Facebook su Android raccoglie contatti telefonici in modo illecito

Alcuni giorni fa è stato portato alla luce un problema non di poco conto relativo alla app Facebook per Android: all'insaputa dell'utente durante le fasi di avvio della app vengono raccolti tutti i contatti telefonici presenti sul terminale e inviati ai server di Facebook.

La scoperta è stata fatta da Symantec con una nuova versione di Norton Mobile Security e Facebook è stata prontamente informata della situazione. Da Menlo Park è poi giunta conferma del problema e il rilascio di una versione beta della app in cui viene risolto il bug; è prevista la disponibilità di una versione aggiornata su Google Play entro pochi giorni.

Symantec è stata insospettita da un anomalo traffico di dati tra il terminale e i server di Facebook nel momento in cui la app veniva avviata; successive indagini hanno poi evidenziato la natura di tale traffico. Facebook ha già dichiarato di non aver raccolto volontariamente tali dati e di aver provveduto all'eliminazione di tutti i dati erroneamente raccolti.

A rendere preoccupante la situazione è il numero di utenti che quotidianamente utilizzano questa app: i dati ufficiali parlano di 7,4 milioni di download effettuati dal Google Play. Alcune fonti online approfittano della situazione per evidenziare altre situazioni anomale che però nel caso specifico vengono ufficialmente dichiarate da Facebook e accettate dall'utente nel momento in cui la app viene installata.

A questa pagina ad esempio possiamo leggere chiaramente:

CHIAMATA DIRETTA N. TELEFONO Consente all'app di chiamare numeri di telefono senza il tuo intervento. Ciò può comportare chiamate o addebiti imprevisti. Tieni presente che questa autorizzazione non consente all'app di chiamare numeri di emergenza. Le app dannose potrebbero generare dei costi effettuando chiamate senza la tua conferma.

RECUPERO APPLICAZIONI IN ESECUZIONE Consente all'app di recuperare informazioni sulle attività attualmente e recentemente in esecuzione. Questa autorizzazione potrebbe consentire all'app di scoprire informazioni sulle app in uso sul dispositivo.

LETTURA CONTATTI PERSONALI Consente all'app di leggere i dati relativi ai contatti memorizzati sul dispositivo, inclusa la frequenza con cui hai effettuato chiamate, inviato email o comunicato in altri modi con persone specifiche. Questa autorizzazione consente alle app di salvare i dati dei contatti e le app dannose potrebbero condividere tali dati a tua insaputa.

Ragionando su queste autorizzazioni e sul funzionamento della app è possibile ridimensionare in parte il problema, infatti pur offrendo ampio accesso e autonomia all'applicazione queste autorizzazioni sono necessarie per garantire un utilizzo più semplice del servizio e, soprattutto, vengono dichiarate a priori dall'azienda. Purtroppo l'utente non presta attenzione a questi dettagli e se anche lo fa è disposto ad accettarne le conseguenze non avendo altra soluzione o alternativa.

Il problema sollevato da Symantec è però più grave, infatti quanto fatto dalla app non sarebbe autorizzato dall'utente e, dettaglio ancor più importante, il traffico anomalo avverrebbe prima del login esponendo al potenziale rischio anche chi pur non avendo un account Facebook si trova la app preinstallata sul dispositivo.

Symantec ha dichiarato che anche su altre applicazioni sono stati osservati comportamenti anomali e a breve l'azienda di sicurezza californiana promette un elenco completo di dettagli. Il fatto rilevato nei giorni scorsi dovrebbe far riflettere sui rischi connessi all'utilizzo di uno smartphone e alla gestione dei dati su esso memorizzati, rischi più o meno noti o sconosciuti, ma il più delle volte non considerati.

Da parte delle principali società che si occupano di sicurezza è da tempo che giungono segnali di allerta, in particolare per i terminali Android per i quali si fa riferimento a malware o ad applicazioni sviluppate in modo tale da raccogliere informazioni in modo illecito.