Da gioco più scaricato a strumento per la sorveglianza di massa » Lo scandalo di Angry Birds

Nel 2014, il mondo venne a sapere che il gioco mobile più popolare di sempre era stato al centro di uno dei più grandi programmi di sorveglianza di massa mai realizzati, definendo le basi per i diritti sulla privacy nelle applicazioni per mobile.

· 5 min lettura
Da gioco più scaricato a strumento per la sorveglianza di massa » Lo scandalo di Angry Birds

Nel 2009, il panorama mobile era dominato dall'iPhone 3GS e dai primi dispositivi Android. L'App Store di Apple aveva appena compiuto un anno, inaugurando un'era dove le applicazioni mobili stavano ridefinendo il concetto di intrattenimento digitale. Angry Birds venne lanciato in questo momento cruciale, quando il pubblico medio stava scoprendo il potenziale dei giochi mobile come forma di intrattenimento casual.

L'esperienza di gioco su iPhone 3GS era sorprendentemente fluida per l'epoca. Il gioco sfruttava perfettamente il touchscreen e l'accelerometro, tecnologie che all'epoca erano considerate all'avanguardia per il gaming. Il pubblico target era incredibilmente vario: dai pendolari ai professionisti, fino ai bambini, creando una base utenti estremamente diversificata e preziosa dal punto di vista dei dati.

Un fenomeno globale

Dal suo lancio nel 2009, Angry Birds ha registrato una crescita esponenziale. Nel 2011 aveva raggiunto i 6,5 milioni di download, diventando l'app a pagamento numero 1 al mondo sull'Apple App Store.

Secondo i documenti del tempo, al momento dello scandalo nel 2014, il gioco era stato scaricato oltre 1,7 miliardi di volte. Il fenomeno di questo gioco era letteralmente inarrestabile.

Rovio Entertainment

Fondata nel 2003 con il nome di "Relude" in Finlandia dagli allora universitari Niklas Hed, Jarno Väkeväinen e Kim Dikert, la Rovio Entertainment aveva sviluppato ben 51 giochi prima di trovare il successo con Angry Birds.

Acquistata nel 2023 dalla SEGA (sì, quella di Sonic) per 706 milioni di euro, Rovio non ha mai dimostrato collegamenti diretti con agenzie governative al momento della fondazione. Tuttavia...

La scoperta

Lo scandalo di Angry Birds emerse attraverso un intricato percorso di rivelazioni che iniziò con i documenti classificati trapelati da Edward Snowden nel 2014[1][2]. La storia venne alla luce attraverso una collaborazione investigativa tra The Guardian, The New York Times e ProPublica, che analizzarono decine di documenti top-secret provenienti dalle agenzie di sicurezza NSA e GCHQ.

I documenti rivelarono l'esistenza di una iniziativa chiamata "mobile surge", un'analogia con le operazioni militari in Iraq e Afghanistan. Un analista della NSA aveva etichettato entusiasticamente questa capacità di sorveglianza come "Golden Nugget!" in una presentazione del 2010, evidenziando il potenziale di raccolta dati da iPhone e dispositivi Android. I documenti classificati mostravano diagrammi dettagliati che illustravano come le agenzie di intelligence intercettavano i dati dalle app mobili, con Angry Birds utilizzato specificamente come caso di studio assieme ad altre applicazioni come Google Maps, Facebook, Twitter e Flickr.

L'aspetto più inquietante della rivelazione fu la scoperta che la NSA aveva quasi quadruplicato il proprio budget per queste operazioni in un solo anno, passando da $204 milioni nel 2006 a $767 milioni nel 2007, secondo un'analisi top-secret canadese. I documenti mostravano che le agenzie avevano sviluppato capacità specifiche per estrarre profili dettagliati generati quando gli utenti Android giocavano ad Angry Birds, incluso il codice sorgente necessario per l'estrazione dei dati.

Una parte di codice dell'SDK di Burstly - utilizzato da Angry Birds. Questo software è stato studiato dal GCHQ per verificare il valore dei dati raccolti ai fini di sorveglianza. (fonte: propublica.org)

La scoperta di questo scandalo rivelò l'esistenza di strumenti di sorveglianza specifici, a cui erano stati assegnati nomi in codice ispirati ai personaggi dei Puffi:

  • "Nosey Smurf" permetteva di attivare il microfono del telefono;
  • "Tracker Smurf" forniva geolocalizzazione di alta precisione;
  • "Dreamy Smurf" poteva accendere segretamente telefoni apparentemente spenti;
  • "Paranoid Smurf" nascondeva la presenza di questi strumenti sul dispositivo.

L'architettura della sorveglianza

Lo scandalo fece scoprire un sistema sofisticato di raccolta dati. La NSA e il GCHQ sfruttavano le "app leaky" (applicazioni che trasmettevano dati sensibili) per raccogliere informazioni dettagliate sugli utenti. Questi dati includevano:

  • IMSI (International Mobile Subscriber Identity)
  • Dati di geolocalizzazione
  • Informazioni demografiche dettagliate come età, genere, reddito, e persino dettagli personali come lo stato matrimoniale
  • Preferenze personali e comportamentali (come l'orientamento sessuale)
  • Dati dei dispositivi e altri identificatori unici

La raccolta avveniva principalmente attraverso SDK pubblicitari di terze parti come Millennial Media, Burstly e InMobi.
Secondo quanto trapelato, applicazioni come Angry Birds trasmettevano dati personali degli utenti non crittografati o debolmente protetti a server centralizzati.

Dove questi dati venivano mandati, non è stato mai diffuso.

La risposta di Rovio

Quando lo scandalo emerse, Rovio tentò di minimizzare il proprio coinvolgimento. In una dichiarazione ufficiale, Saara Bergström, vice presidente del dipartimento Marketing e Comunicazioni di Rovio, affermò: "Rovio non ha alcuna conoscenza pregressa di questa questione e non era a conoscenza di tali attività nelle reti pubblicitarie da parte di terzi. Non abbiamo alcun coinvolgimento con le organizzazioni menzionate (NSA e GCHQ)".

Le conseguenze

Queste rivelazioni provocarono:

  • Un crollo significativo della fiducia degli utenti;
    Secondo il Pew Research Center, un sondaggio del 2014 mostrava che l'80% degli americani era preoccupato per l'accesso di terzi, come inserzionisti o aziende, ai dati che condividevano su questi siti
  • Maggiore scrutinio regolamentare globale;
    L'UE iniziò ad accelerare i lavori sul Regolamento Generale sulla Protezione dei Dati (GDPR), entrato in vigore nel 2018
  • L'implementazione di nuove normative sulla privacy delle app;
    I produttori di dispositivi e gli sviluppatori furono obbligati a introdurre sistemi più rigorosi di consenso informativo e a limitare l'accesso delle app ai dati sensibili. Nel 2015, Apple implementò il "privacy nutrition label" per evidenziare i tipi di dati raccolti da ciascuna app
  • Un ripensamento dell'industria sulla sicurezza dei dati mobili;
    Rovio stessa dichiarò di voler minimizzare la quantità di dati raccolti dagli utenti dopo lo scandalo, citando la necessità di ricostruire la fiducia del pubblico. Le aziende iniziarono ad adottare crittografia end-to-end per proteggere i dati trasmessi dalle loro app, con un'adozione più ampia di standard come HTTPS per la trasmissione sicura dei dati sui server.

In una scala da 1 a 10€

Quanto è stato interessante questo articolo?

Fammelo sapere!