WSJ: Apple e Google stanno spiando gli utenti

Secondo il Wall Street Journal sarebbe possibile dimostrare che Apple e Google agiscono con i propri smartphone in violazione della privacy dei propri utenti, identificando la loro posizione ed archiviando tali informazioni senza il preventivo consenso dell’utenza finale. Trattasi però di una accusa del tutto differente rispetto a quella giunta ad Apple nei giorni scorsi e relativa al famigerato file “consolidated.db” (ed in parte smontata nelle ore successive): in questo caso il WSJ avrebbe avuto una soffiata di diversa natura e sarebbe riuscito a dimostrare la bontà della stessa, portando così la storia all’attenzione dei lettori in qualità di nuovo importante allarme per la privacy nel mondo mobile.

L’ipotesi è scaturita da Samy Kamkar, un ricercatore dal passato non del tutto impeccabile (ha sviluppato ad esempio nel 2005 un worm che portò ai tempi all’affossamento di MySpace), ma le cui intuizioni odierne sono state confermate dal ricercatore Ashkan Soltani. Secondo quanto emerso, tanto i dispositivi iOS quanto quelli Android sarebbero in grado di raccogliere dati relativi alla posizione del device ed alle reti Wi-Fi incontrate sul territorio per poi inviare il tutto ai server dell’azienda. I due gruppi porterebbero però avanti due monitoraggi diversi: la campionatura Google sarebbe frequente (verificata su un Android HTC), fino a varie volte all’ora, mentre quella Apple sarebbe intermittente ed in grado di inviare i dati alla casa madre ogni 12 ore o comunque quando disponibile una rete Wi-Fi da sfruttare allo scopo.

Il fatto sembra sollevare peraltro una questione ulteriore: la mappatura delle reti Wi-Fi con le Google Car impegnate con Google Street View era stata descritta da Google come un errore, ma alla luce del modo in cui tali reti risultano essere sfruttate il tutto può essere visto anche sotto una luce differente. La mappatura di allora, insomma, potrebbe non essere un errore e funzionale piuttosto allo sfruttamento dei dati per il monitoraggio degli smartphone in movimento. I dati raccolti da Google (ed Apple) sarebbero infatti inviati in remoto comprensivi di identificatore univoco del device, geolocalizzazione e reti Wi-Fi identificate, il che consente di tener traccia con estrema precisione della posizione e degli spostamenti dell’utente nel tempo.

Il WSJ concede ai due gruppi solo parte di quanto emerso: da tempo Google ed Apple avrebbero infatti ammesso di raccogliere i dati provenienti dagli smartphone per costruire un grande database degli hot-spot Wi-Fi disponibili, ma al tempo stesso la dinamica adoperata sarebbe oggi eccessivamente invasiva poiché tale da consentire l’identificazione del singolo utente. Si va dunque ben oltre la semplice mappatura degli hotspot e soprattutto v’è l’identificatore unico del device a gettare una forte ombra di sospetto sull’attività identificata da Samy Karmar.

Apple, in una lettera di risposta ai rappresentanti repubblicani Edward Market e Joe Barton, ha in passato esplicato le proprie modalità di raccolta dei dati sulle reti Wi-Fi spiegando di archiviare il Mac Address e non il SSID dell’hotspot, mentre dell’utente si registra la posizione soltanto quando quest’ultimo ha autorizzato i servizi di geolocalizzazione. La lettera esclude però la raccolta di ogni informazione relativa all’utente ed al device univoco; le informazioni sarebbero archiviate su server Apple e nessun altro vi avrebbe accesso. La lettera è datata 12 luglio 2010, ma a distanza di quasi un anno tali informazioni sono messe in discussione dalle nuove evidenze che smentiscono in parte (nella sua parte fondamentale) quanto indicato dalle due aziende nel recente passato.

Apple e Google hanno forte interesse sul settore, il che suggerisce la motivazione alla base del possibile dolo: identificare con precisione la posizione dell’utente significa riuscire ad offrire pubblicità e servizi mirati, sfruttando inoltre i dati storici per costruire un profilo più dettagliato dell’utenza che si intende monetizzare. Significa sapere se un utente è a casa o al lavoro, nelle vie dello shopping o in una zona lontana da un centro abitato: ognuno di questi contesti genera esigenze e stati d’animo differenti, consentendo così il tracciamento di un profilo dinamico a cui proporre advertising, deal, servizi, notifiche e quant’altro. Tutto ciò rappresenta il valore aggiunto che i due gruppi intendono ottenere dalla propria posizione sul mercato (va ricordato che iOS rappresenti oggi in Europa il 12% dell’utenza mobile ed Android il 5% circa, con quote in forte crescita), ma il modo in cui i dati sono stati raccolti all’insaputa dell’utenza rappresenta qualcosa che andrà ora approfondito e verificato ulteriormente.

Da Mountain View e Cupertino non giungono al momento commenti su quanto denunciato dal Wall Street Journal. Le accuse sono però del tutto circostanziate, il che imporrà una chiara ed immediata presa di posizione in difesa di quanto operato con Android ed iOS.

Update
“Google location service provides applications with your approximate location without using GPS”: con questo messaggio Google avverte gli utenti Android della possibilità di abilitare o disabilitare Google Location, abilitando o disabilitando di conseguenza l’invio di informazioni ai server remoti. Google spiega infatti di utilizzare sì le informazioni provenienti dallo smartphone, ma in forma anonima (viene identificato il device, non la persona) ed in ogni caso soltanto su esplicita richiesta da parte dell’utente (il quale può trarre vantaggio da questo sistema poiché ottiene risposte e servizi personalizzati). La posizione di Google è pertanto esplicita: «L’interesse del motore di ricerca é fornire servizi utili e in mobilità questi sono spesso legati al luogo in cui ci troviamo, tuttavia a monte ci deve essere il consenso dell’individuo, che in ogni caso non può essere identificato personalmente».