Alibaba ed il browser spione

Anche se ancora non diffuso in maniera ubiqua nel nostro Paese, il browser mobile UC Browser – di proprietà del colosso cinese Alibaba – è diventato una delle applicazioni più popolari del suo genere in tutto il mondo con oltre 500 milioni di Download solo su Android. Basti pensare che, secondo un'analisi, è il quarto browser per numero di utenti a livello mondiale.

Una delle grandi attrattive di questa app è sicuramente la modalità incognito.

Se siete tra coloro i quali nell'ultimo mese hanno scaricato UC Browser, sia da Google Play sia dall'App Store iOS di Apple, vi sarà stato promesso che con la sua modalità "incognito", nessuna navigazione web o storia di ricerca sarebbe stata registrata.

Ma le promesse sulla privacy fatte da UCWeb sono fuorvianti, secondo il ricercatore Gabi Cirlig. Le sue scoperte, come riportato nelle ultime ore anche da Forbes, rivelano che su entrambe le versioni Android e iOS di UC Browser, ogni sito web che un utente visita, indipendentemente dal fatto che sia in modalità incognito o meno, viene inviato ai server di proprietà di UCWeb.

Il ricercatore ha detto che gli indirizzi IP - che potrebbero essere utilizzati per ottenere la posizione approssimativa di un utente fino alla città o al quartiere dell'utente - sono stati anche inviati ai server controllati da Alibaba.

Questi server erano registrati in Cina e portavano l'estensione del nome di dominio cinese .cn, ma erano ospitati negli Stati Uniti.

Come se non bastasse, un numero di identificazione viene anche assegnato ad ogni utente, il che significa che la loro attività su diversi siti web potrebbe effettivamente essere monitorata dalla società cinese, anche se non è attualmente chiaro cosa Alibaba e la sua controllata stiano facendo con i dati.

Questo potrebbe, ha ipotizzato Cirlig, facilmente permettere di "prendere le impronte digitali" degli utenti e collegarli alle persone fisiche.

Come è stato scoperto questo "traffico"

Cirlig è stato in grado di scoprire il problema con il "reverse engineering" di alcuni dati crittografati che ha visto essere inviati a Pechino.

Il reverse engineering di un codice permette ai programmatori come Cirlig di invertire i processi di sviluppo e produzione di un software e quindi di ottenere uno sguardo prezioso dietro le quinte di un programma.

Una volta compiuta questa operazione, quindi, è stato in grado di vedere che ogni volta che ha visitato un sito web, la sua attività è stata criptata e trasmessa verso Alibaba.

Un'attività decisamente preoccupante a livello di privacy. La modalità incognito esiste per un motivo: Chrome di Google, per esempio, non trasferisce le abitudini di navigazione dell'utente quando è in incognito.

Cirlig stesso ha detto che ha esaminato altri browser importanti e ha trovato che nessuno fa lo stesso di UC Browser.

In un video, Cirlig ha dimostrato cosa stava accadendo mentre usava UC Browser, compreso come un numero di identità unico era stato collegato a lui.

Un problema che arriva da oriente?

Questa non è la prima volta che i giganti tecnologici cinesi sono stati trovati a tracciare gli utenti.

I problemi in UC Browser non sono dissimili da quelli trovati da Cirlig l'anno scorso quando ha esaminato la sicurezza del browser di Xiaomi, l'applicazione predefinita per le ricerche web sui telefoni del gigante cinese.

Sorpresa sorpresa, questa stava facendo più o meno lo stesso, registrando ogni sito web visitato da un utente, anche quando l'utente era in modalità incognito.

Xiaomi, dal canto sui, anche se al tempo ha negato le scoperte dei ricercatori, ha poi rilasciato un aggiornamento per l'applicazione che consente agli utenti di rinunciare alla raccolta di tutti i dati.

Questa notizia, tra l'altro, è arrivata subito dopo che Cirlig ha scoperto che un altro sviluppatore di app cinese Cheetah Mobile, quotato alla Borsa di New York, aveva un'app di sicurezza con un browser "privato" che stava raccogliendo informazioni sull'uso di internet e i nomi dei punti di accesso Wi-Fi, tra gli altri dati.

Cheetah ha detto che ha richiesto i dati per aiutare a garantire che gli utenti non visitassero siti web pericolosi e che l'app funzionasse correttamente…

Cosa ci insegnano questi casi?

Meno di quanto si possa sperare.

Sfortunatamente il tema della privacy ormai è diventato talmente pubblico da non fare quasi più notizia se non a livello settoriale.

Come è facile intuire, anche se non può piacere, la privacy è stata ormai da tempo sacrificata sull'altare della comodità, del servizio, dell'interazione e soprattutto dell'essere digitale.

Aspettarsi che il proprietario del più grande eCommerce asiatico costruisca un browser senza volerne trarre profitto da ogni singolo "pezzettino" è ingenuo.

Tutti ciò che consumiamo e che mettiamo in rete ha un prezzo. Un prezzo che non paghiamo in denaro, ma che saldiamo attraverso i dati che tutti i vari provider a cui siamo iscritti o di cui facciamo uso estrapolano su di noi.

D'altronde nessuno di noi, immagino, ha la pretesa di credere che i vari Google, Linkedin, Facebook o Bing (solo per citare i nomi più in vista, non perché siano i "peggiori") siano diventati i giganti che sono semplicemente vendendo quelle pubblicità un po' fastidiose che ci troviamo ogni tanto scorrendo la Timeline o in alto alla pagina di ricerca.

Non esiste una vera soluzione al problema.

L'unico accorgimento che possiamo avere è la consapevolezza. Consapevolezza che le nostre informazioni sono ormai pubbliche e o lo possono diventare dal momento in cui le digitiamo (anche dietro il velo dell'incognito).

Dobbiamo comportarci di conseguenza e non abbassare la guardia!