Nelle scorse settimane uno dei temi di cui si è più frequentemente parlato è stato quello della privacy relativa ai nostri iPhone. La questione è nata a seguito del polverone sollevato dal Locationgate, a causa del quale le posizioni GPS degli utenti venivano memorizzate dall’iPhone stesso senza previa richiesta di permesso. I problemi legati alla sicurezza dei dati personali potrebbero però non essere terminati qui: Aldo Cortellesi, esperto di sicurezza nel settore, ha infatti scritto un interessante articolo nel quale vengono spiegati i rischi legati alla presenza (e all’eventuale utilizzo improprio) degli UDID, i codici identificativi dei nostri iDevice.
Dopo il caso del Locationgate, nel quale i dati di posizione GPS degli utenti venivano memorizzati nel file consolidate.db, il tema della privacy e della sicurezza dei dati personali su iPhone è divenuto uno dei temi più scottanti del momento. Logicamente, quando si parla di queste tematiche, basta una scintilla ed il fuoco divampa, con migliaia di utenti indignati dallo spiacevole episodio.
La vicenda ha fatto talmente tanto scalpore che gli stessi Governi di diversi paesi nel mondo si sono mobilitati rivolgendosi direttamente ad Apple, ponendo alcune domande con l’intento di fare chiarezza sull’argomento. Come forse saprete, Apple ha deciso di programmare il rilascio di un update (versione 4.3.3 di iOS) che andrà a risolvere questo particolare problema.
Nonostante la società californiana abbia deciso di correre ai ripari, vi sono numerose persone che hanno deciso di proseguire le loro ricerche relativamente al problema della privacy su iPhone. Una di queste è proprio Aldo Cortellesi, esperto in materia di sicurezza e sviluppatore di software che ora abita a Dunedin, in Nuova Zelanda (l’articolo è in inglese, non fatevi ingannare dal nome). Cortellesi ha da pochi giorni pubblicato un articolo nel quale si discute dei rischi legati ad un eventuale utilizzo improprio degli UDID dei nostri iDevice.
E’ quindi necessario fare una breve premessa, al fine di comprendere meglio il contenuto dell’articolo: ogni iPhone, iPad e iPod è infatti dotati di un codice indentificativo specifico, unico per ogni dispositivo (UDID è l’abbreviazione di Unique Device Identifier). Questo codice non è modificabile ne eliminabile e, di per sé, non è minimamente legato alle informazioni personali dell’utente che possiede il device.
Questo codice può però essere facilmente utilizzato dai developer di applicazione per iPhone tramite un’appoista API (Wikipedia), senza necessariamente chiedere il permesso all’utente. Come anticipato, di per sé questo codice identificativo non è legato in alcun modo con le informazioni personali dell’utente ed inoltre Apple vieta ai developer di collegare pubblicamente un UDID ad un preciso account di un utente.
Se credete che i vostri UDID non siano informazioni poi così interessanti (dal punto di vista dei developer) vi basti sapere che circa il 68% delle applicazioni che utilizzate inviano “silenziosamente” il vostro UDID a server esterni. La prima destinazione alla quale sono inviate questi UDID è Apple stessa, seguita da altre entità come OpenFeint. Seguono infine migliaia di siti minori di developer e server legati alla pubblicità. Per l’utente è assolutamente impossibile impedire che l’UDID venga condiviso con tutti questi destinatari.
Il problema che rischia dunque di generarsi è legato alla anonimato: all’UDID venogno infatti associate alcune informazioni personali che l’utente potrebbe non desiderare condividere. Un esempio che viene fatto dallo stesso Cortellesi riguarda OpenFeint. Utilizzando un tool chiamato mitmproxy (con cui è possibile vedere il traffico SSL-encrypted HTTP), l’esperto ha individuato il flusso di dati in entrata/uscita dal proprio iDevice. Il risultato di attenti studi ha rivelato come OpenFeint “elimini” l’anonimato degli UDID, andando ad associare alcune informazioni personali al codice identificativo del dispositivo.
Questo dimostra che su server esterni sono presenti, in vario modo, informazioni personali legate ai nostri UDID. Cosa accadrebbe se vi fosse una fuga di dati da queste fonti? Il mondo informatico conta migliaia di episodi simili. Non è dunque rischioso che si possano associare informazioni degli utenti agli UDID dei rispettivi iDevice? Sembra che, almeno per ora, questo virtuale problema non sia stato tenuto in considerazione da Apple che, al contrario, mettendo a disposizione un API apposita permette ai developer di ricevere dati privati senza eccesive difficoltà.
Dopo tutto ciò che è accaduto negli ultimi mesi relativamente alla privacy, questo articolo fa riflettere e vuole forse mettere in guardia rispetto ad un problema che non è più tanto marginale come sembrava. Saremmo curiosi di sapere cosa voi ne pensate riguardo a questo argomento. Come sempre, potete farcelo sapere lasciando un commento a fine articolo.
[via]