Facebook ha i dati di tutti, anche di coloro che non hanno mai avuto un account sul social network. È ciò che ha scoperto Privacy International analizzando il comportamento di numerose app Android gratuite sul Play Store, scoprendo che molte di loro condividono dati, anche molto sensibili, con Facebook. Anche di utenti che non vi sono iscritti. Tra queste, figurano nomi di app molto conosciute come TripAdvisor, Skyscanner, Spotify, Indeed e Duolingo.
Gli strumenti utilizzati per la ricerca
Le applicazioni comunicano con Facebook tramite Facebook SDK (Software Development Kit), uno strumento utilizzato dagli sviluppatori per creare app. Sfruttando questa comunicazione, Privacy International ha utilizzato il software open source “Mitmproxy” per analizzare che tipo di dati vengono ricevuti da Facebook.
Dai risultati emerge che almeno il 61% delle app analizzate invia dati a Facebook automaticamente; tra queste, il 34% ha tra le 10 e le 500 milioni di installazioni. Inoltre, alcune app inviano periodicamente dei dati estremamente sensibili, che consentono di ricavare descrizioni dettagliate degli utenti. La scoperta più preoccupante, però, è che questi dati vengono inviati a Facebook anche se l’utente non ha nessun account sul social network.
Come avviene la comunicazione
La comunicazione tra l’app e Facebook avviene ancora prima che l’utente possa darne il consenso. Le prime informazioni inviate sono infatti avvisi come “app installata” o “SDK inizializzato”, che rivelano che l’utente sta utilizzando l’app; ciò avviene per ogni apertura. I dati trasmessi vengono poi raggruppati sotto un identificativo unico, il Google Advertising ID, che colleziona i comportamenti dell’utente in un unico grande profilo (e che viene utilizzato per creare pubblicità personalizzate in base agli interessi personali).
Come si ottiene un profilo di un utente
A prima vista, feedback come “app installata” possono sembrare innocui. Tuttavia, la combinazione di queste informazioni può contribuire alla creazione di una descrizione accurata di un utente, includendo informazioni sulla routine, salute e religione. Poniamo ad esempio che un utente abbia installato le seguenti app, che condividono i dati con Facebook: “Qibla Connect” (app per preghiere musulmane), “Period Tracker Clue” (app per il monitoraggio del ciclo), “Indeed” (app per la ricerca di lavoro) e “My Talking Tom” (un’app per bambini). Da queste poche informazioni si può facilmente ipotizzare che l’utente sia una donna, di religione musulmana, alla ricerca di un lavoro e probabilmente madre.
A volte invece, sono le applicazioni stesse a inviare informazioni rilevanti. È l’esempio dell’app KAYAK, che consente di osservare e comparare i prezzi per un viaggio. L’applicazione condivide con Facebook informazioni dettagliate sulla ricerca dei voli delle persone. Le informazioni comprendono la città, l’aereoporto e la data di partenza e di arrivo, il numero di biglietti (incluso il numero di bambini) e la classe del biglietto. Ovviamente, la condivisione avviene anche se l’utente non è iscritto a Facebook.
Moltiplicato per l’enorme numero di persone che utilizzano le app, Facebook è in grado di stilare profili con informazioni dettagliate di milioni di persone, anche se queste non sono iscritte al social network. Senza che ci si possa fare qualcosa: le Policy che regolano l’utilizzo dei Cookie di Facebook per le persone che non hanno un account non hanno impatto su questo tipo di dati. Nessuno è in grado di decidere se condividere o no questo tipo di informazioni.
E Facebook?
La discussione su Cambridge Analyitica riguardava i dati presenti sulla piattaforma. In questo caso, però, abbiamo a che fare con dati provenienti da altre app: per questo, Facebook ha scaricato la responsabilità sugli sviluppatori terzi. Nonostante ciò, per gli sviluppatori non è stato possibile scegliere se condividere o no i dati con Facebook solo dopo autorizzazione dell’utente per un notevole periodo di tempo, in quanto l’opzione di default di Facebook SDK era quella di trasmettere dati automaticamente. Solo a seguito delle proteste, e ben 35 giorni dopo l’entrata in vigore del GDPR, Facebook ha introdotto una funzione volontaria che consente agli sviluppatori di posticipare l’invio automatico di dati, solo dopo che l’utente abbia acconsentito. La funzione, però, funziona solo per versioni successive alla 4.3.
Sul sito di Privacy International è possibile cercare quali applicazioni condividono i dati con Facebook, e verificare anche il tipo di informazioni trasmesse.
Ancora una volta si riapre la discussione sulla trasparenza di Facebook, che dallo scandalo di Cambridge Analytica sembra essere coinvolta periodicamente in situazioni sempre più problematiche. È davvero giusto che i dati delle persone siano in mano a Facebook, nonostante non ci abbiano nulla a che fare? O dobbiamo accettarlo come prezzo da pagare per tutto ciò che internet oggi ci mette a disposizione?
Per rimanere informati sul mondo nerd, continuate a seguirci sul nostro sito DrCommodore.it e su Facebook, Instagram, Telegram, YouTube, Discord e Twitch.