Cosa sappiamo degli smartphone cinesi con spyware


In questi giorni sui giornali e blog di riferimento di tecnologia non si parla d’altro. Una ricerca delle Università di Dublino ed Edimburgo, mette in guardia sui pericoli relativi alla privacy che procurerebbero una selezione di smartphone cinesi di brand molto popolari e tra i primi cinque in termini di spedizioni globali ed europee. Se da una parte appare inquietante quanto rivelato dai ricercatori, d’altra parte chi ha uno smartphone cinese acquistato in Europa, può star tranquillo. Ad essere i meno sicuri in termini di privacy, sono infatti gli smartphone acquistati in Cina e dunque con firmware cinese.

La Cina è il Paese con più dispositivi Android

La Cina come riporta lo studio, dal 2021 è il Paese con il maggior numero di smartphone Android (oltre il 70%). I ricercatori hanno utilizzato una serie di tecniche e di analisi del codice per studiare i dati trasmessi dalle app di sistema preinstallate sui dispositivi, dai tre brand più popolari in Cina. Chi ha firmato lo studio ha definito “allarmante” il numero delle app preinstallate, del fornitore e delle app di terze parti, in particolar modo per i privilegi concessi. Gli studiosi hanno analizzato il traffico e nei pacchetti trasmessi vengono inviati a domini di terze parti informazioni sensibili sulla privacy del dispositivo dell’utente, come gli identificatori persistenti (dei dati univoci che identificano uno smartphone), i dati del GPS, il numero di telefono, le app installate e le relazioni sociali (la cronologia delle chiamate e gli SMS). Il tutto senza consenso o notifica. Avviene dunque una preoccupante de-anonimizzazione che può proseguire anche al di fuori dei confini cinesi, quando l’utente è in viaggio per svago o affari. Secondo i ricercatori è dunque necessaria una legislazione sulla privacy più rigorosa. Lo studio ha preso in considerazione i brand OPPO, OnePlus, Xiaomi e realme.

Come riporta lo studio, in tutto il mondo, dall’Europa, al Nord America, il Brasile e il Giappone, la privacy e i dati degli utenti sono sempre più al centro dell’attenzione delle autorità di regolamentazione. Anche in Cina è stata adottata una legge sulla protezione dei dati personali, (ovvero la PIPL, Personal Information Protection Law) che prende spunto per certi versi al GDPR europeo. Alcuni brand hanno persino abbandonato il Paese asiatico per via delle restrizioni imposte dalla legislazione entrata in vigore nel novembre del 2021, come ad esempio Yahoo (fonte). Tuttavia, secondo lo studio, è ancora impalpabile la misura con cui i venditori di smartphone rispettano queste disposizioni, con il consenso dell’utente ancora poco considerato.

Cosa dice la ricerca, in breve

Nel documento sono state analizzate le app di sistema di Android e le relative autorizzazione, la comunicazione delle stesse con i server al fine di fornire agli utenti l’esperienza per cui sono state sviluppate. Lo studio ha preso in considerazione app come Messaggi, Maps e le Impostazioni, oltre alle app preinstallate. La ricerca si basa su un identikit di un utente che non utilizza servizi Cloud ed esula dalle app di terze parti che gli utenti potrebbero installare in autonomia. I dati prelevati dagli smartphone interessati sono forniti non solo al produttore, ma anche ad alcuni operatori cinesi, come China Mobile e China Unicom. Questo anche se non vi è alcuna scheda SIM presente nel dispositivo oppure con una SIM in grado di fornire connettività ad un altro operatore in Cina o ad esempio nel Regno Unito e a fornitori di servizi over-the-top, come Baidu.

I servizi over the top (OTT) sono servizi di comunicazione che utilizzano la rete Internet per fornire contenuti e servizi ai consumatori, bypassando i tradizionali provider di servizi di telecomunicazione. Questi servizi possono includere video in streaming, audio, messaggistica, chiamate vocali e videochiamate. Baidu è un esempio di un servizio OTT. Si tratta di una piattaforma cinese di ricerca e di servizi Internet che offre una vasta gamma di servizi, tra cui la ricerca sul web, la pubblicità online, la musica in streaming, la mappatura e la navigazione GPS, il cloud storage e altro ancora.

Le app incriminate

Le problematiche legate alla privacy sono esclusivamente delle app di sistema. Questo perché le app di terze parti richiedono i permessi all’utente, a differenza di quelle preinstallate. Gli sviluppatori di app sono in genere legati da collaborazioni con i produttori. In questo modo è possibile preinstallate del software che sopperisce alle mancanze dei servizi Google per via del divieto governativo di utilizzo degli stessi. In questo modo l’utente potrà accedere a servizi di streaming locali, etc.

Quali sono i dati trasmessi e i rischi

Il tipo e il numero dei dati trasmessi, come riferiscono gli studiosi nel documento, è preoccupante. Troviamo infatti IMEI e l’indirizzo MAC. Il primo, l’IMEI (International Mobile Equipment Identity) è un codice univoco assegnato a ogni dispositivo mobile, come uno smartphone o un tablet. Questo codice serve a identificare univocamente il dispositivo sulla rete e a impedirne l’utilizzo non autorizzato. L’indirizzo MAC (Media Access Control) è un indirizzo univoco assegnato a ogni dispositivo che si connette alla rete. L’indirizzo MAC è utilizzato per identificare univocamente un dispositivo sulla rete e per garantire che i pacchetti di dati vengano inviati all’indirizzo corretto.

Ma non sono gli unici dati trasmessi. Lo studio ha anche identificato dati sensibili, come le coordinate GPS, L’ID della rete mobile, il numero di telefono, le app utilizzate e le app di telemetria. Le app di telemetria sono applicazioni che raccolgono e trasmettono dati sull’utilizzo e le prestazioni di un dispositivo o di un’applicazione. Queste app sono utilizzate per ottenere informazioni sul modo in cui gli utenti utilizzano il dispositivo o l’applicazione, per identificare eventuali problemi tecnici e per migliorare le prestazioni e l’esperienza dell’utente. Ma non finisce qui. Tra queste, anche le connessioni sociali, come la cronologia, il registro delle chiamate, gli SMS, i contatti, etc. Un serio rischio per la deanonimizzazione dell’utente e i rischi relativi al tracciamento esteso. Questo perché ogni numero di telefono corrisponde ad un ID del cittadino. I dati vengono trasmessi anche se i dispositivi valicano i confini cinesi, benché in teoria sono sotto la giurisdizione dei luoghi in cui gli utenti beneficiano di una maggiore protezione dei dati. Questo significa che i fornitori di servizi di telefonia e alcune app di terze parti, sono in grado di monitorare i viaggi d’affari e gli studenti che studiano all’estero, compresi i contatti esteri che stabiliscono nel corso delle loro visite.

Va però detto che la trasmissione di dati del sistema operativo non comporta necessariamente una violazione della privacy, perché può essere utile per condividere dettagli relativi al modello del dispositivo e le impostazioni locali dello stesso per gli update software. In tal caso i rischi per la privacy sono minimi, in particolar modo se i dati sono comuni a molti device e non possono essere ricollegati ad un utente univoco.

Le differenze tra i modelli cinesi e globali

Le app preinstallate sui dispositivi cinesi sono fino a quattro volte di più rispetto agli smartphone destinati all’uso globale. Anche le autorizzazioni sono maggiori e più “pericolose”. Queste app vengono infatti fornite con 8-10 volte più permessi rispetto alle app di terze parti delle distribuzioni globali, compresi molti permessi classificati come pericolosi. I ricercatori hanno definito il quadro come preoccupante, circa lo stato della privacy del più grande mercato al mondo di dispositivi Android. Informano infine quanto sia urgente la necessità di imporre controlli più severi sulla privacy, per aumentare la fiducia delle persone nelle società tecnologiche, alcune delle quali parzialmente di proprietà statale. I modelli cinesi inoltre sono sganciati dai servizi Google per un divieto governativo. Durante la ricerca, sono stati esclusi per correttezza anche per i modelli globali qualsiasi connessione ai servizi di Mountain View.

Come è stato condotto lo studio

Gli studiosi hanno acquistato sul mercato cinese tre smartphone popolari. Il Redmi Note 11 con a bordo Android 11 e la MIUI 12.5.4.0, un realme Q3 Pro con Android 11 e realme UI 2.0 (basato su ColorOS 11) e un OnePlus 9R con Android 11 e ColorOS 11.2 (in Cina OnePlus utilizza l’interfaccia di OPPO). Ciò vuol dire che hanno un firmware locale, dunque cinese, ovvero un software che controlla il funzionamento del dispositivo. Come ad esempio la gestione dei segnali in ingresso e in uscita, la gestione della rete e della memoria, inoltre è responsabile dell’avvio e del caricamento delle funzioni del device.

Sono state inoltre applicate tecniche come il reverse engineering (in italiano: “inversione di progettazione”) è un processo che consiste nel decompilare, analizzare e comprendere il funzionamento di un prodotto o di un sistema al fine di comprenderne il funzionamento o di modificarlo. Questo processo può essere utilizzato per studiare i prodotti della concorrenza, per migliorare i prodotti esistenti o per creare prodotti compatibili. Inoltre sono state impiegati altri studi che analizzassero appieno il comportamento dei software installati sui dispositivi, collegandosi a server cinesi e a piattaforme cinesi, come HUAWEI Cloud di Shanghai.

I risultati della ricerca

Sono simili i numeri di app preinstallate sui vari dispositivi. Su OnePlus le app sono superiori rispetto a Xiaomi e OPPO/realme. Benché entrambi i sistemi operativi siano basati sulla ColorOS, OnePlus offre una selezione di app proprietarie. I pacchetti di terze parti sono più di trenta, per ogni smartphone con firmware cinese. Sul Redmi Note 11 troviamo app di input cinesi quali Baidu, IflyTek e Sogou. Sul realme Q3 Pro troviamo invece Baidu Map per la navigazione e AMap, in continua esecuzione in background. Oltre ad app per le news, lo streaming e lo shopping. In conclusione, la maggior parte di informazioni sensibili vengono trasmesse attraverso le app preinstallate sui dispositivi Android, senza che l’utente ne sia a conoscenza e senza che possa far qualcosa per inibire questa diffusione incontrollata dei propri dati, che potrebbero identificalo univocamente. Tuttavia le versioni globali sono al sicuro da queste pratiche e dimostra come cambiano le policy dei produttori da regione a regione.

Perché è un problema serio

Dal momento che i dispositivi ad avere problemi di privacy sono quelli dotati di firmware cinese, agli utenti in Occidente importa relativamente. Anche se è abbastanza eloquente il recente episodio di un presunto pallone spia recentemente abbattuto in Nord America e di origine cinese. La Repubblica Popolare Cinese si è difesa dichiarandolo un dispositivo meteorologico. Tuttavia non è un segreto che su marketplace come Amazon, Wish e simili vi siano smartphone di chiara origine cinese a prezzi irrisori, che potrebbero avere le stesse inquietanti caratteristiche (ed ecco perché sarebbe bene non comprarli). Alcuni brand invitano più che volentieri l’utente a creare un account che raccoglie ulteriori informazioni personali, come nome e cognome, e-mail e dati di pagamento, ad esempio per i pagamenti via NFC. Sono tutti dettagli che identificano ancora più univocamente un utente e che consegnano anche informazioni relative al patrimonio.

Il drago perde il pelo ma non il vizio

Tuttavia non è la prima volta che i produttori di tecnologia di origine cinese sono sotto la lente di ingrandimento in Occidente. Il caso più eclatante è senza dubbio il duro colpo messo a segno ai danni di HUAWEI per il ban. Ma anche Xiaomi ha avuto i suoi problemi in passato. Inizialmente con la passata Amministrazione Trump, che ha colpito l’azienda con un inserimento in una black list, da cui è stata poi rimossa. Ma anche la stessa Xiaomi si è ritrovata poi al centro di una polemica con la Lituania, che ha sconsigliato l’acquisto dei dispositivi del produttore cinese. Senza contare gli spyware inseriti sui visitatori di alcune aree cinesi, che reperivano dati anche piuttosto sensibili, come riporta questo articolo di Wired nel 2019.

Queste pratiche rientrano nelle abitudini di sorveglianza online ben note in Cina. In genere la sorveglianza avviene per diversi motivi. Il primo può avere interessi di sicurezza nazionale. Il governo cinese considera necessaria la protezione della propria sicurezza e prevenire la diffusione di informazioni dannose per il Paese. Basti pensare infatti ai dati verosimilmente poco veritieri circa le infezioni e le morti da Covid-19. Anche il controllo politico è un motivo per cui la sorveglianza è particolarmente attiva in Cina. L’espressione degli utenti e le rispettive opinioni sono controllate, anche per prevenire diffusioni o informazioni di idee che potrebbero minacciare governo e stabilità sociale. Basti pensare che piattaforme come YouTube e Facebook sono limitate o rimpiazzate da servizi realizzati su incoraggiamento del governo. In questo modo avviene dunque anche una regolamentazione dei contenuti, ma anche una prevenzione del crimine. A spese della privacy (e della libertà) dell’utente.

Segui Smartphonology su YouTube!

Giornalista pubblicista, SEO Specialist, fotografo. Da sempre appassionato di tecnologia, lavoro nell'editoria dal 2010, prima come fotografo e fotoreporter, infine come giornalista. Ho scritto per PC Professionale, SportEconomy e Corriere della Sera, oltre ovviamente a Smartphonology.