E’ una delle app per Android più scaricata, con più di 50 milioni di utenti all’attivo grazie anche alla possibilità di utilizzare emoticon. Secondo una ricerca di PenTest in realtà l’app spierebbe il comportamento degli utenti e trasmetterebbe le informazioni in Cina. I ricercatori sono giunti a questa conclusione analizzando le autorizzazioni richieste in fase di installazione. Flash Keyboard chiede infatti l’accesso praticamente a tutto.
In alcuni casi le autorizzazioni hanno una loro logica coerente con gli scopi dichiarati dell’app come ad esempio l’accesso ai contatti che viene giustificato dal loro utilizzo nella funzione di correzione automatica, mentre quello alla fotocamera trova il suo perché nella funzione di creazione di adesivi personalizzati che utilizzano le foto dell’utente.
Secondo PenTest però, l’app avrebbe altri obiettivi, in particolare quello di visualizzare pubblicità non richiesta, spiare gli utenti, registrare il loro comportamento. Come mai infatti una tastiera alternativa avrebbe bisogno di accedere alla geo-localizzazione e collegarsi a dei server in Cina, se non per trasmettere informazioni? Poco comprensibile è anche perché l’app debba avere il permesso di arrestare altri processi attivi sullo smartphone, una funzione che molti malware usano per “abbattere” eventuali antivirus.
Se poi aggiungiamo il fatto che Flash Keyboard richiede l’autorizzazione per accedere ai log di sistema che contengono informazioni sensibili come le credenziali dell’utente, diventa difficile non condividere i sospetti dei ricercatori, tanto più che l’app per sua stessa natura, ha ovviamente la possibilità di registrare tutto quello che viene digitato sul dispositivo (password comprese) e, sempre teoricamente, comunicarlo a chi vuole.
Il contenuto delle comunicazioni comprende una serie di informazioni riguardanti i dispositivi su cui è installata tra cui il produttore del dispositivo, il modello, il codice IMEI (che identifica univocamente il dispositivo), la versione del sistema installato, l’indirizzo email del proprietario, l’identificativo SSID della rete Wi-Fi a cui è collegato, l’operatore mobile, le informazioni riguardanti i dispositivi bluetooth a portata di connessione e le informazioni riguardanti eventuali proxy utlizzati dal dispositivo. Insomma, un bel po’ di informazioni che transitano dal dispositivo verso lidi sconosciuti, senza che gli utilizzatori possano rendersene conto.
Le conclusioni dei ricercatori, a dispetto della spietatezza con cui vengono messi in risalto gli aspetti preoccupanti legati ai permessi concessi all’app, sono piuttosto ”morbide”. La loro opinione è che “non sia stata sviluppata con l’intenzione di nuocere agli utenti”. Nonostante ciò, mettono in risalto il fatto che buona parte delle funzioni dell’app violano le linee guida di Google per gli sviluppatori e che, nelle mani sbagliate, l’applicazione potrebbe sfruttare i permessi per avviare attività illegali.
Stando a quanto riportato nel documento, Flash Keyboard sarebbe stata rimossa da Google Play il 6 giugno 2016, salvo essere rimpiazzata da un’app chiamata “Flash Keyboard Lite” e che farebbe riferimento a un altro produttore. Attualmente, però, sulla versione italiana di Google Play sono presenti entrambe le app.
Rispondi