Eric Smith, amministratore di rete della Bucknell University, nonché campione di wardriving in due edizioni del DefCon, ha studiato le prime 57 applicazioni in classifica nell’App Store per scoprire quali dati trasmettano.
Il 68% delle applicazioni invia attraverso la rete l’UDID (Unique Device Identifier) il codice identificativo del dispositivo utilizzato, mentre il 18% delle applicazioni invia informazioni cifrate che potrebbero contenere anche l’UDID.
Trasmettere il codice identificativo del dispositivo può servire per evitare fenomeni di pirateria, ma può diventare un problema di privacy se insieme ad esso vengono inviate informazioni sensibili come il nome dell’utente o la sua posizione geografica.
L’applicazione di Amazon ad esempio invia in chiaro il nome dell’utente loggato e l’UDID, cosicché un malintenzionato potrebbe sniffare il traffico dati e risalire automaticamente al nominativo dell’utente anche quando questo utilizza altre applicazioni che inviano solo il codicie identificativo.
Secondo Smith i problemi di privacy legati all’UDID sono analoghi a quelli generati dal codice identificativo che Intel aveva messo nei Pentium III. All’epoca ci fu un’inchiesta del governo statunitense che costrinse Intel a rilasciare un’utility per disattivare il codice e rimuoverlo dalle future CPU.
In realtà Apple è stata abbastanza attenta ai problemi di privacy e sicurezza, facendo in modo che tutte le applicazioni che desiderano conoscere la posizione del dispositivo o accedere alla rubrica degli indirizzi chiedano prima il consenso all’utente.
[via engadget]