Credito:Unsplash/CC0 di dominio pubblico
Le app per gli asili nido sono progettate per semplificare la vita di tutti i giorni negli asili nido. I genitori possono usarli, ad esempio, per accedere ai resoconti sullo sviluppo dei propri figli e per comunicare con gli insegnanti. Tuttavia, alcune di queste applicazioni presentano gravi falle di sicurezza. A questa conclusione sono giunti i ricercatori della Ruhr-Universität Bochum (RUB), della Westfälische Hochschule e del Max Planck Institute for Security and Privacy di Bochum, in collaborazione con un partner industriale. Hanno analizzato 42 app di asili nido dall'Europa e dagli Stati Uniti per quanto riguarda la sicurezza e la privacy. In alcune app sono stati in grado di accedere alle foto private dei bambini; diverse app hanno avuto accesso ai dati personali degli utenti senza consenso e li hanno condivisi con terze parti.
Il team guidato dal Dr. Matteo Große-Kampmann, che ha conseguito il dottorato di ricerca. presso l'Horst Görtz Institute for IT Security at RUB, e il dottor Maximilian Golla del Max Planck Institute for Security and Privacy presenteranno i loro risultati nel luglio 2022 a Sydney al "22nd Privacy Enhancing Technologies Symposium". In precedenza, i risultati sono stati pubblicati online.
"Secondo il regolamento generale europeo sulla protezione dei dati e il Children's Online Privacy Protection Act degli Stati Uniti, i dati dei bambini sono soggetti a una protezione speciale", afferma Maximilian Golla. "Purtroppo abbiamo riscontrato che molte app non garantiscono questa protezione."
Le analisi sono state eseguite in collaborazione con AWARE7 GmbH. Il team ha contattato tutti i produttori di app prima della pubblicazione e li ha informati delle vulnerabilità.
Utilizzato da milioni
Per lo studio, i ricercatori hanno analizzato le app Android per l'asilo nido che hanno individuato nel Google Play Store e che offrono almeno le seguenti funzionalità:sia lo sviluppo dei bambini che eventuali attività speciali possono essere registrati nell'app sotto forma di note, foto e video; l'app ha una funzione di messaggistica attraverso la quale il personale dell'asilo nido può comunicare con i genitori; l'app supporta la gestione dell'asilo nido nei processi amministrativi come la fatturazione, la creazione di orari e l'organizzazione di gruppi. Le app più utilizzate "Bloomz" e "brightwheel" sono state scaricate più di un milione di volte dal Google Play Store. Nel complesso, tutte le app hanno raggiunto circa tre milioni di download.
In alcuni casi, i dati personali vengono venduti
Delle app analizzate, otto presentavano seri problemi di sicurezza che, ad esempio, avrebbero consentito agli aggressori di visualizzare le foto private dei bambini. In 40 app, i ricercatori hanno scoperto che monitorano genitori ed educatori:raccolgono il numero di telefono e l'indirizzo e-mail dell'utente, nonché informazioni relative al dispositivo e all'utilizzo dell'app, come l'ora in cui è stato premuto un pulsante. I produttori condividono e vendono questa e altre informazioni a fornitori di terze parti. Uno sviluppatore di app scrive:"... condividi i dati con i partner per scopi commerciali, come il numero medio di cambi di pannolini al giorno...". Spesso i dati vengono condivisi con Amazon, Facebook, Google o Microsoft per campagne pubblicitarie mirate.
Norme sulla privacy inadeguate
"Abbiamo anche esaminato le politiche sulla privacy dei fornitori", sottolinea Maximilian Golla. "Ed è emerso un quadro terrificante. Molte delle politiche non menzionavano nemmeno che trattano i dati dei bambini, per non parlare del fatto che raccolgono e vendono dati, anche se sono tenuti a farlo dalla legge europea e statunitense".
Ma ciò non significa necessariamente che i fornitori agiscano in malafede. "Sospettiamo piuttosto che si tratti di problemi tecnici e organizzativi", afferma Matteo Große-Kampmann. Secondo i ricercatori, alcuni provider agiscono in modo negligente perché la privacy policy collegata non è conforme, anche perché non contiene informazioni sull'elaborazione dei dati nell'app o sui servizi offerti e spesso non viene aggiornata da molti anni.
I ricercatori sperano che le loro scoperte attireranno l'attenzione su questo tema delicato, dato che sono in gioco i dati dei bambini. "Inutile dire che gestori di asili nido, fornitori di asili nido e genitori non possono analizzare da soli ogni singola app", afferma Matteo Große-Kampmann. "Ma alla fine devono assumersi la responsabilità della decisione sull'app da adottare."
Linee guida ed elenchi di controllo
Secondo Maximilian Golla, rifiutare in linea di principio le app per l'asilo nido non è una soluzione praticabile, soprattutto perché esistono fornitori senza problemi di sicurezza, che rispettano le normative sulla protezione dei dati. "Se non c'è un'app ufficiale, i genitori usano servizi di messaggistica come WhatsApp, che è la peggiore di tutte le soluzioni per quanto riguarda la privacy", sottolinea.
Secondo gli esperti di informatica, una buona idea sarebbe che gli esperti elaborino linee guida e liste di controllo. Ad esempio, le agenzie governative potrebbero formulare raccomandazioni e trasmetterle alle associazioni che gestiscono gli asili nido.