche condiviso sul social qualche foto dell’ambiente in cui sta correndo, così da dare ulteriori informazioni sugli spostamenti.)

Il mio suggerimento quindi è quello di essere attenti: ogni  azione nel mondo digitale potrebbe avere seri risvolti, non siate paranoici ma semplicemente attenti nell’utilizzo degli strumenti informatici, ne va della vostra sicurezza.

Dimenticavo … fate sport più che potete, ve lo dice un maniaco del fitness.

Via Tech Economy