Qual è il clamore di #DeleteNaMoApp?

Dopo lo scandalo Cambridge Analytica e la successiva campagna #DeleteFacebook su Twitter, il social network si è svegliato un venerdì mattina a una campagna simile – questa volta prendendo di mira un’app cresciuta in casa del Primo Ministro del paese.

The Allegation

L’app in questione – Narendra Modi App – è stata originariamente creata durante la campagna del Primo Ministro di Modi nel 2014 ed è stata un mezzo digitale per l’organizzazione della campagna. Successivamente divenne il portavoce ufficiale del Primo Ministro con tutte le buone notizie su di lui.

L’accusa qui è che questa app – in collaborazione con Cambridge Analytica – sta estraendo le informazioni dell’utente e le sta usando per qualsiasi scopo. Se questo è vero, si tratterà di uno dei maggiori sifonamenti di dati in India poiché l’app ha più di 5 milioni di installazioni su Google Play.

Controlliamo

Ci sono state accuse contrarie secondo cui l’intera storia è stata fabbricata dal Congresso per distogliere l’attenzione della gente dai propri legami con Cambridge Analytica. E la parte più strana è il testo sulla descrizione dell’app che afferma esplicitamente,

Nessuna autorizzazione è obbligatoria sull’app NM.

Puoi accedere all’app anche come ospite senza inserire il tuo indirizzo email o telefono. Questo è diverso dalla maggior parte delle altre app, dove è richiesta una sorta di informazione.

Questo è molto strano, dato che non ho mai visto una simile app in nessuna app se non quando è sottoposta a un grave contraccolpo della privacy. Questo testo è presente solo in Android Play e non nelle controparti iOS e Windows, il che potrebbe suggerire che questo è stato aggiunto di recente. Questo rende un caso curioso. Quindi ho deciso di controllarlo da solo.

Ricordo di aver avuto questa app in passato quando era molto semplice ed era più un web wrapper. Ma da quando l’app è cresciuta enormemente ora includendo al suo interno un social media completo. Ho bloccato tutto l’accesso di rete a questa app e sono entrato come ospite. Ci sono state due sorprese. Uno, la selezione della lingua non funzionava, indicando chiaramente che questo non è definito sul lato client ma sul lato server, a differenza di molte altre app comuni. Due, l’app eseguiva costantemente il ping di fb.com e graph.facebook.com anche se non utilizzavo alcun login di Facebook né caricavo nulla all’interno dell’app. Questo è abbastanza interessante ma non terrificante.

L’altra accusa sull’app riguardava il suo enorme elenco di autorizzazioni. Chiede letteralmente tutte le autorizzazioni che potrebbe includere il microfono e l’elenco dei contatti. Tuttavia, non ho trovato alcun potenziale utilizzo di nessuna di queste autorizzazioni – ad eccezione di Archiviazione e Fotocamera (per la scansione di codici QR) – all’interno dell’app. Queste autorizzazioni non sarebbero un problema per gli utenti che hanno Android 6+ poiché il controllo delle autorizzazioni di Android si attiverà solo quando l’app vuole usare la funzionalità (cosa che non ha mai fatto). Ma per gli utenti delle versioni precedenti di Android devi prima accettare tutte queste autorizzazioni per installare anche l’app. Ciò significa che l’app potrebbe invocare il tuo microfono in qualsiasi momento senza la tua esplicita autorizzazione a registrare qualsiasi cosa accada. Oppure estrai tutti i tuoi contatti e invia loro messaggi non richiesti per tuo conto. Questo è davvero assurdo e il team deve risolverlo immediatamente.

Inoltre, l’app utilizza una società di analisi chiamata CleverTap e invia le tue informazioni, incluso il dispositivo e la posizione (se lo avevi permesso) alla società senza il tuo consenso. Anche se non raro, questo può essere sfruttato allo stesso modo di Cambridge Analytica.

Linea di fondo

Nell’app esistono problemi, ma non sono così minacciosi come sono stati descritti. Il team dietro l’app NaMo deve risolvere questi problemi al più presto o potremmo essere pronti per un altro problema di Big Data.