L’app Care19 del North Dakota negli USA, una delle prime soluzioni di tracciamento dei contatti COVID-19 disponibili al mondo, contraddice la propria policy sulla privacy e condivide le informazioni degli utenti con società di terze parti come Foursquare e Google.
L’esperto del settore Jumbo Privacy ha scoperto che l’app invia i dati sulla posizione e altre informazioni personali a terzi.
L’app Care19 è stata sviluppata da ProudCrowd e non utilizza le API di Apple e Google. La software house scelta dal North Dakota commercializza da tempo un’app di social network basata sulla posizione per gli appassionati di sport della North Dakota State University, mentre Care19 promette l’anonimato dei partecipanti assegnando ID utente casuali. Il sistema registra le posizioni in cui un utente è rimasto per almeno 10 minuti, informazioni che possono poi essere correlate ai dati di tracciamento dei contatti forniti su base volontaria al Dipartimento della salute del Nord Dakota.
La politica sulla privacy dell’app dice che “i dati sulla posizione sono privati per te e sono archiviati in modo sicuro su server ProudCrowd, e non saranno condivisi con terze parti, a meno che tu non acconsenta o ProudCrowd sia obbligato ai sensi delle normative federali“.
Tuttavia, Jumbo ha trovato numeri ID utente, ID telefono e quelli che sembrano essere i dati sulla posizione trasmessi a Foursquare. Gli IDFA (identificativi pubblicitari unici collegati a ogni smartphone) vengono inviati ai server associati al servizio Firebase di Google, mentre l’ID casuale assegnato e il nome del telefono, che per impostazione predefinita generalmente include il nome dell’utente, vengono inviati alla società di diagnostica software Bugfender.
“L’interfaccia utente dell’applicazione Care19 richiama chiaramente l’uso di Foursquare sulla schermata dei luoghi vicini, secondo i termini del nostro accordo Foursquare“, ha affermato ProudCrowd in una nota. “Tuttavia, la nostra politica sulla privacy attualmente non menziona esplicitamente questo utilizzo. Lavoreremo con i nostri partner statali per essere più espliciti nella nostra politica sulla privacy. È importante notare che il nostro accordo con Foursquare non consente loro di raccogliere dati Care19 o usarlo in qualsiasi forma, al di là della semplice determinazione delle attività commerciali nelle vicinanze e della restituzione dei dati a noi”.
In una e-mail a Fast Company, il fondatore di ProudCrowd Tim Brookins ha dichiarato che l’integrazione Foursquare di Care19 è stata un errore che presto verrà corretto. Brookins ha definito l’errore come “in buona fede, in quanto Foursquare in realtà non raccoglie i nostri dati“.
Mentre Care19 non si affida alla API di notifica dell’esposizione Apple-Google rilasciata di recente, Apple è stata coinvolta nel controllo dell’app prima della pubblicazione. Ora l’azienda sta indagando sulle scoperte condivise da Jumbo.
Ironia della sorte, un funzionario dell’autorità di sanità pubblica del Nord Dakota era tra i pochi esperti che la scorsa settimana hanno criticato il sistema di notifica dell’esposizione multipiattaforma di Apple e Google come troppo restrittivo perché fosse adottato da tanti utenti. I sistemi Apple e Google negano l’accesso ai dati di geolocalizzazione, anonimizzano i dispositivi degli utenti e impediscono alle app di archiviare i dati su un server centralizzato. Se un’app non soddisfa gli standard Apple-Google, non gli viene concesso l’accesso all’API e pertanto non può elaborare attività in background.
Non è chiaro se il Nord Dakota lancerà una nuova versione dell’app Care19 con l’API di notifica dell’esposizione integrata.