La truffa delle app cinesi sfiora Baidu, colosso della ricerca online

Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.

Non è passato troppo tempo da quando Cheetah Mobile, società sviluppatrice del famoso cache cleaner Clean Master e di altre celebri – quanto inutili – applicazioni per la manutenzione dello smartphone è stata sanzionata da Google, colpevole di aver attuato una serie di truffe pubblicitarie ai danni della casa di Mountain View – se volete leggere l’intera storia, vi rimandiamo a QUESTO EDIToriale. Oggi è invece un’inchiesta di di BuzzFeed News a collegare un altro colosso cinese delle applicazioni, DU Mobile, ad una truffa pubblicitaria che ha colpito AdMob, piattaforma per l’advertising all’interno delle applicazioni per smartphone. Rivelando un ecosistema di app affamate di permessi che sempre più spesso abusano del proprio ruolo a danno degli utenti e della salute dei loro smartphone.

Siete pronti per scoprire tutti i dettagli di questa truffa?

LE APPLICAZIONI CHE SAPEVANO TROPPO

Nonostante il flash dello smartphone sia stato utilizzato (quando presente) sin dagli albori della telefonia mobile in qualità di sostituto della torcia elettrica, solo nel 2015 Android ha finalmente introdotto una funzionalità integrata che consentisse di farne un simile uso senza ricorrere ad app di terze parti. Sino ad allora gli utenti del più diffuso sistema operativo mobile al mondo erano costretti a ricorrere a centinaia di applicazioni di terza o quarta categoria, che spesso includevano più funzionalità di quelle richieste (o utili in generale, come le luci intermittenti della polizia o quelle stroboscopiche) e richiedevano più permessi di quelli che sarebbero mai state autorizzate a ricevere.

Nonostante tutto, ancora oggi le app-torcia sono vive e vegete e la nuova inchiesta di BuzzFeed News segnala quanto sia facile cadere nella trappola di sviluppatori malintenzionati. Grazie ad una serie di ricerche condotte su oltre 4.500 applicazioni scelte tra quelle più popolari, più scaricate e più redditizie del Play Store negli Stati Uniti è risultato che almeno 6 sono riconducibili a DO Global, una società fino all’anno scorso di proprietà di Baiducolosso del digitale cinese che attualmente detiene circa il 34% del pacchetto azionario di DO Global. DO Global si sarebbe dunque resa colpevole di una serie di violazioni che hanno portato alla rimozione delle suddette applicazioni dal Play Store da parte di Google, alla quale sono state segnalate due ordini di irregolarità gravi:

  • la pubblicazione delle applicazioni sotto falso nome
  • l’utilizzo di codici interni alle app che portavano alla generazione di click fasulli.

Nel primo caso, DO Global si è servita di una sua sussidiaria statunitense, Pic Tool Group, per la gestione di cinque delle sei applicazioni individuate da BuzzFeed in collaborazione con gli istituti di ricerca e sicurezza Check Point e Method Media Intelligence (la sesta era stata pubblicata da una seconda sussidiaria: Photo Artist Studio). Così facendo, chi andava a installare le app non poteva in alcun modo ricondurre la loro proprietà a DO Global.

DO Global, ex-sussidiaria di Baidu, è ancora collegata alla casa madre da un 34% di proprietà che il colosso cinese dispone nell’azienda, divenuta indipendente da poco più di un anno

La seconda anomalia si è però rivelata essere la più grave di tutte: le sei applicazioni, oltre a richiedere un numero spropositato di permessi, si servivano di una serie di codici di programmazione illegali tramite i quali venivano generati falsi click sulle pubblicità interne alle app, qualora l’utente non vi interagisse. La cosiddetta “click fraud” funzionava in maniera del tutto automatica, anche quando le applicazioni non erano in usoconsumando così energia all’insaputa dell’utente.

Le applicazioni erano le seguenti:

  • Selfie Camera – Beauty Camera & Photo Editor (oltre 50 milioni di download; 50 permessi richiesti, di cui 9 considerati sensibili e/o pericolosi);
  • AIO Flashlight (oltre 50 milioni di download; 31 permessi richiesti, di cui 7 considerati sensibili e/o pericolosi);
  • Total Cleaner (oltre 10 milioni di download);
  • Smart Cooler (oltre 10 milioni di download);
  • RAM Master (oltre 10 milioni di download);
  • Omni Cleaner (oltre 10 milioni di download).

Ulteriore stranezza riferita a queste applicazioni consiste nelle privacy policy: in larga parte queste venivano ospitate all’interno di pagine Tumblruna scelta già di per sé estremamente curiosa – dai nomi più riferibili ad account di adolescenti liceali che di aziende da oltre cinquanta milioni di installazioni su Google Play, come yesexactlyinnerbouquetstuff.tumblr.com/ o superiorzzr.tumblr.com. Stando poi ad un’analisi fornita a BuzzFeed da Lukas Stefanko, ricercatore esperto di ESET, le applicazioni disponevano di codici che consentivano loro di effettuare un range di azioni decisamente più ampio rispetto alla sola generazione di click, come la visualizzazione di siti web esterni. Queste privacy policy poi non specificavano nemmeno quali dati venivano collezionati, né se e in quale quantità erano inviati al di fuori dell’Unione Europea.

Ma DO Global non era certamente in cattiva compagnia: le app di Peel Technologies rientrano infatti tra le applicazioni problematiche in materia di permessi individuate da BuzzFeed nella sua inchiesta. Divenute estremamente popolari tra il 2011 e il 2012, tanto da essere preinstallate negli smartphone della linea Galaxy di Samsung, detengono quasi tutte un record negativo per numero di permessi. Secondo l’analisi effettuata dal quotidiano online, la sola Samsung TV Remote Control – che ha totalizzato oltre 1 milione di download, ed è disponibile anche in Italia – richiede 58 permessi, di cui 23 considerati estremamente sensibili dalle linee-guida di Android.

Tutte le app di Peel Technologies sono coperte da una singola privacy policy, che dimostra come tali applicazioni possano accedere alla posizione del dispositivo, all’indirizzo IP, siano in grado di identificare il comportamento dell’utente durante l’utilizzo dell’app e possano persino effettuare registrazioni attraverso il microfono del dispositivo quando l’app è attiva. La società, interrogata in merito da BuzzFeed, ha negato che quest’ultimo permesso sia mai stato utilizzato, ma non ha saputo fornire una risposta in merito ai motivi che possano giustificarne la citazione nella privacy policy.

SINDROME CINESE

Le rivelazioni di BuzzFeed vanno lette non nella limitata visione di un discorso tecnico relativo alla sicurezza delle applicazioni sul Play Store, ma alla luce delle frizioni tra Stati Uniti e Cina che da diversi mesi tengono impegnata la stampa internazionale.

Per quanto infatti le violazioni compiute da DO Global siano estremamente gravi, e le sue connessioni con Baidu molto sospette – specialmente alla luce di comportamenti passati e presenti del colosso cinese – e pur nella consapevolezza che l’atteggiamento degli sviluppatori cinesi sia spesso truffaldino e volto all’illegalità (Richard Kramer, ricercatore presso Arete Research, sostiene che “le truffe pubblicitarie sono la norma in Cina“), è chiaro che l’evidenza data alla provenienza cinese delle società coinvolte o alla destinazione, spesso in server sotto il controllo di Pechino, dei dati collezionati in America non sia casuale da parte di BuzzFeed.

Le tensioni tra USA e Cina sono salite, e di molto, quando la figlia del fondatore di Huawei è stata arrestata in Canada su mandato statunitense: l’accusa è di violazione di embargo

Già al momento della pubblicazione, qualche settimana fa, delle accuse a Cheetah Mobile e alla sua truffa pubblicitaria, più di un senatore statunitense si era pronunciato contro le software house cinesi, chiedendo restrizioni alla loro presenza nei market di applicazioni americani e occidentali.

Un’ostilità che comunque non ci sentiamo di definire ingiustificata: come già detto, molte delle grandi e piccole compagnie di sviluppo cinesi agiscono all’interno di una “zona grigia” dove è l’illegalità e il mancato rispetto delle regole, specialmente in materia di privacy, a farla da padrone. In barba al GDPR.

Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!

Se non volete perdervi nè le prossime News nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).

Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter e sul nostro canale Telegram! Grazie mille!

Commenti

This website uses cookies to improve your experience. We'll assume you're ok with this, but you can opt-out if you wish. AcceptRead More

//