Ben l’88% delle quasi 21.000 applicazioni di salute mobile (mHealth) che sono reperibili sul Google Play Store Australia, contengono codice che può accedere e persino condividere i dati personali degli utenti con terze parti, è quanto emerge da un’indagine della Optus Macquarie University Cyber Security Hub di Sydney, un’indagine molto interessante da cui possiamo trarre alcuni spunti di riflessione.
Il documento – dal titolo Mobile health and privacy: cross sectional study e pubblicato dal British Medical Journal – ha preso in esame 8.000 app classificate come ‘mediche’ e 13.000 app che rientrano nella fascia ‘salute e fitness’. Si tratta per la maggior parte di app mHealth presenti nel Google Play Store Australia. Nel complesso, quasi 100.000 app disponibili su Google Play e Apple Store appartengono a queste due categorie.
Nell’ambito della ricerca, gli studiosi hanno condotto un’analisi approfondita di quasi 16.000 app mHealth gratuite trovate nel marketplace di Google e hanno confrontato le loro politiche di privacy con un campione di base di quasi 8.500 app non mHealth.
Che cosa ha rilevato l’indagine?
“I principali tipi di dati raccolti dalle app mHealth includono informazioni di contatto, posizione dell’utente e diversi identificatori di dispositivi. Parte di questi (in particolare, l’International Mobile Equipment Identity (IMEI), identificatore unico utilizzato per il fingerprinting dei telefoni cellulari; il Media Access Control (MAC), identificatore unico dell’interfaccia di rete nel dispositivo dell’utente; e l’International Mobile Subscriber Identity (IMSI), numero che identifica in modo univoco ogni utente di una rete cellulare) sono unici e persistenti (cioè, sono immutabili e non possono essere cambiati o sostituiti) e possono essere utilizzati da terze parti per tracciare gli utenti attraverso reti e applicazioni”, si legge nel documento.
Due applicazioni su tre hanno acquisito identificatori MAC e cookie, un terzo ha raccolto gli indirizzi e-mail degli utenti e circa un quarto delle applicazioni potrebbe individuare la posizione attuale dell’utente in base alla cella telefonica a cui è collegato.
Tuttavia, rispetto ad altri tipi di app, le app mHealth raccolgono e trasmettono meno dati degli utenti e hanno dimostrato una minore penetrazione dei servizi di terze parti. La trasmissione di dati è stata registrata solo in circa il 4% delle app mHealth testate, con i tipi più comuni di dati trasmessi che includono i nomi e le posizioni degli utenti.
Anche se l’indagine ha concluso che il modo in cui le app mHealth recuperano e condividono i dati degli utenti potrebbe essere considerato di routine, la divulgazione di queste procedure è tutt’altro che trasparente. Quasi un quarto delle trasmissioni di dati degli utenti, in particolare di quelli riguardanti le password e i dati di localizzazione, sono state osservate mentre avvenivano su una connessione HTTP non sicura e non criptata. Quasi un terzo delle app mHealth non offriva alcun tipo di policy sulla privacy che dettagliasse come i dati venivano gestiti.
Al tempo stesso, un altro quarto delle app analizzate ha gestito i dati in aperta violazione delle politiche sulla privacy. Questo potrebbe rappresentare un problema per le aziende, che diventerebbero passibili di sanzioni per la violazione delle norme sulla privacy, come ad esempio il Regolamento generale per la protezione dei dati dell’Unione Europea (GDPR), che richiede che gli utenti siano chiaramente informati su come i loro dati vengono gestiti.
“Le app mobili stanno rapidamente diventando fonti di informazioni e strumenti di supporto decisionale sia per i medici che per i pazienti. Tali rischi per la privacy dovrebbero essere esposti ai pazienti e dovrebbero essere resi parte del consenso all’uso delle app. Crediamo che il trade-off tra i benefici e i rischi delle app mHealth dovrebbe essere considerato tema di discussione tecnica e normativa in merito ai servizi che queste app forniscono”, conclude il documento.
Non è una novità che per essere efficaci, le app mobili richiedano l’accesso ad alcuni dati personali o alle caratteristiche dei nostri dispositivi mobili, tipicamente contatti, posizione, microfono o fotocamera. In molti casi, tuttavia, le app recepiscono quantità smodate di informazioni personali e chiedono permessi di cui non hanno realmente bisogno per una funzione o un’altra. Tony Anscombe, Chief Security Evangelist di ESET, ha recentemente spiegato il motivo per cui si dovrebbe prestare attenzione a quali tipi di permessi si concedono alle app mobili e come capire quando le richieste sono eccessive.
Di Fabio Buccigrossi, Country Manager di ESET in Italia