Per quale motivo una tastiera alternativa per Android dovrebbe aver bisogno di accedere alla geo-localizzazione e collegarsi a dei server in Cina? La risposta è terribilmente semplice: per spiare gli utenti.
Questa è la conclusione di una ricerca effettuata da PenTest in cui i ricercatori dell’organizzazione inglese hanno messo sotto la lente di ingrandimento Flash Keyboard, un’app per Android che, stando al documento, sarebbe stata installata più volte di Whatsapp.
L’app, in teoria, è una tastiera alternativa che consente di sfruttare numerose funzioni aggiuntive, come emoticon, adesivi e un sistema proprietario di correzione automatica. Nel febbraio scorso, figurava all’11esimo posto tra le app più scaricate da Google Play negli Stati Uniti.
Secondo PenTest, però, l’app avrebbe altri obiettivi e, in particolare, quello di visualizzare pubblicità non richiesta, spiare gli utenti, registrare il loro comportamento e fornire queste informazioni a dei server in Cina.
Obiettivamente, quando si va a consultare l’elenco delle autorizzazioni relativi all’app qualche dubbio viene: Flash Keyboard chiede, praticamente, l’accesso a tutto.
In alcuni casi le autorizzazioni hanno una loro logica coerente con gli scopi dichiarati dell’app. L’accesso ai contatti, per esempio, è giustificato dal loro utilizzo nella funzione di correzione automatica, mentre quello alla fotocamera trova il suo perché nella funzione di creazione di adesivi personalizzati che utilizzano le foto dell’utente.
Anche il fatto che Flash Keyboard sostituisca la schermata di blocco predefinita caricandone una in cui vengono visualizzati annunci pubblicitari può rientrare in una logica politica di monetizzazione.
Meno comprensibile, però, è il perché l’app debba accedere ai servizi di geo-localizzazione e perché debba avere il permesso di arrestare altri processi attivi sullo smartphone, una funzione che molti malware usano per “abbattere” eventuali antivirus.
Se poi ci mettiamo il fatto che Flash Keyboard richiede il permesso di accedere ai log di sistema, che contengono informazioni sensibili come le credenziali dell’utente, diventa difficile non condividere i sospetti dei ricercatori di PenTest.
Tanto più che l’app, per sua stessa natura, ha ovviamente la possibilità teorica di registrare tutto quello che viene digitato sul dispositivo (password comprese) e, sempre teoricamente, comunicarlo a chi vuole.
Il problema è che, in quanto a rispetto della privacy, Flash Keyboard non brilla particolarmente per coerenza. Stando alle risultanze dell’analisi effettuata dai ricercatori di PenTest, l’app comunica regolarmente con alcuni server cinesi.
Il contenuto delle comunicazioni comprende una serie di informazioni riguardanti i dispositivi su cui è installata, tra cui il produttore del dispositivo, il modello, il codice IMEI (che identifica univocamente il dispositivo), la versione del sistema installato, l’indirizzo email del proprietario, l’identificativo SSID della rete Wi-Fi a cui è collegato, l’operatore mobile, le informazioni riguardanti i dispositivi bluetooth a portata di connessione e le informazioni riguardanti eventuali proxy utlizzati dal dispositivo.
Insomma: un bel po’ di informazioni che transitano dal dispositivo verso lidi sconosciuti, senza che gli utilizzatori possano rendersene conto.
Le conclusioni dei ricercatori, a dispetto della spietatezza con cui vengono messi in risalto gli aspetti preoccupanti legati ai permessi concessi all’app, sono piuttosto “morbide”.
La loro opinione è che l’app “non sia stata sviluppata con l’intenzione di nuocere agli utenti”. Nonostante ciò, mettono in risalto il fatto che buona parte delle funzioni dell’app violano le linee guida di Google per gli sviluppatori e che, nelle mani sbagliate (sigh) l’applicazione potrebbe sfruttare i permessi per avviare attività illegali.
Stando a quanto riportato nel documento, Flash Keyboard sarebbe stata rimossa da Google Play il 6 giugno 2016, salvo essere rimpiazzata da un’app chiamata “Flash Keyboard Lite” e che farebbe riferimento a un altro produttore. Nel momento in cui scriviamo, però, sulla versione italiana di Google Play sono presenti entrambe le app.