Qual è l’autorizzazione più pericolosa da non concedere a un’app di viaggi
Tra le app che hanno accesso alla fotocamera, quelle che possono leggere i messaggi o avere accesso al microfono, bisogna guardarsi in modo particolare da quelle che riescono ad avere accesso agli ID degli utenti
12/06/2024 di Gianmichele Laino
A volte, l’accesso a una fotocamera può essere giustificato dall’utilizzo di un QR Code per la scontistica. Altre volte, l’accesso alla geolocalizzazione di un device può servire a settare al meglio le offerte che vengono proposte. Ma perché delle app di viaggio dovrebbero in qualche modo avere accesso a identificativi degli utenti, come l’International Mobile Equipment Identity (IMEI), l’International Mobile Subscriber Identity (IMSI), il numero di telefono, il numero di serie del dispositivo e l’identificativo univoco per la scheda SIM?
LEGGI ANCHE > Anche l’app di viaggi che raccoglie meno dati non è così trasparente
Autorizzazioni pericolose per app di viaggi, quali sono quelle più rischiose
Non si intravede, infatti, nessun tipo di motivo per cui applicazioni che aiutano gli utenti nelle prenotazioni, nella scelta del viaggio più economico, nel noleggio di un veicolo debbano risalire a identificativi personali e univoci dell’utente. Qual è lo scopo e quale la funzionalità che un accesso del genere potrebbe garantire?
Tra i dati, IMEI, IMSI, numero di serie del dispositivo e identificativo per le schede SIM sono quelli che si mostrano più delicati e che hanno intorno a sé il livello massimo di protezione. Tant’è che, normalmente, questi dati sono accessibili soltanto alle app di sistema o alle app firmate con la chiave della piattaforma, proprio poiché consentono l’accesso a informazioni sensibili del dispositivo (che possono consentire, alle app di sistema, di risolvere problemi gravi). Ma tra questi problemi gravi non rientra sicuramente la prenotazione di un viaggio.
Ecco perché il team di Cybernews ha messo in guardia dalle app, tra le 22 analizzate, che effettuano questo tipo di esfiltrazioni. Ci sono app che hanno accesso a informazioni di sistema privilegiate e tra queste vengono citate Vrbo, Expedia, MakeMyTrip, Hotels.com e Trip.com. Poi, invece, ci sono app che hanno il permesso di accedere allo stato del telefono. Tra queste, vengono citate Vrbo, Expedia, MakeMyTrip, Hotels.com e Trip.com, ma anche Booking, Hilton Honors, Hopper, Hotwire e Hotel tonight.
Addirittura, nel caso di Hotel tonight, risulta la possibilità di modificare dei file di sistema del dispositivo: teoricamente, l’utente potrebbe non essere responsabile o consapevole delle modifiche effettuate. Un rischio davvero clamoroso se pensiamo che oggi, a livello di mercato, sempre più utenti si servono delle app di travel per l’organizzazione delle proprie esperienze.