Le applicazioni per smartphone e tablet sono uno dei settori più gettonati degli ultimi anni. Si può dire sia un ambito piuttosto democratico nell’accesso, perché fondamentalmente chiunque con buone idee e capacità di programmazione ha la possibilità di creare la nuova hit sugli Store. Il problema è nel saper andare oltre il successo iniziale, garantendosi una permanenza a lungo termine o quantomeno una ricca vendita ad un’altra azienda più importante. Chi si ricorda di MSQRD, l’app che permetteva di “sostituire” la nostra faccia con quella di un altro, o di un animale? La sua popolarità è durata relativamente pochi mesi, a cavallo tra il 2015 e il 2016, ma sono bastati al team di sviluppo per accasarsi felicemente a Facebook. MSQRD non ha peraltro nemmeno avuto il favore del periodo estivo, più facile da sfruttare per nuove app emergenti visto il maggiore relax degli utenti e la voglia di cambiare la routine. Ci è riuscita quest’anno Sarahah, un’app di messaggistica sviluppata in Arabia Saudita.

Abbiamo già detto, il periodo estivo ha aiutato, ma la caratteristica principale promessa da Sarahah è l’anonimato. Lo sviluppatore la presenta come un modo di esprimere in modo sincero cosa si pensa di una persona, a patto che essa sia iscritta sul servizio con una propria pagina personale. È gratuita e pressoché priva di pubblicità. Un pacchetto alquanto allettante per essere vero. E infatti una merce di scambio, in qualche modo, la prevede. Come pubblicato da The Intercept, su segnalazione dell’esperto di sicurezza Zachary Julian, Sarahah cerca di ottenere l’accesso alla rubrica dell’utente, col pretesto di verificare se qualcuno dei propri contatti è attivo sul servizio, caricandone poi i dati su server remoti.

Il problema si verifica soprattutto su Android con le versioni antecedenti a Marshmallow. Prima di questa, infatti, la gestione dei permessi per le app era molto meno sofisticata. All’utente veniva presentata in fase d’installazione una lista con le varie componenti a cui l’applicazione richiedeva accesso, con alte probabilità da parte dell’utente di non prestarvi la giusta attenzione. Dalla 6.0 in poi, invece, i permessi vengono richiesti singolarmente e solo alla prima volta in cui l’app ha bisogno dell’accesso a quella specifica funzionalità. Simile discorso viene eseguito anche da iOS. Fin qui si potrebbe dire che siamo davanti a un problema minore, basta che l’utente neghi a Sarahah l’accesso alla rubrica e può stare tranquillo. I dati più recenti sulla distribuzione delle versioni di Android ci mostrano tuttavia una realtà più preoccupante. Meno della metà dei dispositivi circolanti ha Marshmallow o superiore; la percentuale di prodotti con Lollipop e addirittura KitKat, versione minima supportata da Sarahah, rimane parecchio consistente. Inoltre, anche in presenza di una versione più recente del robottino verde o di iOS, va considerato che purtroppo non pochi sottovalutano la questione, dando il consenso sulla fiducia.

Ciò apre a un’altra questione: cosa ci fa coi dati personali raccolti? Nella sezione dedicata, viene garantito che essi non verranno venduti a terze parti, se non per ricerche statistiche. Ma è una dicitura piuttosto generica, sappiamo anche nella vita reale per esperienza quanti dati vengono raccolti col pretesto di consensi a fini statistici, salvo poi curiosamente dopo qualche tempo ritrovarsi con email, SMS e chiamate pubblicitarie… Come si suol dire, quando un prodotto è gratis vuol dire che il vero prodotto siamo noi. Facebook e Google ne sono gli esempi più lampanti. Ma lì parliamo di colossi americani, che non sono nati ieri e il cui pericolo maggiore sarà mostrarci pubblicità personalizzate sulla base delle nostre preferenze. Qui parliamo di un’app creata da uno sviluppatore sconosciuto in una nazione che ha piazzamenti alquanto bassi nelle classifiche dei diritti umani. Potremmo credere alla sua buona fede, che i contatti raccolti non verranno usati per scopi discutibili. Ma a quel punto è legittimo interrogarsi sulla sicurezza dei server su cui vengono ospitati i dati. Con un attacco potrebbero finire comunque in mani poco nobili.

Vedremo prossimamente come continuerà la storia di Sarahah, se saprà apportare misure volte a riacquisire fiducia e soprattutto rimanere sulla cresta dell’onda, rivelandosi altrimenti una sorta di cotta estiva. Per il resto, il dibattito sulla privacy online è annoso, fonte di controversie molto importanti anche a livelli governativi. Molti provano in ogni modo a proteggere la propria identità digitale, talvolta anche con “mezzi pesanti” come le VPN e/o il sistema Tor, ma la realtà è che la ricerca del totale anonimato non si discosta così tanto da quella del mitico Santo Graal. Probabilmente non hanno torto coloro che sostengono l’unica via per restare anonimi su internet sia di scollegarsi del tutto da essa.