Audacity, la nota applicazione multipiattaforma per l’editing audio multitraccia su macOS, Windows e Linux è indicata alla stregua di uno spyware in un report del sito Fosspost.
A maggio di quest’anno gli sviluppatori di Audacity hanno venduto il software a Muse Group, un brand noto per un’altra app di musica open source denominata MuseScore. Le policy sulla privacy di Audacity sono state cambiate e, a quanto pare, l’applicazione raccoglie vari dati sugli utenti, condividendo elementi con aziende di terze parti, comunicando vari dettagli a server che si trovano in Russia.
La privacy policy dell’applicazione è stata modificata il 2 giugno, spiega il sito Fosspost, integrando cambiamenti relativi alla raccolta dei dati personali che consentono di ricavare vari dettagli sull’utente.
Nell’elenco dei dati raccolti ci sono: il sistema operativo, la versione, la nazione dell’utente tenendo conto dell’indirizzo IP da cui questo si collega, codici di errore e messaggi, report relativi ai crash, il processore usato. Tra i dati raccolti per “obblighi giuridici” ci sono non meglio precisati “dati necessari utili in caso di contenziosi con le forze dell’ordine ed (eventuali) richieste da parte delle autorità”, indicazioni fumose dalle quali non è possibile comprendere in dettaglio quali siano i dati in questione.
Nel documento che indica alcuni dettagli sulle policy legate alla privacy dell’applicazione si spiega che gli indirizzi IP sono memorizzati in modo identificabile ogni giorno, memorizzati come hash con una sequenza (salt) che cambia quotidianamente. Gli hash in questione sono memorizzati per un anno prima della loro cancellazione, e i nuovi proprietari dell’app riferiscono che al termine dell’anno le sequenze non sono archiviate e non possono essere successivamente recuperate. Secondo Fosspost la memorizzazione di alcuni elementi consente alle autorità di identificare in modo univoco gli utenti a patto di avere sufficienti risorse e l’autorità legale per farlo.
I dati in questione sono memorizzati nell’ambito dello Spazio economico europeo ma nella privacy policy si riferisce altresì che lo sviluppatore condivide “alcuni dettagli con suoi uffici in Russia e consulenti esterni negli USA”.
Resta il mistero del perché un’app per la modifica di file audio debba ricorrere a questi sistemi. Leggendo tra le righe della nuova privacy policy di Audacity si spiega che dati personali potrebbero essere condivisi con varie entità, inclusi “consulenti”, “potenziali acquirenti”, forze dell’ordine, autorità di regolamentazione, autorità giudiziarie e altre parti ancora.
L’app è stata in precedenza distribuita secondo i termini della licenza GNU General Public License (comunemente indicata con l’acronimo GNU GPL o semplicemente GPL), proibendo però l’uso a persone di età inferiore ai 13 anni, in violazione da quanto previsto dalla licenza GPL.
La speranza è che, dopo quanto emerso, i nuovi proprietari di Audacity modifichino la privacy policy, rendendo il software di nuovo veramente libero come è sempre stato.