Security Notes

Mobile app per il fitness e la salute…quali insidie per privacy e sicurezza?

app-fitness

Le mobile per il fitness e la salute sono in costante aumento, se ne trovano di ogni genere, ci aiutano a tenere traccia dei nostri allenamenti, a condividerli con i nostri amici e ci suggeriscono le pietanze da consumare per essere sempre in forma. Vi starete chiedendo … e cosa c’è che non va?

Queste applicazioni in realtà collezionano una quantità impressionante di informazioni relative alla nostra persona e alle nostre abitudini e, per questa ragione, sono appetibili per fini commerciali e, come di consueto, per il crimine informatico.

La Federal Trade Commission Americana ha recentemente pubblicato i risultati di uno studio condotto su 12 tra le principali applicazioni per il fitness e la salute, focalizzando l’analisi sul modo in cui i dati degli utenti sono gestiti da esse e, purtroppo, non ci sono buone. Per ovvie ragioni la commissione ha evitato di rendere pubblici i nomi delle applicazioni limitandosi ad informare l’utenza dei risultati e le aziende stesse delle non conformità riscontrate.

AppLa maggioranza delle applicazioni esaminate condivide all’insaputa dell’utente i dati collezionati con circa 76 differenti terze parti per fini commerciali, una vera minaccia alla sua privacy con risvolti non trascurabili anche sotto il profilo sicurezza. Abbiamo imparato in queste settimane che condivisioni non opportunamente gestite ampliano la nostra superficie di attacco esponendoci a frodi di vario genere. Queste aziende di terze parti collezionano per fini commerciali una grande quantità di informazioni dell’utente, dai dati tecnici del dispositivo mobile utilizzato (modello, dimensione dello schermo, lingua, paese di provenienza) ai dati propri dell’applicazione relative all’utente (e.g. età, peso, sesso) e alla tipologia di programma di allenamento seguito (e.g. tipo di attività fisica, durata dell’allenamento, locazione geografica).

Chi sono queste entità che collezionano le informazioni dell’utente, quali dati gestiscono e come lo fanno?

Praticamente tutte le app censite condividono dati del dispositivo mobile con aziende di terze parti, 18 su 76 di queste aziende collezionano dati come Unique Device Identifier (UDID) dei dispositivi Apple, il MAC address dei dispositivo e il codice International Mobile Station Equipment Identity (IMEI) del telefono; in questo modo conoscono esattamente chi sono gli utenti e su essi possono operare ogni genere di attività commerciale. Queste informazioni consentono infatti di tracciare l’utente anche una volta che l’app viene chiusa per aprirne una differente in modo che l’identificativo utente possa essere utilizzato per tracciare un profilo preciso e definire per esso una mirata campagna pubblicitaria.

Purtroppo le brutte notizie non finiscono qui. Queste entità sono principalmente interessate alle abitudini degli utenti (e.g. Frequenza con la quale camminano e/o corrono, percorsi seguiti dall’utente, programma di allenamento, abitudini alimentari).

22 su 76 aziende di terze parti riceve informazioni relative all’esercizio fisico dell’utente, sulla dieta seguita, eventuali sintomi, sesso e dati per la geo-localizzazione e 12 delle app censite inviano informazioni alla medesima azienda. Immaginiamo quindi a che quantità di informazioni essa colleziona sugli utenti! Nota dolente, i dati vengono trasferiti senza essere resi anonimi: gli esperti della commissione hanno infatti verificato che i dati menzionati sono trasferiti insieme al nome e cognome degli utenti.

Le applicazioni esaminate richiedono all’utente di fornire permessi non strettamente necessari al loro funzionamento con il risultato che i dati dell’utente condivisi con terze parti sono molti di più di quelli preventivati.

App SAlutePer un istante immaginiamo se un gruppo di criminali informatici rubasse le informazioni da queste terze parti. La prima evidenza è che, innanzitutto, difficilmente sapremmo che i nostri dati sono finiti nelle mani sbagliate, ma soprattutto finiremmo vittime di azioni fraudolente mirate. Come? Il criminale sa che la vittima ama correre e che utilizza l’applicazione del prodotto XX per condividere i dati sul suo allenamento, e gli propone perciò uno sconto fedeltà del 50% sull’ultimo modello se lo comprerà online su un sito “copia” di quello legittimo. In questo modo il criminale ha tutto quello che serve per portare avanti la frode. Bisogna essere onesti, quando si  scarica una app dallo store ufficiale, non si pensa a tutto questo…

Ma tali app rappresentano una minaccia anche per la sicurezza fisica degli utenti. Quando si condivide una performance sportiva vengono fornite il più delle volte informazioni relative al percorso e ai tempi di percorrenza, dati che potrebbero essere utilizzati da male intenzionati per ordire azioni criminali. Se l’utente è impegnato a fare footing e vive da solo … l’app fornisce indicazioni utili che danno l’opportunità ai criminali di derubare casa (magari la persona ha anche condiviso sul social qualche foto dell’ambiente in cui sta correndo, così da dare ulteriori informazioni sugli spostamenti.)

Il mio suggerimento quindi è quello di essere attenti: ogni  azione nel mondo digitale potrebbe avere seri risvolti, non siate paranoici ma semplicemente attenti nell’utilizzo degli strumenti informatici, ne va della vostra sicurezza.

Dimenticavo … fate sport più che potete, ve lo dice un maniaco del fitness.

 

Pierluigi Paganini

Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security.
La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog
Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.”
E’ membro dei gruppi di lavoro del portale “The Hacker News” e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste.
E’ membro del gruppo Threat Landscape Stakeholder Group dell’agenzia ENISA (European Union Agency for Network and Information Security).
Ha pubblicato due libri “The Deep Dark Web” e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

Facebook Twitter Google+ 

1 Commento

Commenti e reazioni su:

Loading Facebook Comments ...

1 Commento

  1. Pingback: Mobile app per il fitness e la salute…quali insidie per privacy e sicurezza? | Geek News

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This