Come riportato dall’azienda russa specializzata in sicurezza Kaspersky, un’app chiamata “Find and call” dopo l’installazione inviava, all’insaputa dell’utente, l’intera rubrica indirizzi al server dello sviluppatore. A questo punto, ogni numero di telefono presente in rubrica riceveva un SMS, apparentemente inviato dal telefono “derubato”, con un invito a scaricare la stessa app e relativo link. Presente sia sull’App Store che lo Store per Android, Google Play, l’app è stata prontamente rimossa da entrambi. Tecnicamente, l’azione di trasferire la rubrica su di un server web non è in sé e per sé problematica: lo è la mancanza di un’autorizzazione da parte dell’utente e ovviamente l’utilizzo a scopo di spam che poi ne fa lo sviluppatore. Ovviamente questo va contro le linee guida Apple, e qualcosa è andato storto nel processo di approvazione dell’app. Per la cronaca, anche il software di social networking Path qualche tempo fa trasferiva sui propri server la rubrica dei propri utenti a loro insaputa, ma non ne faceva un uso fraudolento e se l’è cavata facendo le proprie scuse ed eliminando la “funzione” dal software. Nel prossimo sistema operativo, attualmente in fase di beta testing, ogni app dovrà ricevere esplicita autorizzazione prima di poter accedere ai vari set di dati personali dell’utente: staremo a vedere se questo sarà sufficiente ad evitare questo genere di sotterfugi.
