8.000 app con decine o centinaia di milioni di installazioni, presenti sul Google Play Store, violano le norme relative all'ID Advertising di Google: queste app infatti raccolgono dati identificativi persistenti come numeri seriali, IMEI, indirizzi MAC delle reti wifi, numeri di serie della scheda SIM ecc... inviandoli ai rispettivi domini relativi alla pubblicità mobile. Il problema risiede nel fatto che la quasi totalità delle aziende che gestiscono tali app affermano, nelle proprie policy, di non utilizzare alcun identificativo persistente del dispositivo per targetizzare gli annunci, fatto che comunque viola le policy relative all'ID Advertising del Google Play Store.
L'invio di dati sensibili (poiché indicativi di un preciso utente) e non resettabili (perché permanenti) è molto preoccupante, dato che annulla completamente la tutela della privacy dell'utente nella gestione degli annunci pubblicitari. Un caso simile si era già verificato e coinvolgeva un nome importante: l'app di UBER infatti, nel 2017, aveva violato le linee guida sulla privacy dell'App Store iOS, dato che raccoglieva identificativi persistenti non resettabili. Il problema fu risolto con la minaccia, da parte di Tim Cook in persona, di rimuovere l'app di Uber dallo store.
Il comportamento di tali app crea una grave falla nella privacy degli utenti dato che, anche nel caso in cui l'utente decidesse di resettare l'ID pubblicitario, questo non si traduce affatto in una nuova identità: al contrario gli sviluppatori delle app possono usare ancora moltissimi altri identificatori per mantenere il monitoraggio sui propri ads e targettizzarli sull'utente.
Sotto elenchiamo alcune delle più diffuse di queste 18.000 app:
Clean Master - Antivirus, Cleaner & Booster - 1 miliardo di installazioni
Subway Surfers - 1 miliardo di installazioni
Flipboard: News For Our Time - 500 milioni di installazioni
My Talking Tom - 500 milioni di installazioni
Temple Run 2 - 100 milioni di installazioni
Azar - 100 milioni di installazioni
8 Ball Pool - 100 milioni di installazioni
Agar.io - 100 milioni di installazioni
Angry Birds Classic - 100 milioni di installazioni
Audiobook from Audible - 100 milioni di installazioni
condividono l'Ad ID e l'ID di Android.
Battery Doctor - 100 milioni di installazioni
CamScanner - Phone PDF Creator - 100 milioni di installazioni
3D Bowling - 100 milioni di installazioni
condividono Ad ID, Android ID e Imei.
AppCensus, organizzazione composta da ricercatori di sicurezza di tutto il mondo con sede in California e supportata dal National Science Foundation, dal Department of Homeland Security e dal Data Transparency Lab statunitensi, ha inviato a Google un report relativo a questa problematica già nel Settembre 2018: al tempo la lista delle app spione si fermava a 17.000 app, mentre erano già 30 i domini elencati relativi alla pubblicità mobile ai quali vengono inviati i vari ID. L'analisi confermava come tali dati vengano usati (tutt'oggi) per posizionare gli annunci nelle varie app e per tracciare il livello di coinvolgimento e la risposta degli utenti agli annunci.
Google e la Privacy
L'immagine sottostante, pubblicata da Bleeping Computer, evidenzia alcuni passaggi della policy di Google relativa all'Android Advertising ID e rende evidente come queste app raccolgano tipologie di dati in aperta violazione della policy stessa.
Google non ha ancora risposto al report inviato da AppCensus. Va comunque sottolineato come, nel corso dell'annuale revisione del Google Play store, la società abbia respinto il 55% in più di app per Android e rimosso decine di migliaia di app non conformi alle policy relative ai dati e alla privacy degli utenti.
