12 Maggio 2023
Una ricerca di Mozilla evidenzia che le etichette di Sicurezza dei dati del Play Store, che Google ha introdotto di recente, sono false o fuorvianti nella stragrande maggioranza (80%) dei casi, almeno per quanto riguarda il pool di app esaminate (40 in tutto, le 20 più popolari gratis e le 20 più popolari a pagamento). I ricercatori hanno soprattutto osservato discrepanze significative tra i report del Play Store e le informative sulla privacy delle app stesse.
Il problema sembra risiedere per lo più nel form che gli sviluppatori sono tenuti a compilare in fase di pubblicazione del loro software, in cui è molto facile trovare scappatoie e cavilli per dichiarare mezze verità o informazioni fuorvianti. Il problema è che il form è sostanzialmente un’autocertificazione; è facile immaginare perché Google abbia deciso di auto-esonerarsi dalla responsabilità di verificare tutte le informazioni - secondo le ultime statistiche il Play Store ospita la bellezza di 2,7 milioni di app circa, la mole di lavoro sarebbe enorme - ma il problema di trasparenza nei confronti dell’utente finale rimane.
I risultati chiave in pillole sono i seguenti:
- L’80% delle app esaminate ha mostrato discrepanze tra le etichette del Play Store e le proprie informative sulla privacy.
- 16 app su 40 hanno ricevuto una valutazione “scarsa”, che significa: discrepanze grosse relative alle tipologie di dati condivisi o raccolti, o alle ragioni per cui erano condivisi o raccolti. Tra queste figurano Minecraft, Twitter e Facebook.
- 15 app su 40 hanno ricevuto una valutazione intermedia o “servono miglioramenti”. Tra queste figurano YouTube, Google Maps, Gmail, WhatsApp, TikTok e Instagram.
- solo 6 app su 40 hanno ricevuto una valutazione “OK”,quindi etichette e informativa privacy erano più o meno ben allineate. L’elenco è composto da Candy Crush, Play Giochi, Subway Surfers, Stickman Legends Offline Games, Power Amp Full Version e League of Stickman: 2020 Ninja.
- 3 app su 40 non hanno compilato le etichette, ovvero UC Browser, League of Stickman Acti e Terraria.
La ricerca osserva che un’inchiesta del Washington Post risalente al 2021 aveva evidenziato risultati più o meno analoghi per quanto riguarda l’App Store di Apple. In conclusione, Mozilla suggerisce ad Apple e Google di “adottare un sistema di privacy dei dati universale e standardizzato per le loro piattaforme”, di espandere e spiegare meglio le loro azioni di controllo sulle app che non rispettano le regole e di assumersi un po’ di responsabilità sull’accuratezza delle informazioni riportate dalle app.
Commenti
Falso.
L'enforcement dei permessi avviene a livello di sistema operativo, non di app store. Questo vale per entrambi i sistemi operativi, e in entrambi i casi se un'app tenta di accedere ad un dato sensibile (ad esempio la posizione) senza averlo dichiarato nel plist/AndroidManifest semplicemente crasha.
Quello di cui si sta parlando qui è un'altra cosa, ovvero le dichiarazioni su come un'app usa i dati che raccoglie. Questa non è una cosa che può essere controllata dall'so perché ovviamente l'so può sapere se l'app ha richiesto un certo dato sensibile (es: la posizione) ma mica può sapere come lo sviluppatore di tale app andrà poi ad usare quel dato. Quindi anche qui la cosa è trattata in maniera uguale dai due produttori: la dichiarazione sull'uso che l'app fa dei dati è semplicemente una dichiarazione di intenti da parte dello sviluppatore, nulla di più, non c'è nessun implemento tecnico che li forzi a dire la verità. L'unica differenza che effettivamente esiste è che se vengono beccati a dichiarare il falso vengono bannati dallo store e questo è un rischio più concreto su iOS perché se sei fuori dallo store non esisti, mentre su Android volendo puoi distribuire l'app per altre vie (anche se comunque perdi una buona maggioranza dell'audience)
l'hai detto in maniera educata ma solo con altro linguaggio avresti potuto esprimere realmente la situazione! :)
Non credo proprio visto che da Google arrivano le maggiori entrate.
Sì ma credo altamente che gli algoritmi di controllo siano fallati.
Sia chiaro non mi aspetto che né Apple né Google facciano fare i controlli agli umani... ma per esempio nel Play Store se ho un'app che non accede alla posizione nelle schermate principali ma che colleziona tutto quando per qualsiasi ragione apri un browser interno non devi dichiarare nulla.
La mia era una battuta, nulla di più. Non me ne frega niente chi ha il monopolio dei browser
Sbaglio o anche su android devi definire da qualche parte i permessi richiesti? Non e' che puoi dire "dimmi la tua posizione" e android ti da la lettura del gps senza dire nulla...
Ahah ti piacerebbe...
Se avessi mai pubblicato un'app sullo Store sapresti che Apple ti prende a schiaffi se non metti nel .plist tutti permessi richiesti.
Quindi stai dicendo che Apple percula gli utenti? Altre cose che non sappiamo?
Mozilla deve ringraziarla per tenerla in vita
Come dite? Google che percula gli utenti in uno squallido tentivo di copiare Apple? Ma quando mai!
Google di Mozilla se ne frega