Un articolo pubblicato dal New York Times nelle scorse ore sta facendo molto discutere la community Android.

 HD Blog - Oggetto di analisi è infatti il report degli analisti di Kryptowire che hano individuato un backdoor nascosto in alcuni smartphone Android di fascia low-cost. Nello specifico, una serie di strumenti software sviluppati da AdUps raccoglie informazioni personali - SMS, log delle chiamate, nome dei contatti, informazioni sull'IP, dati sull'IMEI e altre informazioni sensibili - per poi inviarle ogni 72 ore a server di terze parti situati in Cina, il tutto senza il consenso dell'utente. Il software è anche in grado di individuare specifiche keyword contenute nei messaggi e monitorare l'utilizzo di determinate app.

Il numero di terminali interessati non è trascurabile: si stima che il software di Shangai AdUps Technologies sia installato in oltre 700 milioni di dispositivi in tutto il mondo. I terminali comprendono, in primo luogo, smartphone, ma anche tablet e sistemi di infotainment basati su Android. Diversi terminali di Huawei e ZTE commercializzati in Cina utilizzano il software, individuato anche alcuni modelli commercializzati nel mercato statunitense, ad esempio il BLU R1 HD, terminale molto popolare negli States in virtù del prezzo particolarmente contenuto. Nel caso specifico, BLU ha utilizzato il software di AdUps per inviare aggiornamenti software al terminale.

I ricercatori di Kryptowire hanno segnalato l'accaduto alle parti interessate, Google e AdUps, in primis, ma anche BLU che, secondo una dichiarazione rilasciata ad Ars Technica, ha già corretto la grave falla nella sicurezza che interessa 120,000 dispositivi (BLU). Non sono mancate le prime risposte anche dagli stessi sviluppatori del software. Per Lily Lim, il legale di AdDups, la responsabilità sarebbe da ricondurre ad aziende come BLU che hanno utilizzato il software per finalità differenti da quelle per cui era nato:"E' un'azienda privata che ha commesso un errore".

La versione ufficiale fa infatti riferimento alla destinazione del software all'integrazione in smartphone cinesi: il software è stato sviluppato su richiesta di un produttore cinese (non identificato, AdUps non lo cita) che aveva manifestato l'esigenza di raccogliere i dati personali dell'utente per offrire una servizio di assistenza alla clientela, comprendente, tra l'altro, l'identificazione di chiamate e messaggi indesiderati. AdUps, al momento, non ha pubblicato l'elenco completo dei terminali che utilizzano il suo software. Nel frattempo, il report di Kriptowire, consultabile QUI nella sua interezza, è stato inviato al Governo degli Stati Uniti, che valuterà se adottare provvedimenti specifici.

Una vicenda che fa riflettere sulle numerose minacce alla privacy rappresentate da software apparentemente innocui e installati dagli stessi produttori di smartphone. L'aspetto preoccupante è che, nel caso specifico, l'utente comune non può rendersi conto della trasmissione non autorizzata delle informazioni personali. La vicenda ha fatto discutere anche in merito agli strumenti utilizzati dalle autorità cinesi per monitorare i dati personali degli utenti. Sul punto, tuttavia, AdUps ha dichiarato di non essere in alcun modo collegata con il Governo cinese.