iPad e iPhone: il fragile anonimato

Non si è mai realmente anonimi quando si utilizza una applicazione su iPad o iPhone. Sebbene questo sia il messaggio che trapela dalle regole di sviluppo imposte da Apple, in realtà vi sarebbero applicazioni in grado di rendere meno anonimo l’uso del device potendo così contare su dati personali degli utenti che gli utenti stessi non sanno di aver ceduto.

La scoperta è del ricercatore neozelandese Aldo Cortesi, secondo cui alcune applicazioni sarebbero in grado, pur contro le regole Apple, di mettere in collegamento l’identificativo anonimo dei device con l’identità dell’utente. L’anonimato scompare nel momento in cui l’app è in grado di abbinare ad ogni UDID un account Facebook, potendo così disporre di un alto numero di informazioni private relative all’utente finale. Cortesi avrebbe scoperto un meccanismo simile ad esempio in una piattaforma di gaming utilizzata da più applicazioni, mettendo così a rischio l’anonimato di oltre 70 milioni di utenti. La deduzione è semplice: se l’ha fatto uno possono averlo fatto in molti e su App Store sono disponibili decine di migliaia di app pronte a monetizzare le informazioni carpite dall’utenza.

Sebbene non si tratti di una vera e propria vulnerabilità, Apple dovrà probabilmente rivedere il modo in cui utilizza l’identificativo UDID poiché il design imposto dall’azienda non sembra tutelare in modo sufficiente l’utenza. Charlie Miller avrebbe confermato tale prospettiva: la sola esistenza di una occasione potrebbe fare lo sviluppatore ladro. Meglio sarebbe un sistema di UDID univocamente creati per le singole app, così che ogni applicazione non possa che tracciare le attività correlate senza invadere campi altrui. Così facendo l’anonimato sarebbe garantito in toto, senza ulteriori complicazioni ed annullando ogni rischio residuo.