Ring Doorbell, ancora problemi di sicurezza: l'app per Android invia dati a terze parti

La Electronic Frontier Foundation ha svelato questa settimana un'analisi che mostra che l'app Ring Doorbell per Android - l'app per gestire i campanelli smart Ring Doorbell di Amazon - potrebbe consentire a terze parti di tracciare gli utenti e le loro attività. L'analisi ha rivelato l'esistenza di quattro "società di marketing e analitica" che hanno ricevuto informazioni senza che siano state inviate esplicitamente dall'utente dell'app.

L'analisi evidenzia come all'interno della Ring Doorbell App si trovino quattro diversi meccanismi di data-tracking di realtà quali Branch, MixPanel, AppsFlyer e Facebook. Il sistema invia anche dati a Crashalytics di Google, ma l'analisi di EFF osserva che "è ancora da stabilire l'esatto motivo della condivisione di informazioni con questi servizi"

Lo della Electronic Frontier Foundation è stato condotto con la versione 3.21.1 dell'app per Android. Ciascuno dei quattro sistemi di data-tracking citato poco sopra riceve informazioni dall'app Ring Doorbell che possono spaziare da dettagli innocui fino ad elementi che possono potenzialmente permettere di identificare il device, e in secondo luogo l'utente.

Elenchiamo per comodità di consultazione le scoperte della EFF:

Condivisi con Branch
• Device Fingerprint ID
• Hardware ID
• Identity ID
• Indirizzo IP locale del dispositivo
• Modello del dispositivo
• Risoluzione dello schermo
• DPI dello schermo
• Lingua
• Sistema operativo
• Stato del WiFi

Condivisi con Facebook
• Advertiser ID
• Advertiser Tracking
• Anon ID
• Application Tracking
• Localizzazione fisica
• Modello del dispositivo
• Risoluzione dello schermo
• DPI dello schermo
• Lingua

Condivisi con Mixpanel
• Ora di log-in
• User ID
• Nome dell'utente
• Indirizzo email dell'utente
• Stato del Bluetooth
• Sistema operativo
• Impostazioni dell'app (numero di dispositivi Ring connessi e loro configurazione)

Condivisi con AppsFlyer
• Modello del dispositivo
• Risoluzione dello schermo
• DPI dello schermo
• Paese
• Data
• Ora
• Livello di batteria del dispositivo
• Tipo di processore del dispositivo
• Informazioni dei sensori (magnetometro, giroscopio, accelerometro)
• AppsFlyer status

La Foundation sottolinea inoltre che l'elenco dei servizi di terze parti ammessi da Ring citano espressamente Mixpanel, Google Analytics, HotJar e Optimizely. Sono invece assenti Facebook, Branch, AppsFlyer, and Crashalytics. 

Il pericolo nell'inviare anche piccoli frammenti di informazione è che le società di tracking e analitica sono in grado di comporre questi frammenti insieme per formare un quadro più completo del dispositivo dell'utente. Quadro che ovviamente avrà caratteristiche di unicità, quasi una sorta di "impronta digitale" che segue l'utente e le sue interazioni con altre app e con il dispositivo stesso. In questo modo è possibile tracciare letteralmente l'attività dell'utente e la sua "vita digitale". Ovviamente tutto ciò accade senza che l'utente ne possa essere consapevole poiché non viene informato della possibilità di condivisione e nella maggior parte dei casi non ha modo di mitigare quanto accade.

E' solo l'ultimo di una serie di episodi che ha portato i dispositivi Ring a mostrare il fianco per quanto riguarda la sicurezza delle informazioni che si trova a gestire. Ne abbiamo già parlato in due casi: Falla di sicurezza nei campanelli smart Amazon Ring: possono esporre la password del WiFi e Circolano in rete migliaia di password dei campanelli smart Ring.