Security researcher GironSec decompiled the code of the Uber Android app and found it to be collecting and sending the following information back to Uber:
- Accounts log (Email)
- App Activity (Name, PackageName, Process Number of activity, Processed id)
- App Data Usage (Cache size, code size, data size, name, package name)
- App Install (installed at, name, package name, unknown sources enabled, version code, version name)
- Battery (health, level, plugged, present, scale, status, technology, temperature, voltage)
- Device Info (board, brand, build version, cell number, device, device type, display, fingerprint, ip, mac address, manufacturer, model, os platform, product, sdk code, total disk space, unknown sources enabled)
- GPS (accuracy, altitude, latitude, longitude, provider, speed)
- MMS (from number, mms at, mmss type, service number, to number)
- NetData (bytes received, bytes sent, connection type, interface type)
- PhoneCall (call duration, called at, from number, phone call type, to number)
- SMS (from number, service number, sms at, sms type, to number)
- TelephonyInfo (cell tower id, cell tower latitude, cell tower longitude, imei, iso country code, local area code, meid, mobile country code, mobile network code, network name, network type, phone type, sim serial number, sim state, subscriber id)
- WifiConnection (bssid, ip, linkspeed, macaddr, networkid, rssi, ssid)
- WifiNeighbors (bssid, capabilities, frequency, level, ssid)
- Root Check (root staus code, root status reason code, root version, sig file version)
- Malware Info (algorithm confidence, app list, found malware, malware sdk version, package list, reason code, service list, sigfile version)
via www.gizmag.com
Chissa' che ne pensa l'ufficio del Garante della Privacy..
Non è solo Uber, ma un sacco di altre APP hanno richieste di accessi inconsistenti con il servizio che rendono. Da quando ho messo Cyanogenmod sul cellulare ho bloccato tutti i permessi non richiesti alle singole APP (non e' possibile farlo con le stock ROM).
Una di queste APP e' quella di una catena della GDO. Ho segnalatola cosa, ma la loro risposta e' stata molto generica.
Il mio sospetto e' che molti degli sviluppatori utilizzino dei framework con dei default troppo eccessivi come richieste e non si pongano nemmeno il problema.
Scritto da: Luigi Rosa | 28/11/2014 a 07:48
Non credo che sia così. Credo piuttosto che gli sviluppatori siano molto consapevoli del fatto che il 99% degli utenti non guarda minimamente a quali sono le autorizzazioni chieste da una applicazione prima di installarla e quindi scelgono di chiederne molte di più di quelle necessarie così se in futuro gli serviranno le hanno già (altrimenti per aggiungere nuove autorizzazioni l'applicazione non si aggiorna più in automatico e deve chiedere nuovamente il consenso dell'utente).
Anche se la schermata di richiesta autorizzazioni è stata semplificata è una di quelle cose che nessuno legge, come le condizioni di servizio o le informative sulla privacy: se ci fosse più sensibilità da parte degli utenti ci sarebbero meno abusi. Ma l'unico modo per sensibilizzare gli utenti è, forse, abusarne ripetutamente.
Scritto da: Stefano Bagnara | 28/11/2014 a 23:15
Nel caso di Uber invece, visto come il soggetto lavora sul lato "marketing" non mi stupisce che si faccia pochi scrupoli a raccogliere quanti più dati possibile con la sua applicazione. In fondo, se per un momento ignori la legge, è evidente che sono dati che costa poco raccogliere e che possono sicuramente darti informazioni utili. Sono dati che puoi anche rivendere (sempre se non ti preoccupa la legge).
Scritto da: Stefano Bagnara | 28/11/2014 a 23:18
Temo che gli "sviluppatori" (non sono loro di solito, ma semplifichiamo) americani (soprattutto loro che hanno una visione della privacy molto diversa da noi europei) colleghino il fatto che l'utente accetta di concedere certe autorizzazioni con il fatto che possono fare ciò che vogliono con quelle autorizzazioni. Non so negli USA, ma in Europa sicuramente non è così. Se concedo ad un app l'autorizzazione a sapere se ho una telefonata in corso (e con chi) non significa che questa app possa farne un log e/o trasferire questa informazione al creatore dell'app (o peggio a terzi). Se concedo ad un app l'autorizzazione di leggere gli SMS (magari perchè l'app ha un sistema di "verifica" basato sull'invio di un sms) non significa che l'app possa fare copie/log dei miei sms o di trasferirli a chicchessia... Non credo sia necessario specificarlo, la normativa italiana è piuttosto chiara (e probabilmente anche quella europea).. forse basterebbe che cominciassero a partire un po' di sanzioni.
Scritto da: Stefano Bagnara | 29/11/2014 a 17:21