Tra i vari permessi richiesti da un’App Android, può esserci quello denominato “ID dispositivo e dati sulle chiamate”: vediamo cosa significa e quali rischi può comportare per la nostra privacy
La schermata che ci viene proposta durante l’installazione di un’App è quella raffigurata dove possiamo notare, tra tutti gli altri permessi, quello oggetto del nostro interesse.
Cosa comporta fornire questo permesso?
Quando concediamo questo permesso, l’App può conoscere:
- Il nostro numero di telefono
- L’IMEI del dispositivo, cioè il numero univoco del nostro dispositivo
- Il nostro IMSI, che è un numero univoco memorizzato nella SIM, che viene associato a tutti gli utenti di telefonia mobile.
- Sapere se siamo al telefono in un dato momento.
- Conoscere il numero della chiamata che stiamo effettuando.
Da notare che l’IMSI consente la localizzazione del dispositivo anche a GPS spento, mentre con l’IMEI qualcuno potrebbe bloccarci lo smartphone chiamando l’operatore o addirittura clonare il nostro smartphone.
Capiamo bene che fornire questo permesso è una cosa molto delicata e lo sviluppatore dell’App deve avere validi motivi per richiederlo. Vediamo quali potrebbero essere questi motivi.
Perché lo sviluppatore ha bisogno di questo permesso?
Il permesso potrebbe essere necessario in un gioco che si deve interrompere all’arrivo di una chiamata: se un gioco che lavora a schermo intero e che utilizza l’audio non avesse tale funzione, si potrebbero perdere tutte le chiamate ricevute durante l’utilizzo.
In altri casi, se il dispositivo accede a risorse a pagamento, conoscere l’IMEI permette allo sviluppatore di contrastare la pirateria. Diciamo che l’IMEI è un sistema sicuro che lo sviluppatore ha per identificare univocamente il dispositivo (non l’utente, il dispositivo).
Quindi, come possiamo regolarci?
Veniamo ora al punto più importante, cioè come dovremmo regolarci quando un’App chiede tale permesso?
Dobbiamo cercare di capire perché l’App lo richiede, ciò può essere giustificato in questi casi esempio:
- Se si tratta di un gioco che si deve poter interrompere all’arrivo di una chiamata.
- Se l’App deve accedere a un contenuto protetto da copyright, come ad esempio un’App che dietro abbonamento associato al dispositivo ci mette a disposizione determinati contenuti. Notare che ho scritto abbonamento associato al dispositivo e non all’utente: l’IMEI identifica il dispositivo.
- Se si tratta di un’App che per funzionare deve poter distinguere con sicurezza i dispositivi.
Negli altri casi o se non siamo sicuri, proviamo a leggere la descrizione dell’App che troviamo sul Google Play: uno sviluppatore previdente specificherà il motivo di tale richiesta. Se nemmeno nella descrizione troviamo nulla, mandiamo una mail allo sviluppatore e chiediamogli le ragioni di tale permesso.
In conclusione, se ci fidiamo dello sviluppatore e siamo quindi disposti a mettergli a disposizione questi dati, allora possiamo procedere ad installare l’App. Se invece abbiamo dubbi, è meglio pensarci due volte e comunque approfondire la verifica.
Tecnicamente, per chi sviluppa App:
La richiesta di tale permesso ha origine quando si inserisce nell’AndroidManifest.xml la permission READ_PHONE_STATE:
<uses-permission android:name="android.permission.READ_PHONE_STATE"/>
Come sviluppatore, bisognerebbe richiedere tale permesso solo se ci sono validissimi motivi per farlo: richiedere permessi non necessari porta inevitabilmente una diminuzione dei download dell’App, ma di questo probabilmente ne parlerò in un altro articolo.