OpenFeint abbina UDID iDevice con account Facebook

di Lorenzo Paletti Commenta

Ad ogni iDevice è associato un UDID, o Unique Device Identifier. Questa serie di cifre e lettere serve ad identificare in maniera univoca un iPhone, iPod touch o iPad. Si tratta di una sequenza di quaranta caratteri immutabile che non è possibile eliminare dalla memoria del dispositivo.

Questo UDID non dovrebbe però mai essere collegato all’identità dell’utente del device. Pare invece che alcune applicazioni presenti su App Store abbinino, all’insaputa dell’utente, il codice UDID del proprio dispositivo con il proprio account Facebook, completo ovviamente di nome e cognome.

A fare la scoperta è stato Aldo Cortesi, security researcher, che contattato da Wired ha spiegato:

“È come un cookie di tracciamento permanente e immutabile che non può essere cambiato e di cui l’utente non è a conoscenza. L’idea dell’UDID ha notevoli difetti perché letteralmente identifica il dispositivo.”

Per controllare la trasmissione degli UDID agli sviluppatori delle app, Cortesi ha sviluppato un programma chiamato Mitmproxy. Durante lo scorso mese Cortesi ha scoperto che OpenFeint, la celebre piattaforma per il social gaming che rappresenta il primo concorrente per Game Center, stava trasmettendo agli sviluppatori gli UDID dei dispositivi su cui erano installati titoli che supportavano il servizio. A peggiorare la situazione il fatto che questi UDID erano abbinati all’account di Facebook che l’utente aveva inserito per sfruttare le feature sociali di OpenFeint, oltre ad una fotografia e a volte, sostiene Cortesi, persino dalla posizione geografica dell’utente rivelata tramite GPS.

Apple aveva già vietato agli sviluppatori di abbinare un UDID al nome del possessore del device, e OpenFeint, che vanta oltre 75 milioni di utenti, ha subito riparato la falla indicata da Cortesi. Il problema però, assicura il ricercatore, non è risolto.

“Disegnando API che espongono il codice UDID e incoraggiando gli sviluppatori ad usarlo, Apple ha contribuito all’esistenza di letteralmente migliaia di database che collegano gli UDID con informazioni sensibili dell’utente attraverso la rete.”

Cortesi, almeno così pare di intuire dall’articolo originale di Wired, non ha portato altri esempi oltre a quello di OpenFeint riguardo a sterminati database con dati personali degli utenti di iPhone. Certo è che il Wall Street Journal aveva già messo alla prova diverse applicazioni famose scoprendo che il 68% di queste trasmetteva agli sviluppatori l’UDID del telefono senza la conferma degli utenti.

Charlie Miller, altro security researcher esperto in violazione informatica di smartphone, non è preoccupato della questione:

“La tradizionale privacy di base se n’è andata dalla finestra con gli smartphone. Portate con voi ovunque andiate un dispositivo sempre acceso dotato di GPS e internet. Scaricate e fate funzionare applicazioni che sono disegnate per condividere i vostri pensieri e le vostre fotografie. [Cortesi] sottolinea alcune cose che Apple potrebbe avere fatto per meglio aiutare la vostra privacy, ma principalmente, avete volontariamente ceduto parte della vostra privacy per usare queste app e questi dispositivi”.