NewsTecnologia

Uno spyware nascosto in alcuni videogiochi traccia la resa delle campagne di affiliazione

The Elder Scrolls Online, Conan Exile, Vermintide, alcuni capitoli di Total War e Civilization VI sono alcuni dei giochi interessati. Red Shell è un SDK che inserisce del codice all’interno del codice dei videogiochi volto a tracciare la resa dei link di affiliazione cliccati nei computer in cui sono installati i giochi in questione.

Secondo le FAQ di Red Shell, il programma è progettato per aiutare gli sviluppatori e i produttori a scoprire quanto sia efficace il loro marketing. Loro dovrebbero essere interessati a installare questo SDK per scopi di data mining, ovvero scoprire i comportamenti di acquisto del proprio pubblico, in modo da profilare con precisione campagne di marketing di successo. I dati così raccolti, infatti, vengono in una seconda fase trasmessi ai server di Red Shell.

Zune

La storia è cominciata a circolare dopo la pubblicazione di un thread su Reddit. Un utente nello specifico individuava la presenza di Red Shell all’interno del videogioco Holy Potatoes! We’re in Space?! di Daylight Studios. Da quel momento sono arrivate molte altre segnalazioni e si è venuto a sapere che Red Shell era in realtà presente nei ben più blasonati titoli prima menzionati, inserito tramite recenti aggiornamenti ai giochi stessi.

A quel punto diversi produttori di videogiochi sono intervenuti in prima persona, ammettendo la presenza dell’SDK considerato “spyware” all’interno dei loro giochi: alcuni hanno provveduto alla rimozione, mentre altri fanno sapere che i cambiamenti verranno applicati prossimamente. Su Reddit si può trovare una lista di giochi che ancora mantengono Red Shell: fra questi, Civilization VI, Kerbal Space Program, Warhammer 40k Eternal Crusade e Sniper Ghost Warrior 3.

Nelle FAQ sul sito ufficiale di Red Shell, si legge che il software in questione non è intendibile come uno spyware. “Con una mossa geniale del nostro reparto marketing, Red Shell condivide il nome con un vecchio virus Trojan di 14 anni fa. Red Shell non esegue alcun codice al di fuori del codice del gioco in cui risiede. All’interno del gioco tutto ciò che viene eseguito è un semplice postback utilizzato per l’attribuzione e l’analisi”. Anche la stessa immagine promozionale del servizio sul sito ufficiale, con una conchiglia rossa che insegue l’icona di Steam, evidenzia, pur in maniera canzonatoria, quanto sia aggressivo questo servizio.

Ma questo non convince i giocatori, che non capiscono perché la loro passione per il gaming debba essere sfruttata per entrare nel PC e attingere a una serie di dati personali. Anche perché secondo loro Red Shell realizzerebbe una “fingerprint” che seguirebbe le abitudini di acquisto tramite link affiliati degli utenti nel corso del tempo. Tra le informazioni raccolte, il sistema operativo, il numero di versione del browser, l’indirizzo IP (anonimizzato tramite hashing unidirezionale), la risoluzione dello schermo e l’ID utente all’interno del gioco. Caratteristiche, ovvero, che lo definiscono come un sistema indirizzato principalmente agli autori di videogiochi.

C’è una pagina sul sito ufficiale dalla quale è possibile fare un opt-out che consente in qualsiasi momento di svincolarsi dal sistema di tracciamento di Red Shell. D’altronde, il fatto che la sua implementazione sia talmente invisibile da essere rimasta sconosciuta fino a oggi fa decrescere le possibilità che gli utenti colpiti sappiano che Red Shell è presente nel loro sistema e, quindi, lo disabilitino.

La raccolta di dati senza la consapevolezza dell’utente è vietata dai corrispondenti sistemi di tutela della privacy di molte nazioni, oltre che dal recentemente introdotto regolamento GDPR per i paesi dell’Unione Europea. Allo stesso tempo, il fatto che molti produttori di videogiochi siano intervenuti così prontamente, rimuovendo Red Shell dai propri giochi, rende chiaro come i giocatori probabilmente non abbiano sbagliato quando lo hanno definito “spyware”.