Ogni nuova applicazione Android installata ci chiede il permesso per accedere ad alcuni dati del nostro telefono, cerchiamo di chiarire le cose con questo articolo…
Lo strabiliante successo degli smartphone ha fra le cause determinati principali la possibilità di installare applicazioni, le quali espandono i campi d'azione del device, aumentandone notevolmente le potenzialità.
Gli smartphone con sistema operativo Android sono preferiti da molti per la possibilità di personalizzazione, la quale non è limitata come nei dispositivi della Apple. Se da un lato la personalizzazione e la gestione dei permessi consentono all'utente di sfruttare il dispositivo a trecentosessanta gradi, dall'altro lato offrono ai malintenzionati le giuste opportunità di attacco, basate fin troppo spesso sulla gestione dei permessi degli applicativi.
Ogni volta che si installa una nuova applicazione, alla prima apertura viene richiesto di dare all'applicativo stesso i permessi per utilizzare liberamente altre funzioni del device. Molti applicativi, ad esempio, necessitano di accedere ai contatti e alla fotocamera per poter operare correttamente.
Concedere i permessi alle applicazioni di terze parti è previsto, dal momento che è l'unico modo per aggiungere funzionalità al dispositivo. Al tempo stesso però i malintenzionati potrebbero sviluppare app malevole e, tramite i permessi ottenuti, svolgere operazioni all'insaputa dell'ignaro utente e rubare informazioni sensibili.
Il metodo migliore per difendersi da attacchi di questo genere prevede innanzitutto l'evitare di installare applicativi la cui fonte non è sicura e in un secondo momento il controllare con attenzione i permessi che si concedono. Per difendersi è quindi utile conoscere le differenti tipologie di permessi che si potrebbero accordare e i rischi legati a ciascuna di queste categorie:
WiFi e dati cellulare
La maggior parte delle applicazioni chiedono i permessi per il WiFi e per i dati cellulare, dal momento che per operare correttamente hanno bisogno di potersi connettere ad Internet quando necessario. Il rischio legato a questa sezione consiste nella possibilità, da parte dell'eventuale applicazione malevola, di inviare dati sfruttando la connessione alla rete.
Il rischio aumenta quando, insieme ai permessi per il WiFi ed i dati cellulari, vengono concessi all’applicativo anche i permessi per accedere ai contatti, alle foto e ad altri dati personali memorizzati nel telefono.
Acquisti integrati
Offrendo all'applicazione i permessi per gli acquisti integrati si rende possibile effettuare acquisti direttamente dall'applicazione, senza dover confermare l'operazione nel Google Play Store. Il permesso per gli acquisti integrati non è ovviamente sempre dannoso, perché è su questo che si basano gli acquisti in-app.
Bisogna fare molta attenzione a non concedere questi permessi nel caso in cui le app vengano utilizzate dai bambini, perché per errore potrebbero effettuare acquisti in-app. Si ricorda che bloccando gli acquisti in-app, non si impediscono del tutto gli acquisti, ma si aggiunge una protezione: per portare a termine l’operazione di acquisto bisognerà confermare la scelta nel Google Play Store, inserendo la password del proprio account.
Identità e account
I permessi della sezione Identità è account consentono di accedere ai dati personali del possessore del device e agli account memorizzati sullo stesso. Questi permessi sono necessari per il corretto funzionamento di applicazioni sociali, in primis le app ufficiali dei social network, ma anche per gli applicativi che hanno bisogno di verificare l’identità dell’utente.
Si consiglia di non concedere questa tipologia di permessi a nessuna applicazione che non abbia bisogno di conoscere l’identità per poter operare. I rischi principali consistono nella diffusione di informazioni personali e nella possibilità, per l’app malevola, di eliminare gli account dell’utente. Un grave problema conseguenziale potrebbe essere il furto d'identità.
Cronologia delle app e dei dispositivi
In questa categoria troviamo i permessi che consentono all’applicativo di visualizzare la cronologia delle applicazioni utilizzate, la cronologia di navigazione in rete e dei device collegati. Sono permessi essenziali per alcuni applicativi, ad esempio i browser, ma sono inutili e rischiano di essere pericolosi se concessi ad altre tipologie di app.
Calendario e contatti
Concedendo i diritti per il calendario e per i contatti si consente all’applicazione di accedere agli eventi salvati nel calendario e alla lista completa dei contatti in rubrica, ciascuno con le informazioni personali come numeri di telefono, indirizzi email ed indirizzi di residenza.
Il rischio associato è vedere le informazioni sensibili rubate ed utilizzate, nel migliore dei casi, per inviare messaggi di posta elettronica o sms indesiderati o, nel peggiore dei casi, per rubare l’identità di una persona ignara del problema.
SMS e telefono
Si tratta in realtà di due categorie differenti, ma che possono essere raggruppate per le caratteristiche comuni. Applicazioni che richiedono i permessi per gli SMS diventano in grado, se i permessi sono concessi, di accedere agli SMS e di inviarne. Nell’ultimo periodo sono state portate alla luce svariate truffe basate sui permessi SMS: l’applicativo malevolo, dopo aver ricevuto l’autorizzazione, inviava SMS a pagamento ed il denaro veniva ovviamente scalato dal credito telefonico dell’utente.
Un discorso simile si può fare per i permessi telefono, che consentono agli applicativi di sfruttare a proprio piacimento l’applicazione telefono ed eventualmente anche di effettuare chiamate all’insaputa dell’utente.
Foto, dati e file
Le applicazioni che ricevono i permessi Foto, dati e file sono autorizzate ad accedere in ogni momento a qualsiasi file memorizzato nel cellulare. Questi permessi, combinati con altre categorie come i permessi per Wifi e dati cellulari, consentono al malintenzionato di trasferire sul proprio dispositivo i file privati rubati alla vittima.
Microfono e fotocamera
I permessi per il microfono e per la fotocamera sono fra i più rischiosi, perché l’app autorizzata potrebbe, all’insaputa dell’utente, scattare foto, registrare video o audio ed il tutto potrebbe poi essere inviato al malintenzionato.
Questo non significa ovviamente che i permessi non debbano essere concessi a nessuna applicazione, ma che bisogna fare attenzione agli strumenti di cui ci si fida.
Posizione
Accordando le autorizzazioni Posizione si consente all’applicativo di rilevare, in qualsiasi momento, la posizione dell’utente attraverso il GPS e di utilizzare le mappe installate sul device. Ad esempio, conoscendo la vostra posizione, un criminale potrebbe usare Google Maps per tracciarvi. E' anche vero, però, che alcune app molto conosciute e sicure, ad esempio il social navigatore Waze, necessitano di questo permesso. Si consiglia quindi di fare estrema attenzione anche a questa tipologia di permessi Android ed affidarli solo ad app molto conosciute e già utilizzate da migliaia di utenti.