Settimana è stato scoperto poiché un'applicazione chiamata Path carica l'intero contenuto della rubrica dagli iPhone degli utenti ai server dell'azienda sviluppatrice. Gli sviluppatori dell'applicazione hanno riconosciuto la pratica e hanno rilasciato un aggiornamento per l'applicazione risolvendo il problema e scusandosi con gli utenti. Questa settimana lo si è scoperto Twitter, Facebook, Instagram, Yelp, Foursquare e altre applicazioni simili prelevano gli stessi dati dalla rubrica senza avvisare gli utenti di questo aspetto.
Perché il problema è piuttosto importante per gli americani, per il Congresso americano inviato oggi una lettera all'amministratore delegato di Apple, Tim Cook, in cui gli chiede di fornire spiegazioni su come le applicazioni accedono alla rubrica e trasferiscono i dati da essa senza il consenso degli utenti. I membri del congresso vogliono sapere come Apple controlla le applicazioni che verranno lanciate nell'App Store e come protegge i suoi clienti dal furto di dati, cose che Apple dovrà dettagliare entro il 29 febbraio.
Il lato positivo di questo scandalo? iOS includerà una nuova misura di sicurezza che ci avviserà quando un'applicazione tenta di prelevare dati dalla nostra rubrica. Esiste un sistema simile per le Notifiche Push e il GPS, ma penso che in iOS 5.1 avremo qualcosa di simile per la rubrica.
Signor Tim Cook
Amministratore delegato, Apple Inc.
1 Infinite Loop
Cupertino, CA 95014
Caro signor Cook:
La settimana scorsa, lo sviluppatore indipendente di app iOS Arun Thampi ha scritto sul blog della sua scoperta che l'app di social networking "Path" accedeva e raccoglieva i contenuti della rubrica del suo iPhone senza aver mai chiesto il suo consenso.[1] Le informazioni prese senza il suo permesso – o quello dei singoli contatti che possiedono tali informazioni – includevano nomi completi, numeri di telefono e indirizzi e-mail.[2] In seguito alla copertura mediatica della scoperta del signor Thampi, il co-fondatore e CEO di Path, Dave Morin, si è subito scusato, ha promesso di eliminare dai server di Path tutti i dati presi dalle rubriche dei suoi utenti e ha annunciato il rilascio di una nuova versione di Path che avrebbe chiedere agli utenti di acconsentire alla condivisione dei contatti della rubrica.[3]
Questo incidente solleva dubbi sul fatto che le politiche e le pratiche di Apple per gli sviluppatori di app iOS possano non essere all'altezza quando si tratta di proteggere le informazioni degli utenti iPhone e dei loro contatti.
La sezione di gestione dei dati del tuo sito web per sviluppatori iOS afferma: "iOS dispone di una raccolta completa di strumenti e framework per l'archiviazione, l'accesso e la condivisione dei dati. . . . Le app iOS hanno accesso anche ai dati globali di un dispositivo come i contatti nella Rubrica e le foto nella Libreria foto." [4] La sezione delle linee guida per la revisione dell'app store afferma: "Esaminiamo ogni app sull'App Store in base a una serie di di criteri tecnici, contenutistici e di progettazione. Questi criteri di revisione sono ora disponibili nelle Linee guida per la revisione dell'App Store."[5] Questa stessa sezione indica che le linee guida sono disponibili solo per i membri registrati dell'iOS Developer Program.[6] Tuttavia, i blog tecnologici che seguono la controversia Path indicano che le Linee guida per le app iOS richiedono che le app ottengano l'autorizzazione di un utente prima di "trasmettere dati su un utente".[7]
Nonostante queste indicazioni, è stato affermato che "c'è una discreta comprensione tra molti sviluppatori di app iOS che è accettabile inviare l'intera rubrica di un utente, senza il suo permesso, a server remoti e quindi archiviarla per riferimento futuro. È una pratica comune e molte aziende probabilmente hanno la tua rubrica archiviata nel loro database."[8] Un blogger afferma di aver condotto un sondaggio tra gli sviluppatori di popolari app iOS e ha scoperto che 13 su 15 avevano un "database di contatti con milioni di record " - uno di loro afferma di avere un database contenente "il numero di cellulare di Mark Zuckerberg, il numero di telefono di casa di Larry Ellison e il numero di cellulare di Bill Gates."[9]
Il fatto che la versione precedente di Path sia riuscita ad ottenere l'approvazione per la distribuzione tramite iTunes Store di Apple nonostante abbia prelevato il contenuto delle rubriche degli utenti senza il loro permesso suggerisce che potrebbe esserci del vero in queste affermazioni. Per comprendere e valutare più pienamente queste affermazioni, ti chiediamo di rispondere alle seguenti domande:
– Si prega di descrivere tutte le linee guida per le app iOS che riguardano i criteri relativi alla privacy e alla sicurezza dei dati a cui accederà o verrà trasmessa un'app.
- Descrivi come determini se un'app soddisfa tali criteri.
– Quali dati considerate "dati relativi a un utente" soggetti al requisito che l'app ottenga il consenso dell'utente prima di essere trasmessa?
- Nella misura non affrontata nella risposta alla domanda 2, descrivi come determini se un'app trasmetterà "dati su un utente" e se il requisito del consenso è stato soddisfatto.
– Quante app iOS nell'iTunes Store americano trasmettono "dati su un utente"?
– Consideri il contenuto della rubrica come "dati relativi a un utente"?
– Consideri il contenuto della rubrica come dati del contatto? In caso contrario, spiegare perché no. Spiega come proteggi la privacy e gli interessi di sicurezza di quel contatto nelle sue informazioni.
– Quante app iOS nell'iTunes Store americano trasmettono informazioni dalla rubrica? Quanti di questi chiedono il consenso dell'utente prima di trasmettere le informazioni dei propri contatti?
– Hai integrato nei tuoi dispositivi la possibilità di disattivare in un unico posto la trasmissione delle informazioni sulla posizione interamente o app per app. Spiega perché non hai fatto lo stesso per le informazioni sulla rubrica.
Si prega di fornire le informazioni richieste entro e non oltre il 29 febbraio 2012. In caso di domande relative a questa richiesta, è possibile contattare Felipe Mendoza con lo staff del Comitato per l'energia e il commercio al numero 202-226-3400.
Cordiali saluti,
Henry A. Waxman, membro della classifica
GK Butterfield, membro della classifica
Sottocommissione per il commercio, la produzione e il commercio
