/https://www.ilsoftware.it/app/uploads/2025/02/posizione-geografica-privacy-mobile.jpg "Chiunque può risalire alla vostra posizione geografica: ecco come")
Si parla tanto di tutela dei dati personali sul Web ma prendendo in esame le app per i dispositivi mobili, sembra regnare davvero il Far West. Uno studio indipendente mette in evidenza come ogni giorno milioni di dati degli utenti siano raccolti, scambiati e venduti senza una chiara consapevolezza da parte degli interessati. E ciò in barba alle disposizioni contenute nel Regolamento generale sulla protezione dei dati (GDPR) oltre che dei più basilari doveri in capo ai responsabili e ai titolari del trattamento. È di fatto possibile risalire alla posizione geografica di qualunque utente accedendo ai dati condivisi da attori specializzati.
A inizio 2025 ha destato scalpore la notizia relativa all’esposizione di un imponente volume di dati sottratti a Gravy Analytics, azienda che si occupa della gestione di volumi enormi di dati di geolocalizzazione.
Scorrete questo foglio elettronico: contiene la lista delle app per Android e iOS connesse con l’incidente Gravy Analytics: sono tutte applicazioni che raccoglievano o raccolgono ancora i dati di localizzazione degli utenti, senza il loro consenso. Spesso, la raccolta di dati avviene anche senza che gli stessi sviluppatori ne siano consapevoli.
Come trovare i dati sulla posizione geografica di qualsiasi utente
Dopo aver esaminato l’elenco di app che raccolgono segretamente dati personali e geolocalizzano gli utenti, un ricercatore racconta di essersi attrezzato con un vecchio iPhone 11 ripristinato alle impostazioni di fabbrica (nuovo ID Apple), con il proxy Charles per monitorare il funzionamento delle app e, infine, con un certificato SSL configurato sull’iPhone in modo da poter decodificare tutto il traffico HTTPS.
Installando una delle applicazioni presenti in elenco (per la cronaca il gioco Stack), l’autore dello studio si è concentrato sulla verifica della tipologia dei dati trasferiti.
Grazie all’uso di Charles, al lancio dell’app Stack si è registrato un numero elevato di richieste, inviate ogni frazione di secondo. Queste richieste includevano informazioni come la posizione geografica e l’indirizzo IP pubblico. E ciò nonostante i servizi di localizzazione fossero disabilitati per tutte le app.
Pur avendo disattivato la geolocalizzazione, l’informazioni sulla posizione geografica è stata automaticamente condivisa con una famosa rete pubblicitaria mobile. Tale richiesta conteneva vari dettagli, tra cui indirizzo IP del client, coordinate GPS, ID del dispositivo e altre informazioni relative alla connessione. I dati sono stati poi fatti rimbalzare tra diversi soggetti, che li hanno a loro volta fatti propri.
ID univoci usati per tracciare gli utenti
Nel corso della ricerca, è emerso che i dati raccolti sono venduti a broker e ad altri intermediari, attraverso piattaforme specializzate. Queste ultime permettono l’acquisto di dati dettagliati sugli utenti, inclusi gli identificatori unici (IDFA) e le informazioni di geolocalizzazione. I dati possono essere rivenduti a chiunque sia disposto a pagare, compresi gli inserzionisti che cercano di profilare meglio il loro pubblico.
Informazioni univoche come IDFV (ID Vendor) e IDFA (Advertising Tracking ID) sono utilizzati per tracciare gli utenti tra le diverse app, registrando spostamenti e abitudini. E ciò avviene anche disattivando manualmente le funzionalità di tracking per la maggior parte delle app.
È relativamente semplice stabilire la posizione geografica e raccogliere altri dati personali
La ricerca appena resa pubblica mette in evidenza alcuni punti che meritano ulteriori approfondimenti.
Innanzi tutto, troppe app per Android e iOS (pubblicate sugli store di Google ed Apple) raccolgono dati sugli utenti senza visualizzare un’informativa dettagliata. Consentire o meno il tracciamento delle attività non ha importanza: le informazioni personali sono comunque trasmesse a terzi.
Monitorando il traffico di rete emerge chiaramente quali richieste sono inoltrate dalle app installate al fine di raccogliere informazioni come l’IP, la posizione e l’ID del dispositivo.
Nella stragrande maggioranza dei casi, i dati acquisiti sono venduti a broker, che li aggregano e li rivendono a terzi, come aziende di marketing, agenzie pubblicitarie, e persino entità governative.
Esistono marketplace pubblicamente accessibili attraverso i quali si possono acquistare dataset contenenti informazioni personali come indirizzi email, numeri di telefono e altri dettagli degli utenti, spesso associati agli identificatori di dispositivo come IDFA. In alcuni casi, infatti, i dati venduti ai broker non si limitano a informazioni anonime o aggregate, ma possono contenere anche dettagli di identificazione personale. E i dati degli utenti europei sono in assoluto quelli più costosi.
Poco si è fatto per proteggere gli utenti dalle app che integrano componenti traccianti
Il legislatore europeo ha ritenuto opportuno usare il pugno duro con gli editori Web (che alla fine sono i soggetti più vulnerabili e, allo stesso tempo, più facilmente inquadrabili come destinatari dei provvedimenti). Si è pensato che una legislazione sui cookie potesse essere sufficiente per tutelare gli utenti quando, in realtà, le disposizioni hanno colpito solamente le realtà più piccole e più rispettose degli utenti. I “pesci grossi” hanno continuano e stanno proseguendo a usare tecniche di fingerprinting molto più subdole e difficili da riconoscere. Che non fanno uso di cookie e che sono ancora più efficaci.
Sul versante delle app per i dispositivi mobili, nonostante la regolamentazione vigente, è in essere una raccolta di dati molto più estesa e dettagliata di quella che caratterizza le attività svolte su un tradizionale browser Web.
Gli sviluppatori di app e le aziende pubblicitarie hanno la responsabilità di garantire che i dati siano raccolti e trattati in modo etico, trasparente e sicuro, rispettando il consenso esplicito degli utenti. Come dimostrano i risultati della ricerca citata nel nostro articolo, tuttavia, sono tanti i soggetti che continuano a comportarsi in modo non conforme. Per usare un eufemismo.
/https://www.ilsoftware.it/app/uploads/2025/02/142.jpg "WhatsApp: sventato pericoloso attacco hacker, nel mirino giornalisti e funzionari pubblici")
/https://www.ilsoftware.it/app/uploads/2025/02/terza-spunta-blu-whatsapp-bufala.jpg "Terza spunta blu WhatsApp: perché è una bufala")
/https://www.ilsoftware.it/app/uploads/2025/02/2.jpg "WhatsApp si aggiorna: arrivano gli eventi anche nelle chat individuali")
/https://www.ilsoftware.it/app/uploads/2025/01/android-system-key-verifier.jpg "Android System Key Verifier: cos'è e come funziona la verifica delle chiavi")