Retroscena
5733

Allarme sicurezza: Meitu - l'app che catapulta i tuoi dati personali in Cina

Dominik Bärlocher
20.1.2017
Traduzione: tradotto automaticamente

L'applicazione cinese Meitu abbellisce le tue foto secondo gli standard di bellezza cinesi, con sfarzo, kitsch e tinte pastello. Inoltre, invia i tuoi dati personali in Cina senza essere invitato. Quindi: non installare l'applicazione e disinstallala.

Il quotidiano gratuito 20 minuti ha annunciato ieri: "Raz de marée des filtres de l'app de selfie Meitu". L'articolo parla del clamore suscitato dall'app Meitu. Nei prossimi giorni saranno sicuramente molte le persone che scaricheranno l'applicazione.

Gli utenti che scaricano l'app sui loro telefoni corrono dei rischi: sul suo account Twitter, il ricercatore di sicurezza FourOctets ha richiamato l'attenzione sulle seguenti violazioni della sicurezza

Visto che Twitter è ormai una delle piattaforme di scambio nel campo dell'InfoSec, la ricerca è partita. Incredulo, Greg Linares pubblica il seguente Tweet: "Se ho capito bene, hai installato un'applicazione con i seguenti permessi. Fammi sapere come va a finire"
.

In francese:

Cronologia del dispositivo e dell'app

  • Recupera le app in esecuzione

Dati sulla posizione

  • posizione approssimativa (basata sulla rete)
  • Posizione accurata (GPS e rete)

Telefono

  • visualizza lo stato e l'identità del telefono

Foto/multimedia/files

  • Leggere il contenuto della memoria di archiviazione USB
  • Modificare o cancellare il contenuto della memoria di archiviazione USB

Spazio di memoria

  • Leggi il contenuto della memoria di archiviazione USB
  • Modificare o cancellare il contenuto della memoria di archiviazione USB

Camera

  • Scattare foto e girare video
  • Informazioni sulla connessione Wi-Fi
  • visualizza le connessioni Wi-Fi

Informazioni sull'ID del dispositivo e sulle chiamate

  • visualizza lo stato e l'identità del telefono

Altro

  • Ricevere dati da Internet
  • visualizzare le connessioni di rete
  • modificare le impostazioni di visualizzazione del sistema
  • usufruire dell'accesso completo alla rete
  • cambia le impostazioni audio
  • eseguire all'avvio
  • Riorganizza le applicazioni in esecuzione
  • Controlla la vibrazione
  • Impedisce al dispositivo di andare a dormire
  • Verifica della licenza di Google Play

Per fare un confronto: l'app di Facebook è interessata ai tuoi dati allo stesso modo, ma offre anche molte più funzioni. Per Meitu, l'accesso alla memoria e alla fotocamera sarebbe stato sufficiente se i programmatori avessero potuto essere minimalisti.

Che cos'è il mio IMEI?

IMEI è l'acronimo di Mobile Equipment Identity. Letteralmente: identità internazionale delle apparecchiature mobili. Tutti gli "smart" che hai in tasca hanno un IMEI, cioè il tuo smartphone, smartwatch, tablet, phablet, ecc. Il numero IMEI è una serie di numeri. Ogni dispositivo ha un numero unico che generalmente rimane segreto e inutilizzato. Grazie all'IMEI, puoi sapere con certezza quale telefono viene utilizzato per trasmettere il segnale.

L'IMEI è uno dei metadati più importanti nel campo della telefonia mobile. Certo, non ti identifica direttamente, ma se sul tuo telefono hai un account che hai protetto con una password, un PIN o un'impronta digitale e il tuo account si chiama prénom.nom@gmail.com o quasi, allora tutto è chiaro.

In questo video (in tedesco), l'analista di dati David Kriesel spiega tutto ciò che si può fare con i metadati (a partire da 12:08).

Inoltre, secondo AndroidPolice.com, i dati relativi ai modelli di smartphone, alle risoluzioni dello schermo, alle versioni di Android e iOS, all'indirizzo MAC del dispositivo e altri dati vengono trasmessi al server cinese.

In cambio di selfie, Meitu invia questi dati in tutto il mondo. Tra l'altro in Cina, un paese che non sempre ha a cuore i diritti umani e la legge.

Perché Meitu sta facendo questo?

Ci sono ancora molte speculazioni sul perché, ma l'utente di Twitter Pheonix7284 pensa di avere una soluzione. Egli rimanda a un articolo di InsidePrivacy.com, che illustra le nuove condizioni che devono essere soddisfatte dalle app in Cina.

In breve: dal 1° agosto 2016, tutte le app programmate in Cina devono raccogliere i metadati.

  • Le app devono autenticare i propri utenti allegando un numero di telefono verificato o qualsiasi altro dato identificato a un profilo online. Così il tuo profilo Twitter anonimo è collegato al tuo account chiamato prénom.nom@gmail.com.
  • Le registrazioni delle tue attività devono essere salvate per 60 giorni
  • L'applicazione deve rispettare le autorità di regolamentazione e ottenere licenze specifiche. Questo aspetto non è descritto in modo più dettagliato.
  • I fornitori dell'app devono essere in grado di garantire che la loro app non autorizzi alcuna pubblicazione che possa violare in qualche modo la legge cinese.
  • I fornitori di app devono essere in grado di rintracciare queste violazioni sul lato software
  • I fornitori di app devono menzionare tutte le violazioni senza eccezioni
  • I fornitori di app devono sottoporsi a una o più ispezioni delle autorità locali

La Cina pratica ancora la censura. Hai bisogno di qualche esempio?

Se cerchi "Piazza Tienanmen" (letteralmente: Piazza della Porta della Pace Celeste) nella versione svizzera di Google, appaiono i seguenti risultati:

Se cerchi 天安门广场 - la traduzione cinese del nome della località - su Google Hong Kong (non esiste una versione diretta in cinese), troverai i seguenti risultati:

Ma, nonostante il suo grande firewall, la Cina ha un proprio motore di ricerca: si chiama Baidu. Quindi, se lanciamo Baidu e cerca 天安门广场, appaiono i seguenti risultati:

Le ripercussioni della censura

Ti starai chiedendo "Quali proteste?". Forse non sai molto di queste proteste, ma sicuramente ne avrai già visto una foto. I cinesi che non guardano mai fuori dalla Cina non conoscono l'immagine iconica del Tank Man.

Al di fuori della Cina, l'immagine è facilmente reperibile utilizzando direttamente la versione internazionale di Google. Il problema è che questo potrebbe già essere considerato come una violazione della legge cinese e ti farebbe passare per un dissidente politico. Come turista, questo non è un grosso problema. Ma se sei un cittadino cinese che deve vivere in Cina, hai grossi problemi che, nel peggiore dei casi, potrebbero trasformarsi in un'esecuzione.

I meccanismi imposti ai fornitori di applicazioni cinesi - in particolare quelle con caratteristiche identificative - servono quindi a rintracciare e identificare i dissidenti. Eccezionalmente, non si tratta di pubblicità, ma di vite umane.

Ora...

Ecco la mia domanda polemica: in cambio di qualche selfie insolito, riveleresti la tua identità ai cinesi in modo che possano analizzare i tuoi dati e magari segnalarti come dissidente e pericolo per il loro governo?

Ti potrebbero interessare anche questi articoli

  • Retroscena

    Vulnerabilità della sicurezza di WhatsApp - L'inventore parla di "problema fondamentale della crittografia"

    di Dominik Bärlocher

A 57 persone piace questo articolo

User Avatar
User Avatar
Dominik Bärlocher
Senior Editor
dominik.baerlocher@digitecgalaxus.ch

Giornalista. Autore. Hacker. Sono un contastorie e mi piace scovare segreti, tabù, limiti e documentare il mondo, scrivendo nero su bianco. Non perché sappia farlo, ma perché non so fare altro.

Smartphone
Segui gli argomenti e ricevi gli aggiornamenti settimanali relativi ai tuoi interessi.

33 commenti

Avatar
later