Uber identificava in modo univoco gli utenti della sua app tenendo conto di peculiarità uniche dell’hardware dei dispositivi, al fine di identificare gli autisti che cancellavano e reinstallavano l’app in modo da ottenere in qualche modo dei bonus. Una sorta di ID univoco dell’utente rimaneva attivo anche dopo la cancellazione dell’app e anche se l’utente decideva di inizializzare il dispositivo. La pratica non è stata gradita da Tim Cook e tempo addietro il CEO di Apple si è incontrato faccia a faccia con Travis Kalanick (il CEO di Uber) spiegandogli che la procedura di tracciatura, che gli sviluppatori avevano cercato di nascondere, non era gradita e minacciando “l’espulsione” dell’app dall’App Store.
Il meccanismo sarebbe stato messo in piedi da Uber per evitare che autisti disonesti usassero account multipli per simulare richieste di più passaggi nella stessa zona e guadagnare bonus.
Apple in precedenza consentiva agli sviluppatori di tracciare gli utenti con l’UDID (Unique Device Identifier), una chiave univoca impressa in ciascun processore nella fase di fabbricazione ma dal 2013 questo identificato univoco può essere letto esclusivamente dal firmware ed è utilizzato solo per funzionalità legate all’hardware. La Mela offre agli sviluppatori meccanismi di tracking meno invasivi per la privacy dell’utente, come ad esempio i vendor ID e gli advertising ID.
Will Strafach, presidente di Sudo Security Group (azienda che offre piattaforme di sicurezza), spiega a TechCrunch di ritenere che il meccanismo sfruttato da Uber fosse utilizzabile con le versioni di iOS precedenti a iOS 9 poiché i dati in questione nelle versioni più recenti di iOS sono bloccati dalla sandbox (in altre parole applicazioni esterne al firmware non possono accedere ai dati archiviati).
Gli sviluppatori dell’app avevano cercato di offuscare la presenza nella loro app di codice che richiamava l’UDID ma gli ingegneri Apple hanno scoperto il trucco, portando all’incontro tra Cook e Kalanick nel 2015.
Uber ha dichiarato a TechCrunch di usare ancora un meccanismo che in qualche modo consente di individuare in modo univoco i dispositivi ma dice di farlo in conformità a quanto previsto da Apple. “Non tracciamo nel modo più assoluto singoli utenti o la loro posizione se cancellano l’app” ha dichiarato un portavoce di Uber ribadendo che il meccanismo era pensato per evitare frodi degli autisti e spiegando che tecniche simili sono sfruttate per individuare e bloccare login sospetti per proteggere gli account degli utenti. “Essere in grado di riconoscere operatori fasulli che si collegano al nostro network è un’importante misura di sicurezza sia per Uber, sia per gli utenti”.
Uber è nell’occhio del ciclone anche per una diversa questione che riguarda l’acquisto di dettagli concernenti gli autisti di Lyft (una piccola ma in crescita azienda di San Francisco concorrente di Uber) sfruttando una società di intelligence. Uber ha siglato un accordo con Slice Intelligence per fare ricerche sui clienti Lyft acquistando ricevute ottenute da Slice sfruttando meccanismi di email digest (i sistemi per la gestione delle mailing list di alcuni provider).
Chi accusa Uber di fare business ai limiti della legalità, potrebbe usare a sostegno della sua tesi il fatto che a dicembre dello scorso anno è stato rivelato che una funzionalità dell’app continuava a monitorare la posizione degli utenti per cinque minuti, dopo il termine delle corse permettendo all’azienda di sapere dove si recano dopo essere scesi dall’auto. Gli sviluppatori si sono giustificati spiegando che il sistema consente di individuare zone di pickup più accurate e individuare fermate dalle quali fare uscire in sicurezza il cliente dall’auto.
