Una API, una libreria software chiamata IAM (Installed Application Methods), presente nel sistema operativo Android, metterebbe a rischio la privacy degli utenti. La tesi è esposta in uno studio chiamato “Leave my Apps Alone! A Study on how Android Developers Access Installed Apps on User’s Device”, effettuato da un gruppo di quattro ricercatori accademici provenienti dalle Università dell’Aquila, di Amsterdam e di Zurigo, che sarà ufficialmente presentato il prossimo autunno, durante la conferenza MOBILESoft 2020 che si svolgerà nella Corea del Sud.
Le API in questione non sono frutto di hacker o virus, ma fanno parte della dotazione software del sistema operativo stesso e servono per consentire agli sviluppatori di accedere all’elenco di tutte le app installate sul sistema, al fine di individuare eventuali conflitti o incompatibilità con la propria, o al contrario, di garantire la corretta interazione tra la propria e altre app.
Purtroppo però questo apre a potenziali rischi. Un malintenzionato infatti può ottenere accesso all’elenco di tutte le app installate su un dispositivo, con la possibilità di tracciare così abitudini e interessi del singolo utente. Quest’ultimo inoltre sarebbe del tutto inconsapevole perché le API di sistema come le IAM non richiedono autorizzazioni all’utente per accedere alla lista delle app, né è possibile bloccarne l’esecuzione.
Dalle analisi eseguite su 14.342 app Android pubblicate nelle categorie più popolari del Google Play Store, è così emerso che ben il 30,29% di esse, pari a 4214 app, usa le API IAM. I ricercatori inoltre hanno scoperto che almeno 1/3 delle app che sfruttano tali librerie lo fanno proprio per scopi commerciali e non strettamente tecnici, quindi proprio per analizzare la lista delle applicazioni installate su un dispositivo, al fine di “spiare” le abitudini degli utenti e raccogliere dati preziosi per la profilazione.
I ricercatori esortano dunque Google a limitare l’uso delle chiamate IAM. Secondo il team di ricerca, lo scenario migliore sarebbe quello in cui Google sottopone le chiamate IAM a una richiesta di autorizzazione all’utente, magari tramite un pop up informativo, che renda l’utente consapevole della funzione e dei rischi annessi. Al momento non si hanno notizie di risposte ufficiali da aprte di Google.