A tutti coloro in possesso di un dispositivo Android equipaggiato con versioni successive alla Honeycomb 3.0 (circa l’85% stando alle statistiche di inizio giugno) si consiglia la lettura integrale di questo articolo. Si parla infatti di un potenziale rischio per la privacy, legato alla modalità di gestione delle reti WiFi, ma anche di una soluzione da attuare subito in attesa che Google possa porre definitivamente rimedio al problema.
Il rischio
Stando a quanto pubblicato dalla Electronic Frontier Foundation sul proprio sito, la funzionalità Preferred Network Offload (PNO) introdotta negli anni scorsi dal sistema operativo comunica in modo del tutto automatico l’elenco completo dei network WiFi (fino ad un massimo di 15 reti) ai quali l’utente si è connesso in passato. Si tratta a tutti gli effetti di informazioni sensibili, in quando trasmesse in chiaro: “Casa di ***”, “Ufficio dell’agenzia ***”, “Aeroporto di ***” e così via. Da questi dati non è dunque difficile ricostruire in modo dettagliato la cronologia del luoghi visitati, con tutto ciò che ne consegue.
Preferred Network Offload
Una cosa va chiarita: PNO è una tecnologia utile, introdotta dal gruppo di Mountain View con lo scopo ben preciso di semplificare la vita agli utenti Android. Permette infatti di velocizzare il processo di connessione alle reti WiFi già utilizzate in passato, anche quelle nascoste, che non sarebbero quindi rilevabili automaticamente dal dispositivo in altro modo.
Il comportamento messo sotto accusa si verifica quando il dispositivo si trova in standby, ad esempio con lo schermo spento. In questi casi il telefono (o il tablet), ad ogni punto d’accesso WiFi rilevato, invia l’elenco completo di tutti i network salvati in precedenza, per controllare se uno di questi corrisponde a quello trovato e tentare così di stabilire la connessione.
La risposta di Google
EFF ha prontamente comunicato il problema a Google, sottolineandone la gravità. Il motore di ricerca ha fornito in breve tempo una risposta, comunicando di aver preso in carico la segnalazione e di essere al lavoro per trovare una soluzione efficace al più presto, senza però sacrificare l’utilità della tecnologia PNO.
Consideriamo in modo serio la sicurezza delle informazioni relative alla geolocalizzazione dei nostri utenti e siamo sempre felici di ricevere segnalazioni su potenziali problemi in tempo utile. Siccome cambiamenti a questo comportamento potrebbero danneggiare coloro che si connettono ad access point nascosti, stiamo indagando quali correzioni apportare negli aggiornamenti futuri.
Una soluzione temporanea
In attesa di poter assistere al rilascio di un update da parte di Google, è possibile ricorrere ad un semplice workaround per porre temporaneamente rimedio al problema. Basta aprire il menu “Impostazioni” del proprio dispositivo Android, selezionare la voce “Wi-Fi”, accedere alla schermata “Avanzate” (nelle release più recenti si trova con un tap sul pulsante in basso a destra a forma di tre puntini) e modificando il parametro “Tieni attivo Wi-Fi durante sospensione”. Solitamente l’opzione predefinita è “Sempre”, ma per evitare la condivisione non desiderata di informazioni sensibili è possibile scegliere “Mai (aumenta l’utilizzo dei dati)”, come mostrato nello screenshot seguente. Inevitabilmente, questo andrà a pesare sulla banda 3G utilizzata e sulla durata della batteria.
Un’alternativa, di certo meno pratica, è quella che consiste nell’eliminare manualmente ogni rete WiFi dal proprio dispositivo. Questo costringe però l’utente ad effettuare un nuovo accesso ad ogni connessione, con una notevole perdita di tempo.
Non solo Android
Electronic Frontier Foundation fa riferimento principalmente ad Android per spiegare l’entità del problema, ma anche altre piattaforme ne sono affette. Il comportamento è stato verificato anche su tutti gli smartphone e tablet con sistemi operativi iOS 6 e iOS 7 (in alcuni casi anche iOS 5), così come sui laptop Windows 7 e OS X. In questo caso però, considerata la differente natura dei device, i rischi per la privacy più contenuti.
La palla passa a Google
In chiusura del suo intervento, EFF ribadisce l’urgenza di un aggiornamento per gli utenti Android, che possa risolvere definitivamente il problema.
La cronologia delle location visitate rappresenta un’informazione sensibile. Google deve offrire una soluzione al più presto, così come altri produttori Android dovranno rilasciare aggiornamenti che facciano altrettanto.
Il gruppo di Mountain View dimostra di essere già al lavoro, come testimonia la comparsa di una prima patch correttiva firmata da un dipendente di bigG. Servirà però tempo perché questa possa essere implementata nell’aggiornamento che raggiungerà i dispositivi Android, forse con il rilascio della “L release” previsto per l’autunno.