Rischio privacy per milioni di utenti Facebook che usano iPhone

Un database di circa 75 milioni di utenti iPhone, ciascuno identificato dal codice seriale (UDID) del proprio melafonino. Ma soprattutto, molti dei quali collegati al proprio account Facebook, in modo che dal codice dello smartphone, virtualmente anonimo, sia possibile risalire all’identità del suo proprietario. Tutto questo a disposizione di un singolo sviluppatore di applicazioni ma, per un lungo periodo di tempo, accessibile a chiunque via Internet.

Come tutti saprete, ciascun dispositivo iOS possiede un proprio identificativo unico, chiamato UDID o Unique Device Identifier. Questa serie di cifre e lettere serve ad identificare in maniera univoca un iPhone, iPod touch o iPad. Si tratta di una sequenza di quaranta caratteri immutabile che non è possibile eliminare dalla memoria del dispositivo. Questo UDID non dovrebbe però mai essere collegato all’identità dell’utente del device. Pare invece che alcune applicazioni presenti su App Store abbinino, all’insaputa dell’utente, il codice UDID del proprio dispositivo con il proprio account Facebook, completo ovviamente di nome e cognome. L'UDID è come un cookie di tracciamento permanente e immutabile che non può essere cambiato. E’ dello scorso mese il risultato di una ricerca che ha dimostrato come OpenFeint, la nota piattaforma sociale dedicata ai giochi, abbia sistematicamente collegato identificativi UDID con il rispettivo profilo di Facebook del proprietario. Il risultato è un enorme database di dati sensibili di milioni di utenti (si stima siano attorno ai 75 milioni di utenti). Tra le varie clausole che regolano l’utilizzo delle API nello sviluppo di una applicazione c’è l’obbligo per gli sviluppatori di non poter associare pubblicamente l’UDID di un dispositivo con l’account personale di un utente. Nonostante questa affermazione ragionevole, non sta venendo applicata dalla società di Cupertino.

A fare la scoperta è stato Aldo Cortesi, security researcher, che spiega a Repubblica: "Ho scoperto che è possibile collegare un UDID all'identità reale di un utente usando OpenFeint. Nello specifico, usando il codice seriale di un'iPhone, è possibile risalire al profilo Facebook dell'utente in circa il 10% dei casi. Oltre questo, si può ottenere la sua posizione GPS nel 30% dei casi, e altre informazioni potenzialmente identificatrici nel 20% dei casi. Se si considera che OpenFeint ha 75 milioni di utenti, questo è un problema". OpenFeint è stata obbligata a porre rimedio, chiudendo la falla che permetteva la fuoriuscita di tali informazioni personali, ma la paura è che sviluppatori minori stiano continuando a trarre vantaggio di tali dati. Il fine ultimo di questi sviluppatori sarebbe quello di vendere le informazioni ricavate a società terze che li utilizzerebbero per creare pubblicità mirate a singoli soggetti. "Di base, OpenFeint raccoglie informazioni sui videogiochi: quali giochiamo e quando giochiamo, oltre ai dati relativi a punteggi e obiettivi. Ma se l'utente li autorizza, archiviano anche gli account Facebook e Twitter, e la posizione GPS. È possibile usare la loro piattaforma anche per chattare, per collegarsi agli amici e per inviare messaggi, elementi che forniscono ulteriori dati personali", ha detto Cortesi. Per controllare la trasmissione degli UDID agli sviluppatori delle app, Cortesi ha sviluppato un programma chiamato Mitmproxy. Charlie Miller sostiene che non c’è ragione di preoccuparsi: la privacy se n’è andata dalla finestra con gli smartphone.