La scorsa settimana lo sviluppatore Arun Thampi ha scoperto per caso che la diffusa applicazione Path, una social-app per iPhone che permette di tenere una sorta di diario virtuale della propria vita, eseguiva l’upload della sua rubrica indirizzi verso un server degli sviluppatori. Il problema è che Thampi non aveva fornito alcuna autorizzazione preventiva perché una tale operazione potesse essere svolta e ha interpretato (ed esaustivamente esposto) quella pratica come una palese violazione della privacy.
Ne è nato un piccolo scandalo cui gli sviluppatori hanno prontamente risposto chiedendo scusa, cospargendosi il capo di cenere per l’accaduto e rassicurando tutti sul fatto che quelle informazioni non venivano utilizzate per commettere nefandezze. Il passaggio successivo è consistito nella cancellazione di tutti i dati delle rubriche degli utenti dai server di Path e la pubblicazione di una nuova versione dell’app che “chiede il permesso” all’utente prima di procedere all’upload dei contatti.
Tutti vissero felici e contenti? Non proprio, perché le scuse non sono bastate a quanti ritengono allarmante la semplicità con cui Path ha potuto pescare i dati della rubrica contatti degli utenti. Fanno parte della schiera dei “preoccupati” anche due parlamentari U.S.A., Henry Waxman e G.K. Butterfield, che hanno inviato formale richiesta di spiegazioni ad Apple, che ha risposto ancora prima che la lettera arrivi a destinazione, tramite una dichiarazione rilasciata ad All Things Digital da un portavoce.
I due “congressmen” hanno formulato le proprie richieste con una lettere indirizzata al CEO Tim Cook, in cui si legge:
“Questo incidente solleva quesiti circa la possibilità che le regole e le policy per gli sviluppatori iOS possano non essere sufficienti quando si tratta di proteggere le informazioni degli utenti iPhone e dei loro contatti”.
E’ ancora una volta l’annoso problema della privacy e della natura fallace dei meccanismi di opt-in che si rendono necessari per offrire all’utente un servizio efficace (che ha quindi bisogno di conoscere identità e posizione dell’utente) pur proteggendo allo stesso tempo il suo diritto alla privacy.
Il caso di Path è meno grave rispetto ad altri scandali come il location gate o quello che ha investito Carrier IQ (hey, a proposito, visto che nessuno ne parla già più?). E’ una situazione diversa anche da un punto di vista tecnico, dato che secondo molti osservatori l’errore di Path è stato aggravato più che altro dall’assenza di un efficace sistema di offuscamento dei dati sensibili trasmessi.
Nonostante le scuse era rimasto almeno un aspetto importante da prendere in considerazione: Apple deve lasciare liberi gli sviluppatori e far ricadere su di loro l’onere di gestire l’opt-in sui dati della rubrica, o deve offrire dei tool integrati da utilizzare obbligatoriamente per gestire la privacy rispetto a questa tipologia di informazioni?
Detta in parole povere: perché non esiste un bottone on/off che permette di disabilitare l’upload delle informazioni della rubrica sui server di terze parti come quello disopnibile su iPhone per i dati di localizzazione (con annesso prospetto delle app che hanno ottenuto il consenso)?
Era quello che i congressman volevano sapere e che Apple ha già confermato. La debacle di Path non è passata inosservata a Cupertino e il portavoce Tod Neumayr ha prontamente fornito questa dichiarazione a All Things Digital:
“Le applicazioni che raccolgono o trasmettono i contatti degli utenti senza il loro consenso a priori sono in violazione delle nostre linee guida. Stiamo lavorando per rendere il tutto migliore per i nostri clienti, come abbiamo fatto coni servizi di localizzazione, e un’applicazione che vuole accedere ai dati della rubrica dovrà richiedere un’esplicita approvazione in una futura release del software.”
Questa forma di opt-in verrà probabilmente implementato in iOS 5.1, a meno che Apple non voglia accorciare i tempi pubblicando un update minore che risolva solamente questo problema.
Bonus: Nel frattempo il gioco dell’accusa e della difesa di Path ha scatenato una guerra termonucleare sulla natura del giornalismo tecnologico assai divertente da osservare e seguire.
Da una parte i reporter che hanno coperto lo scandalo, come Nick Bilton del New York Times, dall’altra gli ex-blogger diventati Venture Capitalist come Michael Arrington e MG Siegler (ex TechCrunch) che con il loro CrunchFund hanno investito in Path e difendono “spassionatamente” la startup mettendo in dubbio la professionalità del settore giornalistico di cui hanno preteso di far parte fino a ieri l’altro – e nell’ambito del quale sono tuttora conosciuti per la loro fama di linkbaiter senza scrupoli che si venderebbero la nonna in cambio di un milione di PageViews. La cosa più bella di tutta la questione è il modo in cui tutti i ruoli sono totalmente interscambiabili. Qui le risposte di Siegler e Arrington. Roba da popcorn.
Commenti (1)