Nuovo rischio privacy per i possessori di iPhone. Si tratta del cosiddetto “deanonimizzazione dell’UDID” un termine tecnico legato al noto codice UDID con il quale è possibile identificare qualsiasi melafonino. Vediamo insieme di cosa si tratta.

L’UDID è un codice seriale dal quale è possibile identificare qualsiasi iPhone e che quando utilizziamo un’app in rete, viene inviato online e può essere registrato o inoltrato a terzi, anche senza la nostra autorizzazione. La destinazione più comune per questo traffico è Apple, seguita dal network di analisi Flurry e dalla società di social gaming OpenFeint”. Dei super-aggregatori di informazioni degli utenti collegate agli UDID.

Tuttavia il fatto che l’UDID non permettesse da solo di risalire all’identità di una persona permetteva di dormire sogni tranquilli. Il problema sorge dal fatto che molto spesso i possessori di smartphone sono assidui utilizzatori di Facebook e tendono a rimanere perennemente collegati al proprio account per ricevere notizie in tempo reale. Ecco dunque che incrociando i dati è possibile risalire all’identità di ogni possessore.

Una banca dati di circa 75 milioni di utenti, che è di fatto a disposizione di un singolo sviluppatore, ma che per un lungo periodo di tempo è accessibile da chiunque su internet.

Di seguito vi riportiamo parte dell’intervista che Repubblica ha fatto ad Aldo Cortesi, colui il quale ha scoperto il problema, a fine post trovate il link per consultare l’articolo completo.

Come è riuscito a risalire a questi dati?

“Il mio lavoro consiste nel collaudare la sicurezza del software e dei dispositivi elettronici. In questo contesto ho scritto “mitmproxy”, un software che mi permette di intercettare il traffico web criptato. Ho usato mitmproxy sul mio iPhone per pura curiosità. E il problema con OpenFeint è stato subito ovvio: 5 minuti dopo sapevo di aver trovato una falla importante. Ho reso disponibile mitmproxy gratuitamente per diffondere tra gli sviluppatori la consapevolezza di questo rischio”.

Quindi il rischio è che questi dati possano essere intercettati e usati per la profilazione degli utenti. Ma OpenFeint che genere di dati raccoglie?

“Di base, OpenFeint raccoglie informazioni sui videogiochi: quali giochiamo e quando giochiamo, oltre ai dati relativi a punteggi e obiettivi. Ma se l’utente li autorizza, archiviano anche gli account Facebook e Twitter, e la posizione GPS. È possibile usare la loro piattaforma anche per chattare, per collegarsi agli amici e per inviare messaggi, elementi che forniscono ulteriori dati personali”.

Che genere di rischi per la privacy comporta questo traffico di dati?

“La questione è che l’UDID viene usato come un identificatore anonimo dell’utente. Questo significa che centinaia di società  –  tra cui inserzionisti, analisti e sviluppatori individuali  –  aggregano informazioni collegate all’UDID in molti diversi database. Ad esempio, il secondo più grande aggregatore di informazioni UDID dopo Apple è la società di analisi mobile Flurry. Nel caso delle app che usano la sua piattaforma, Flurry può rilevare un enorme quantità di dati: quando gli utenti iniziano a giocare, quando smettono, come agiscono nel gioco. Lo scenario più negativo si verificherebbe se un database come quello di Flurry potesse essere collegato alle reali identità degli utenti usando una vulnerabilità UDID come quella di OpenFeint.

Via | Repubblica

Un ringraziamento a Marco per la segnalazione!