No, l’editor audio OpenSource Audacity non è diventato “spyware”

1

All’inizio di questo mese, diverse fonti online hanno iniziato a pubblicare articoli con titoli allarmanti, avvertendo i propri lettori circa il nuovo – presunto – pericolo per la privacy degli utenti del famoso software open-source Audacity, bollandolo come “spyware”.

La questione – se fosse davvero così – sarebbe non poco allarmante. Non esistono infatti, ad oggi, valide alternative all’audio editor FOSS che milioni di persone usano quotidianamente. Il software è cross-platform, completamente open-source, e relativamente facile da usare. Questo lo rende la soluzione perfetta per l’utente “prosumer” medio che ha bisogno di manipolare file audio, come ad esempio chi produce il proprio podcast.

Tutta questa negatività però non è solo mal posta, ma arriva anche tardi. Il team di Audacity ha infatti annunciato l’inserimento di un meccanismo di telemetry all’interno del software, ma la raccolta di dati non è né dettagliata né aggressiva. Inoltre, tutte queste preoccupazioni sono già state affrontate un paio di mesi fa, e sembra che la comunità sia soddisfatta delle risposte pervenute.

L’accusa

Il sito di FOSS Slashgear ha dichiarato che, sebbene Audacity sia gratuito e open-source, i nuovi proprietari Muse Group possono “apportare modifiche molto dannose” – in riferimento alla nuova Privacy Policy e all’introduzione del nuovo sistema di telemetria, che vengono definite “omnicomprensive e vaghe”. FOSSPost rincara la dose, con il titolo “Audacity è ora un possibile spyware, rimuovetelo appena possibile”.

Per entrambi i siti pare che la preoccupazione nasca dalla nuova Privacy Policy annunciata dai nuovi proprietari del progetto, Muse Group, che già pubblica il software per la notazione musicale MuseScore. La Privacy Policy, aggiornata il 2 Luglio, descrive i dati che l’app può raccogliere:

Dati personali raccoltiPerché li raccogliamoRagioni legali
Nome e versione OS
Paese di origine (tramite IP pubblico)
CPU
Codici e messaggi di errore non-fatal (es. file che non è stato possibile aprire)
Crash report in formato Breakpad MiniDump
Analitiche legate all’app
Miglioramenti all’app
Interesse legittimo da parte di WSM Group per garantire il corretto funzionamento dell’app
Dati necessari per l’applicazione della legge, per la risoluzione di controversie legali e da fornire su richiesta delle autoritàApplicazione legaleInteresse legittimo da parte di WSM Group per difendere i propri diritti ed interessi

I dati raccolti, come delineato nella tabella qui sopra, non sono particolarmente sensibili, anzi, sono molto simili a quelli delineati nella Policy dello stesso FOSSPost: indirizzi IP, browser user-agent, “altri cookies forniti dal browser” e (tramite WordPress e Google Analytics) “posizione geografica, cookies di altri siti e altre informazioni fornite dal browser”.

Questo ci lascia con l’ultimo punto – “dati necessari per l’applicazione della legge, risoluzione delle controversie legali, e da fornire su richiesta delle autorità”. E per quanto questa sia effettivamente una descrizione molto vaga, è la realtà dei fatti nel 2021. Che sia specificato o meno nella Privacy Policy, la maggior parte delle aziende deciderà di collaborare con le autorità in caso di richiesta – se vuole evitare guai.

La ciliegina sulla torta della controversia è la riga in cui si specifica che Audacity “non è adatto ai minori di 13 anni”, in cui si invitano coloro che non hanno compiuto i 13 anni a “non utilizzare l’app” – questo avviene semplicemente per evitare la complessità e i costi legati all’ottemperanza con le leggi sulla raccolta dei dati per soggetti così giovani.

Cosa non è stato discusso

La prima cosa da sottolineare è che né la Privacy Policy né la telemetria sono entrate in effetto – sono entrambe programmate perla release 3.0.3, mentre quella attuale è la 3.0.2 Questo significa che, ad ora, non c’è assolutamente motivo di preoccuparsi per l’utilizzo dell’app che abbiamo installato.

La nuova policy è stata inviata come pull request il 4 Maggio scorso. In quella versione, veniva indicato che Audacity avrebbe usato libcurl per trasferire dati di telemetria, e che Google Analytics avrebbe tenuto traccia di quanto segue:

  • Inizio e fine sessione
  • Errori, compresi quelli dell’engine sqlite3, per effettuare il debug su questioni di corruzione riportare sul forum di Audacity
  • Utilizzo di effetti, generatori sonori, strumenti di analisi, per dare la giusta priorità al futuro sviluppo
  • Utilizzo di formati di import e export
  • Versione dell’OS e di Audacity

La versione originale dell’annuncio specificava che la sessione sarebbe stata identificata tramite un UUID, generato e salvato sulla macchina cliente, e che Yandex Metrica sarebbe stata incaricata di calcolare il numero di utenti giornaliero. Infine, specificava che “la raccolta dati è opzionale e disattivabile in qualsiasi momento” e che “se la condivisione dati è disabilitata, tutte le funzionalità di telemetria sono no-op”.

Questa è un’applicazione abbastanza comune ai giorni nostri, utilizzata già da altri progetti open-source, come Firefox. Il problema principale con questo annuncio è che la raccolta dati viene Intesa come opt-out, piuttosto che opt-in, sebbene sia giusto notare che anche per Firefox si tratta ad ora di opt-out.

Sebbene la comunicazione fosse abbastanza standard, le reazioni inizialii furono abbastanza contrarie – e lo sviluppatore crsib ha risposto esattamente 3 giorni dopo, aggiornando il comunicato.

L’aggiornamento del 7 maggio dichiara che “la telemetria è strettamente opzione e disabilitata di default”, che la telemetria funziona solo sulle build di GitHub CI dal repository ufficiale, e che chiunque compili Audacity dalla source avrà l’opzione di abilitare le funzioni di raccolta dati, che quindi saranno disattivate di default.

Con questo aggiornamento – ad una modifica non ancora applicata – dovrebbe essere stato rimosso qualsiasi dubbio sulla raccolta di dati senza il consenso dell’utente. Non solo si tratta di un opt-in, ma la funzionalità stessa di raccolta dati è estremamente facile da rimuovere, e viene addirittura rimossa automaticamente per chiunque compili da source (quindi anche i repo delle singole distro).

Da allora, l’intera pull-request è stata rimossa, e sostituita dall’annuncio #889 che cerca di chiarire tutta la questione telemetria. Il nuovo annuncio recita “non abbiamo assolutamente alcun interesse nel raggogliere o vendere dati personali, e Audacity resterà sempre free e open-source”, aggiungendo che la risposta all’annuncio iniziale “ha fatto reealizzare a Muse che la convenienza nell’utilizzo di Yandex e Google è in contrasto con la percezione pubblica di affidabilità, e abbiamo quindi deciso per una soluzione di self-hosting”.

La reazione della comunità

Sebbene outlet come FOSSPost e Slashgear abbiano inizialmente reagito in maniera molto negativa, i contribuenti del progetto su Github hanno lasciato commento positivi, e sembrano prevalentemente soddisfatti dall’aggiornamento del 13 maggio.

In questo caso sembra davvero che Muse abbia ascoltato la propria comunità, aggiustando il tiro, a dimostrare che prende sul serio le preoccupazioni dei propri utenti, e la linea adottata sembra più che ragionevole.

Fin da piccolo ho coltivato una forte curiosità per come funzionano le cose. Da ragazzo ho scoperto la passione per il mondo dei computer, e da grande ho scoperto l’amore per il mondo del web development, in particolare del front-end. Mi piace tenermi aggiornato e seguire gli sviluppi tecnologici, imparando cose sempre nuove.