skip to main | skip to sidebar
44 commenti

Facebook, l’app ora vuole fare telefonate senza chiedere all’utente

Questo articolo vi arriva grazie alla gentile donazione di “marco.forn*” ed è stato aggiornato dopo la pubblicazione iniziale.

Poco fa ho visto sul mio cellulare Android la notifica della disponibilità di una versione aggiornata dell'app di Facebook. Sono andato a controllare le novità di questa versione e ho trovato quello che vedete nello screenshot qui accanto: ora l'app vuole il permesso di “chiamare numeri di telefono senza il tuo intervento”.

No, giovane Zuckerberg: scordatelo. Non ti darò mai il permesso di fare telefonate che pago io senza il mio intervento. Vedere quest'avviso e disinstallare l'app dal telefonino è stato un tutt'uno. Adieu.


Aggiornamenti


11:30. Traduco integralmente la schermata (ho il cellulare settato in inglese per evitare gli orrori di traduzione delle versioni localizzate delle app):

Servizi che ti costano soldi

NOVITÀ: Chiamare direttamente numeri di telefono

Consente alla app di chiamare numeri di telefono senza il tuo intervento. Questo può portare a chiamate o addebiti inattesi. Si noti che questo non consente all'app di chiamare numeri d'emergenza. Le app ostili possono costarti dei soldi facendo chiamate senza la tua conferma.

Magari la novità non è inquietante come sembra e va chiarita con un avviso un po' meno drammatico e ambiguo, ma se mi devo basare soltanto su questa info sembra che si tratti di telefonate vere e proprie (non VOIP) che possono partire senza alcun mio intervento o consenso, per cui proprio non vedo ragione di permettere questo genere di automatismo a Facebook.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (44)
Non so se sia possibile, ma per semplificare la richiesta Android potrebbe permettere di richiedere nuovi permessi all'utente all'interno del contesto dell'applicazione così come succede online per Facebook. Ovvero: installi senza dire nulla, ma ti verrà richiesto di approvare un nuovo permesso all'applicazione la prima volta che verrà usato. In questo modo gli sviluppatori potrebbero evitare di spaventare la maggioranza degli utenti se la funzionalità è molto oscura e non verrà quasi mai utilizzata.
Sono sempre più contento di non essere su "fesbuc". Non capisco una cosa, però: perchè l'app dovrebbe telefonare senza l'intervento dell'utente? Qual'è lo scopo di questa cosa (a parte foraggiare le compagnie telefoniche)?
Grazie per la segnalazione, ma credo di non avere capito bene.
Che cosa si intende con l'espressione "chiamare numeri di telefono senza il tuo intervento" e in generale con tutto ciò che è scritto nello screenshot? Chi è che farebbe chiamate dal mio telefono senza il mio intervento (detto così sembra una follia) e soprattutto che senso ha presentare una cosa del genere come una semplice novità dell'applicazione? Come dire "grande novità: ora potremo fare partire telefonate dal tuo numero senza che tu lo voglia!". Insomma, detto così proprio non riesco a capirci molto...
Ho visto ieri la notifica dell'aggiornamento manuale. Sono andato a vedere le nuove permission e ho deciso di lasciare la versione vecchia, per quel poco che la uso. Finche' posso non aggiorno, poi se non cambiano idea, rimuovo.
Tanto l'applicazione di Facebook per il telefono non e' un farmaco salvavita, se ne puo' fare a meno (gia' adesso gli ho negato tutti gli accessi che ha chiesto).
io ho fatto recentemente un aggiornamento dell'app fb, ma non mi è comparso nessun messaggio del genere.
Come faccio a controllare?
Il permesso serve in vista della possibile installazione di Facebook Home, che interagisce con l'app principale per alcune funzioni tra cui, appunto, la chiamata. Quel permesso non significa che fa chiamate nascoste, significa che può avvisare direttamente una chiamata visualizzando comunque tutta la UI di chiamata, come se la chiamata la avesse fatta l'utente dalla rubrica, per intenderci. Chiaramente è una cosa che richiede cautela nell'uso ma, nel caso di Facebook, ha senso: se avesse dichiarato il permesso che consente solo l'apertura del dialer con il numero pre composto, richiedendo all'utente di premere poi il pulsante di avvio chiamata, l'esperienza d'uso ne avrebbe perso, considerando che l'intero scopo di Facebook Home è semplificare l'interazione con il telefono. Aggiungiamo che da un certo punto di vista su questo ci si può fidare di Facebook: se la usasse in modo improprio, con la user base che ha, ce ne si accorgerebbe subito. Visto che hanno sempre giustamente il mondo a controllare che non facciano passi falsi, ci si può aspettare che siano stati particolarmente attenti: da grandi poteri derivano grandi responsabilità, e di certo non sono così sprovveduti da non averci pensato.
Detto questo, Facebook Home mi pare una boiata pazzesca xD
Per essere un po' più verboso che su Twitter: quello a cui fa riferimento la schermata credo sia al fatto che l'app ha il permesso di effettuare chiamate (permesso android.permission.CALL_PHONE nel SDK Android) che permette di lanciare azioni ACTION_CALL direttamente (che passano alla schermata di chiamata diretta, invece di passare per il dialer di Android e quindi chiedere un secondo clic prima di effettuare la chiamata vera e propria). *Penso* sia soltanto una funzione che viene sfruttata cliccando su un numero di telefono di un profilo Facebook, per migliorare l'usabilità.

In linea teorica, non c'è niente che impedisca all'app di utilizzarlo anche in automatico (potrebbe esserci un servizio in background che attende che l'utente non utilizzi il cellulare prima di effettuare chiamate a caso, ad esempio). Ma questo del resto sono utilizzi fraudolenti degli stessi permessi che vengono sfruttati da più o meno tutte le app (basta pensare ai potenziali utilizzi malevoli dell'accesso ad Internet, che è un permesso accordato bene o male a quasi ogni applicazione installata): si tratta sempre di "fidarsi" dell'app e dello sviluppatore. Nel caso di Facebook, dubito che abbiano interesse ad effettuare chiamate senza conferma dell'utente.

Come sempre, quando si installa e si lascia girare del codice su una propria macchina, sia questo un fisso, sia questo uno smartphone con la gestione granulare dei permessi come su Android, dev'esserci un rapporto di fiducia (molto astratto) tra sviluppatore ed utente. :)
Allora disinstalli anche whatsapp, chaton, skype etc?
Purtroppo il msg è dovuto alle "grant" che bisogna assegnare all'app per fare cose.
Non ho Android, ma dall'avviso credo che voglia chiedere il permesso di effettuare chiamate dall'applicazione, magari semplicemente cliccando sull'immagine della persona...

L'avviso per quanto riguarda i malware devono metterlo.
Certo che potrebbero spiegare un po' meglio quello che vogliono effettivamente...
Quello che non capisco, al di là del fatto che sicuramente questi permessi che l'app di Facebook richiede siano legittimi, è come mai Android non prevede un sistema, come iOS, dove sia possibile consentire o negare un singolo permesso solo man mano che l'app vuole farne uso, e non solo al momento dell'installazione. Ad esempio, in questo modo un utente che non si fida potrebbe dare a Facebook tutti i permessi, ad eccezione di quello necessario ad effettuare chiamate, in maniera granulare.
@seebrock3r: da quello che vedo di molte app per Android, c'é un abuso generalizzato dei permessi (a volte richiesto dai gestori di pubblicità) e comunque una categorizzazione degli stessi che è stata fatta in una maniera cinofallica.
Molte app hanno come permesso quello di "leggere stato e identità del telefono". Molto probabilmente, all'app serve solo sapere se c'è una telefonata in corso per mettersi in pausa e riprendere dopo, ma nel pacchetto entra anche il tuo numero di telefono.
Altre app chiedono di poter accedere alle informazioni personali. Ne conosco una, che non ho installato, che sono sicuro necessiti di tale permesso per maneggiare il calendario, ma per fare questo ottiene gratis il diritto di inviare mail all'insaputa del proprietario e di accedere ad altre informazioni riservate.

Ho preso questi due solo come esempio, ma appunto potevano distinguere l'accesso ad un singolo calendario, invece che al mio intero codice genetico, oppure mettere un permesso più restrittivo di "stato di telefonata in corso" (che poi è quello che realmente interesserebbe, a meno che non interessi profilare il numero dei peli nel naso e la lunghezza dei capelli).

Se non altro, almeno il mio ICS, non mi fa l'aggiornamento automatico se il set di permessi richiesti cambia (queste app devono essere aggiornate una alla volta e devo accettare le nuove condizioni).
Marco,

Allora disinstalli anche whatsapp, chaton, skype etc?

No. Non le installo nemmeno. Non mi servono e non svendo i numeri di cellulare dei miei amici (come succede con Whatsapp).

La mia regola è molto semplice: nessuna app deve avere il permesso di telefonare o postare senza il mio consenso esplicito ogni volta.
confermo quanto scritto da seebrock3r , i nuovi permessi servono per il futuro facebook Home, che essendo un launcher deve poter accedere ai permessi per effettuare chiamate, sms ecc ecc.. come go launcher, nova e bla bla bla.
Ciò non toglie che mettere il cellulare in mano a facebook sia forse un po'.. "troppo"
Ammesso che il permesso per effettuare chiamate sia solamente per fare 'tap' su un numero e chiamarlo (che poi: quando mai succede da facebook?), il caro vecchio copia-e-incolla trascende le capacita' dell'utente quadratico medio?
Ho installato l'aggiornamento sul mio HTC OneX, prima però ho preso nota delle autorizzazioni che l'applicazione Facebook aveva sul mio cel, nulla è cambiato dopo l'aggiornamento, alla voce TELEFONATE è rimasto : LETTURA STATO E IDENTITA' TELEFONO.
Non capisco perché questo permesso non l'abbiano messo solo nell'app facebook home. Così saremmo stati liberi di scegliere. Evidentemente a qualcuno la libertà non piace.

Il problema non è il permesso in sé, ma il permesso rapportato all'app. Facebook deve potermi consentire di leggere e interagire coi miei contatti su facebook. Punto. E' quello che mi aspetto ed è quello che mi danno. Se vogliono darmi qualcosa in più devo poter essere libero di non volerla. Se non lo sono, utilizzo l'unica libertà rimasta: quella di disinstallare l'app dal mio smartphone.

E' lo stesso motivo per cui non ho mai installato whatsapp: richiede dei permessi che, rapportati allo scopo dell'app, non hanno senso.

Inoltre ricordiamoci una cosa: ADESSO siamo tutelati (poco, ma lo siamo) da leggi sulla privacy e simili. DOMANI potremmo non esserlo più, ma i diritti, i permessi e, peggio, le informazioni acquisite da chicchessìa... rimarranno.
Paolo,
ti stimo molto e capisco la tua preferenza personale di mantenere la privacy con certe applicazioni, ma il post è fuorviante. Messa così sembra che facebook abbia cattive intenzioni. Altri hanno spiegato il motivo della richiesta da parte dell'applicazione, e sarebbe se aggiungessi la spiegazione nel contenuto del post.
@seebrock3r

Aggiungiamo che da un certo punto di vista su questo ci si può fidare di Facebook

Forse ricordo male io, ma mi sembra che sinora Facebook abbia sempre gestito i dati degli utenti in modo molto "allegro", ad esempio cambiando piu` e piu` volte all'improvviso i criteri di privacy e rendendo disponibili dati che sino ad un momento prima non lo erano. E tu ti fidi di una compagnia che fa questo? Auguri.
Paolo Attivissimo che fa sensazionalismo.
Oh, the irony.
Paolo Attivissimo che fa sensazionalismo.
Oh, the irony.
Francamente PA non capisco cosa tu ci faccia ancora su Facebook :-P
Mi pare che la pensiamo in modo abbastanza simile sulla privacy, o sul modo in cui l'economia attuale la riduca - legalmente - a brandelli, ragione per la quale non mi ha mai seriamente sfiorato l'idea di vendere me stesso, e i miei amici di conseguenza, al sig. Zuckerberg.
Sono solo io che trova il sito mobile di FB molto migliore dell'App android? L'unico vantaggio dell'app è che posso condividere i contenuti direttamente, ma l'ap è una roba inusabile. Lenta, si blocca spesso e volentieri, perde gli aggiornamenti..

Saputo questa non la installo proprio più, mi pare assolutamente inutile quel permesso (ci sono tante app che hanno un sacco di permessi e non si capisce perché li chiadano, tra l'altro).
Friday,

non capisco cosa tu ci faccia ancora su Facebook

Infatti non lo uso come strumento di comunicazione, ma solo per test. Se ne devo parlare, devo conoscerlo.


1037...,

non voglio fare sensazionalismo. Ho notato questo avviso e l'ho segnalato dicendo che forse è solo una descrizione formulata in modo non chiaro. Tutto qui.
Secondo me queste app rubadati fanno notare come sia basso il livello di sicurezza negli smartphone.

Ragazzi, ancora un po' e vedremo comparire trojan, worm, scareware (lo so ci sono già stati ma erano più che altro delle "demo") e... antivirus per Android e iOS.
@Giuseppe

Tutto quello che dici già c'è. :)
Antivirus compresi.
Paolo: dai, il titolo è sensazionalistico, e così il contenuto: scrivi esplicitamente che per te Zuckerberg vorrebbe fare delle telefonate a tua insaputa. Non è vero. E' spiegato male, tutto qui (come dici tu stesso nell'ultima risposta, ma nell'articolo giungi a conclusioni errate e fai allarmismo): vuole semplicemente l'autorizzazione di lanciare la chiamata in modo che tu possa telefonare a chi vuoi tu e quando vuoi tu ma dalla sua interfaccia.

Per quanto riguarda Whatsapp e altro mi sembra che tu faccia la caccia alle streghe, bisogna distinguere se l'elenco dei contatti è solo memorizzato su un server remoto ma nell'EULA viene garantita la riservatezza dell'informazione oppure se è proprio previsto che i contatti vengano usati (a terze parti o meno) per altri scopi rispetto alla semplice erogazione del servizio. Ovviamente per tutti i servizi seri (Whatsapp, Skype, eccetera) ci sono delle solide garanzie per la privacy dell'utente e dei suoi contatti; se non li usi perché comunque non ti fidi dovresti ad esempio spegnere il cellulare, non usare carte di credito, chiudere l'indirizzo email eccetera eccetera.
Fx,

non mi sembra un titolo sensazionalistico.

L'app chiede di fare telefonate "senza il tuo intervento" (sic). Cioè senza chiedere all'utente, che è quello che ho scritto. E l'avviso sul cellulare dice che lo vuole fare ora ("Novità").

Se ho peccato di sensazionalismo, allora l'avviso di Android è quello peggio scritto di tutta la storia dell'informatica :-)
@Palin
utto quello che dici già c'è. :)
Antivirus compresi.


Ah...!... Ehm...! Oops... ^_^''

Sono rimasto un po' indietro.
Il mio "citofono" non ha Android
hehehehe gli ho dato il permesso...sul tablet privo di modulo telefonico...
Paolo,

cosa intendi con "WhatsApp svende i numeri di telefono dei miei amici"?
Per il principio del "non c'è il limite al peggio" concedimi il beneficio del dubbio sul "peggiore della storia" ma sicuramente è nella top ten in quanto completamente fuori strada.

Se vogliamo puntualizzare credo che in realtà il problema risieda in una mancanza di granularità nella definizione delle azioni e di conseguenza delle autorizzazioni: se un'app ti vuole offrire la possibilità di telefonare usando la propria GUI deve aver il permesso di poter eseguire chiamate. Dal punto di vista dell'OS non è però possibile discernere se le chiamate vengono lanciate in modo legittimo, ovvero sulla base di una richiesta dell'utente, oppure no; di conseguenza l'avvertimento di cui stiamo parlando mette sull'allerta l'utente per le potenziali implicazioni. Onestamente dal punto di vista funzionale non vedo molte altre strade, mi sembra corretto così; sicuramente l'avviso andrebbe scritto in altro modo, del tipo "Consente all'app di eseguire chiamate. Questo significa che puoi eseguire chiamate direttamente dall'app, tuttavia app ostili potrebbero utilizzare questa possibilità facendo chiamate senza la tua conferma, eventualità che potrebbe portare a addebiti inattesi."
Io ho installato la cyanogen mod.
Ho aggiornato facebook alla nuova versione e poi le ho tolto il permesso di fare le chiamate senza il mio permesso.

Android di per se lo permette, è l'installer di default che non fa filtrare i permessi in maniera realmente granulare.
Verzasoft,

http://www.whatsapp.com/legal/

"You hereby give your express consent to WhatsApp to access your contact list and/or address book for mobile phone numbers in order to provide and use the Service. We do not collect names, addresses or email addresses, just mobile phone numbers."

Quando ti iscrivi a Whatsapp, passi a Whatsapp tutti i numeri di telefonino dei tuoi amici, colleghi, clienti, fornitori e contatti. Certo, passi soltanto il numero, ma basta quello per fare festa e sapere i fatti tuoi. Anche perché passare dal numero all'identità è banale: reverse lookup oppure, semplicemente, aspetti che l'utente si iscriva a Whatsapp.
Paolo: nel'era del cloud la localizzazione dei dati è una nostalgia romantica, si chiama inerzia al cambiamento. Ci sono degli aspetti ai quali porre attenzione (privacy, EULA, affidabilità), ma per il resto la strada è quella.

Poi per inciso subentra quel meccanismo (mi saprai sicuramente dire tu come si chiama) per cui si considerano solamente gli aspetti negativi rispetto a ciò che si vuole attaccare e si omettono per ciò che invece si reputa "amichevole". Ad esempio, il tuo indirizzo email finisce per @pobox.com, il che implica che le tue email e la tua rubrica (anche se non è memorizzata presso di loro in ogni caso ci metti poco a ricostruire l'elenco dei tuoi contatti dai log, che tra l'altro devono essere mantenuti per anni per legge) sono in mano a terzi. Per fare uno dei mille esempi, eh... Il punto è come al solito non affidarsi a servizi del piffero, ma Skype, Whatsapp, Google, iCloud, Dropbox, eccetera sono tutti servizi che pongono la dovuta attenzione sugli aspetti privacy e tutela dati (poi "shit happens", ma è un altro discorso).

Per inciso, con i trojan e virus ad hoc che girano non sono sicuro sia più sicuro per la propria privacy avere i propri dati importanti presso terzi o presso il proprio computer (per lo meno per l'utonto medio).
Scusa Paolo ho letto ora la tua risposta.
Concordo con la tua scelta di non installare whatsapp e della politica che utilizzi prima di installare ed utilizzare una qualunque applicazione.
Il problema qui invece è un'altro, perdonami se non sono riuscito a spiegarmi bene precedentemente.

Il tipo di messaggio al quale ti riferisci c'è perchè nel file AndroidManifest.xml dell'applicazione c'è scritto che tale applicazione ha il permesso CALL_PHONE. Per programmare su Android si fa cosi: devi dichiarare che utilizzerai (puoi utilizzare) una determinata feature e dirlo all'utente.
Ovviamente poi può succedere che il programma utilizzi in modo non lecito la feature che tu utente hai accettato. Non credo che sia il caso dell'applicazione facebook ma ad esempio io ne ho fatta una (che non vendo e usiamo solo io ed alcuni amici) che se pronunci una frase o passi vicino a casa mia tenta una chiamata al mio numero di cellulare.
Detto questo il androidManifest.xml è molto simile, oltre a quello di whatsapp, skype come detto su, a quello dell'applicazione Messaggi (mms.apk) o all'applicazione Telefono (phone.apk).
Spero che sia chiaro.
In linea di principo anche l'applicazione Telefono (phone.apk) potrebbe usare la tua "fiducia" in modo fraudolento.
La bellezza di usare Android è proprio che puoi spulciarti i file androidManifest (e spesso anche altri sorgenti del programma installato o da installare) facilmente.
Claudio: qui il punto non è "dove sono i dati". Il punto è che un App vuole il permesso di fare telefonate "anche senza il consenso esplicito dell'utente". Se non ci fosse questa postilla, nessuno avrebbe niente da ridire. Accedo ai dettagli del mio contatto, se quello ha messo il numero lo chiamo avviando direttamente la chiamata da dentro l'app. Più comodo di così...
In generale il punto è che le app sul mio telefono non dovrebbero fare cose senza il mio consenso.
@Paolo Attivissimo

->Consente alla app di chiamare numeri di telefono senza il tuo intervento.

Sono più propenso per l'ipotesi: "l'avviso di Android è quello peggio scritto di tutta la storia dell'informatica :-)" perché non capisco il senso di una funzione del genere.
Per quale motivo dovrebbero aggiungere una funzione che chiama "a casaccio, senza permesso" un contatto x della nostra lista contatti?!

Mi immagino la scena:
"Driiin!"
"Ehi ciao, mi avevi chiamato, che volevi?"
"Chiamato?! Io non ti ho affatto chiamato!!!
"Veramente... A me è arrivata una tua chiamata!"
"Ah... aspetta, allora è stato Facebook tranquillo ;)"

Riguardo alla frase "La mia regola è molto semplice: nessuna app deve avere il permesso di telefonare o postare senza il mio consenso esplicito ogni volta."

Quali sarebbero queste App?
ATTENZIONE! FB non vuole solo telefonare, nell'elenco dei permessi ora mi chiede anche di modificare le statistiche di consumo della batteria!?!
Questo sapete giustificarmelo?
Riassumendo il msg è tra i peggiori della storia.
E' lo stesso dell'applicazione "telefono" phone.apk quindi niente di grave e pericoloso.
È dovuto alla policy android che impone allo sviluppatore di informare l'utente che sta usando delle API che permettono in principio di effettuare delle chiamate se il modulo gsm è attivo.
Non è banale per un simple-user disabilitare una singola feature di una applicazione e quindi tipicamente l'utente leggendo il msg decide se fidarsi o meno dell'applicazione che sta installando.

Suggerimenti:
È buona norma installare sempre applicazioni "fidate" (se vi fidate davvero di qualcosa preferitela) o leggersi il codice sorgente se disponibile (preferire applicazioni che lo rendono disponibile). Su android è almeno sempre possibile leggersi il file xml che definisce tutte le "feature" che l'applicazione potrebbe usare (preferire app che dichiarano di usare solo feature in linea con il loro scopo).
probabilmente è un aggiornamento nell'ottica del prossimo utilizzo di facebook home come launcher e quindi la possibilità di fare chiamate direttamente dall'applicazione, non mi sembra niente di grave, poi da un applicazione così scaricata l'ultima cosa che mi posso aspettare è un uso fraudolento di questo tipo, andrebbe contro la loro politica. Se poi vogliamo parlare di punti oscuri sull'utilizzo di dati privati allora è tutto un altro conto.
Non mi preoccupo che FB "chiami" i miei contatti, mi preoccupo che qualche applicazione Fb malevola si metta a fare numeri a pagamento come i cari vecchi dialer. Ci avete pensato?
cosa ne dite di IMO. Chiede nome utente e Password di tutti gli account persoali, e ti permette di rianere in linea su tutti, avendo in ua schermata tutti coloro che sono in linea sui diversi account. Il servizio e ottimo ( vista la possibilita di chiamate gratuite fra utenti IMO, ma mi chiedo se sia affidabile visto le informazioni fornite.
cosa ne dite di IMO. Chiede nome utente e Password di tutti gli account persoali, e ti permette di rianere in linea su tutti, avendo in ua schermata tutti coloro che sono in linea sui diversi account. Il servizio e ottimo ( vista la possibilita di chiamate gratuite fra utenti IMO, ma mi chiedo se sia affidabile visto le informazioni fornite.
Spero che almeno non chiami le più belle tra i miei contatti sennò va a finire che me le soffia pure...