Aggiornato il 10 ottobre 2018: Google ha modificato su Android Oreo le impostazioni delle autorizzazioni alle app, aggiungendo il nuovo gruppo “Accesso speciale alle app”. Per maggiori informazioni, potete leggere il nostro post “Android 8 e autorizzazioni app: la guida completa“.
In caso di malware, Android dispone di un meccanismo di difesa molto buono (il sistema di autorizzazioni delle app). Questo sistema definisce una serie di azioni che un’app può o non può eseguire. Tutte le app Android funzionano per default in un sandbox (un ambiente isolato). Per avere accesso, modificare o eliminare dati fuori dal sandbox hanno bisogno delle autorizzazioni del sistema.
Le autorizzazioni si possono dividere in diverse categorie; oggi però parleremo solo di due di queste: quelle normali e quelle pericolose. Le autorizzazioni normali riguardano azioni come l’accesso a Internet, la creazione di icone, la connessione Bluetooth e così via. Queste autorizzazioni sono concesse per default e non richiedono l’approvazione dell’utente.
Qualora un’app abbia bisogno di una delle autorizzazioni “pericolose”, viene richiesta una conferma da parte dell’utente. Quindi, perché alcune autorizzazioni vengono considerate pericolose? Lo sono davvero? E in quali casi dovreste dar loro accesso?
Autorizzazioni pericolose
La categoria delle autorizzazioni “pericolose” include nove gruppi di permessi in cui le app sono in un certo qual modo connesse alla privacy e alla sicurezza dell’utente. Di conseguenza, ogni gruppo contiene diverse autorizzazioni che possono essere richieste da un’app.
Se un utente concede una di queste autorizzazioni, l’app ottiene automaticamente tutti i permessi per lo stesso gruppo, senza ulteriore conferma. Ad esempio, se un’app è stata autorizzata a leggere gli SMS, allora potrà anche inviare SMS, leggere MMS ed eseguire altre operazioni dello stesso gruppo.
Calendario
Cosa permette:
- Leggere gli eventi memorizzati nel calendario (READ_CALENDAR).
- Modificare vecchi eventi e crearne di nuovi
(WRITE_CALENDAR).
Perché è pericolosa: se utilizzate attivamente la vostra agenda digitale, l’app conoscerà la vostra routine giornaliera e potrebbe condividerla con i criminali. Inoltre, un’app con bug potrebbe eliminare per sbaglio importati riunioni dal calendario.
Fotocamera
Cosa permette:
- L’accesso alla fotocamera (CAMERA) permette all’app di utilizzare il vostro telefono per scattare foto e per girare video.
Perché è pericolosa: un’app può girare video o scattare foto di nascosto in qualsiasi momento.
Contatti
Cosa permette:
- Leggere i contatti (READ_CONTACTS).
- Modificare i contatti o aggiungerne nuovi (WRITE_CONTACTS).
- Accesso alla lista dell’account (GET_ACCOUNTS).
Perché è pericolosa: un’app può dare problemi alla vostra intera rubrica. Questi dati piacciono molto agli spammer e ai truffatori. Questo permesso consente l’accesso alla lista di tutti gli account che utilizzate nelle app su questo dispositivo (Google, Facebook, Instagram e altri simili).
Posizione
Cosa permette:
- Accesso alla vostra posizione approssimativa (ACCESS_COARSE_LOCATION) che si basa sui dati forniti dalle stazioni radio base e dagli hotspot Wi-Fi.
- Accesso alla vostra posizione esatta (ACCESS_FINE_LOCATION), fornita dai dati GPS.
Perché è pericolosa: l’app sa dove vi trovate in ogni momento. Potrebbe, ad esempio, far sapere ai ladri quando siete fuori casa.
Microfono
Cosa permette:
- Registrare audio dal microfono (RECORD_AUDIO).
Perché è pericolosa: l’app può registrare tutto quello che succede nei pressi del vostro telefono. Tutte le vostre conversazioni. Non solo quando parlate al telefono, ma tutto il giorno.
Telefono
Cosa permette:
- Leggere lo stato del telefono (READ_PHONE_STATE) permette all’app di conoscere il vostro numero di telefono, le informazioni della rete mobile, lo status delle chiamate in corso e così via.
- Effettuare chiamate (CALL_PHONE).
- Leggere la lista delle chiamate (READ_CALL_LOG).
- Modificare la lista delle chiamate (WRITE_CALL_LOG).
- Aggiungere la segreteria telefonica (ADD_VOICEMAIL).
- Utilizzare il VoIP (USE_SIP).
- Gestire le autorizzazioni delle chiamate in corso (PROCESS_OUTGOING_CALLS) permette all’app di vedere chi state chiamando, di riagganciare o di reindirizzarvi a un altro numero.
Perché è pericolosa: quando concedete autorizzazioni al telefono, permettete all’app di effettuare quasi ogni azione associata alla comunicazione vocale. L’app saprà quando e chi chiamate (e potrà chiamare chiunque a vostre spese, anche i numeri a pagamento).
Sensori per il corpo
Cosa permette:
- (BODY_SENSORS) — Questa autorizzazione dà accesso ai dati sulla vostra salute ricavati da alcuni sensori, come il cardiofrequenzimetro.
Perché è pericolosa: se utilizzate accessori con sensori per il corpo (non i sensori del movimento integrati nel telefono), l’app riceve i dati relativi a cosa succede al vostro corpo.
SMS
Cosa permette:
- Inviare SMS (SEND_SMS).
- Leggere gli SMS salvati (READ_SMS).
- Ricevere SMS (RECEIVE_SMS).
- Ricevere messaggi WAP push (RECEIVE_WAP_PUSH).
- Ricevere MMS (RECEIVE_MMS).
Perché è pericolosa: permette all’app di ricevere e leggere i vostri SMS in arrivo così come anche di inviarne (ovviamente a vostre spese). Ad esempio, i criminali possono usare questo permesso per iscrivere le vittime a servizi a pagamento indesiderati.
Archiviazione
Cosa permette:
- Leggere la scheda SD o altre schede di memoria
(READ_EXTERNAL_STORAGE). - Salvare documenti nella memoria o nella scheda SD
(WRITE_EXTERNAL_STORAGE).
Perché è pericolosa: l’app può leggere, cambiare o rimuovere qualsiasi file memorizzato sul vostro telefono.
10 tips for maximum #Android #security – https://t.co/bIqSGMj05q pic.twitter.com/j0quFlYNnw
— Kaspersky (@kaspersky) November 7, 2014
Come impostare le autorizzazioni delle app
Dovreste prestare attenzione ad ogni autorizzazione che concedete. Ad esempio, se un gioco o un’app di editing di foto desidera avere accesso alla vostra posizione è un po’ strano. Allo stesso modo, mappe e navigatori hanno davvero bisogno dei dati GPS (ma non hanno bisogno di accedere alla lista dei contatti o agli SMS).
Nella versione di Android 6 e in quelle successive, le app chiedono l’approvazione dell’utente ogniqualvolta abbiano bisogno di una delle autorizzazioni pericolose. Se non volete concederle, potete sempre rifiutare la richiesta. Ovviamente, se l’app ha davvero bisogno di quei permessi, vi mostrerà un messaggio d’errore e non funzionerà in maniera adeguata.
Potete anche controllare la lista delle autorizzazioni e cambiare quelle di qualsiasi app. Selezionate Impostazioni → Applicazioni (queste e le successive voci del menu potrebbero variare leggermente in base alla vostra versione di Android).
Adesso avete due opzioni. Innanzitutto, potete controllare tutte le autorizzazioni di una determinata app. Per farlo, cliccate sull’app e selezionate Autorizzazioni.
In secondo luogo, potete dare un’occhiata alla lista intera di app che hanno già chiesto o possono chiedere una delle autorizzazioni pericolose. Ad esempio, sarebbe una buona idea controllare quale app ha accesso alla vostra lista di contatti e vietare a quelle sospette di richiederle. Per fare questo, selezionate Configura app (l’icona dell’ingranaggio in alto a destra) e cliccate su Autorizzazioni app.
Diritti d’accesso speciali
Oltre alle autorizzazioni pericolose, un’app può richiedere anche diritti d’accesso speciali. Quando questo avviene, dovreste stare attenti: i Trojan spesso richiedono diritti del genere.
Accessibilità
Questa autorizzazione rende più accessibili le app e i dispositivi per le persone con problemi di vista o d’udito. I malware possono abusare di queste funzionalità.
Dopo aver ottenuto diritti di accesso del genere, i Trojan possono intercettare i dati dalle app (incluso l’input text – in questo caso, le password sono l’obiettivo principale). Inoltre, i malware possono acquistare app sul Google Play Store.
App di messaggistica predefinita
I Trojan bancari vogliono diventare le app di messaggistica predefinita; questo permette loro di leggere gli SMS e di nasconderli (anche nelle ultime versioni di Android). Ad esempio, i Trojan possono usare questa funzionalità per intercettare le password bancarie dai messaggi SMS e confermare le transazioni pericolose senza che l’utente lo sappia (ricordate che possono nascondere SMS).
Don’t trust the reviews and ratings on #GooglePlay https://t.co/3RHVVSkxOj #mobile #apps pic.twitter.com/z2pg7hqg2P
— Kaspersky (@kaspersky) September 1, 2016
Sempre in cima
L’autorizzazione di sovrapporre finestre di altre app permette ai Trojan di mostrare finestre di phishing sopra alle applicazioni legittime (per lo più app di servizi bancari o di social network). Le vittime pensano di inserire le proprie password nelle applicazioni vere, in realtà però lo stanno facendo nella finestra falsa visualizzata dal Trojan e i dati sensibili finiscono nelle mani dei criminali.
Privilegi di amministratore del dispositivo
Questi diritti permettono all’utente di cambiare la password, di bloccare la telecamera o di eliminare tutti i dati dal dispositivo. Le app pericolose provano spesso ad ottenere autorizzazioni del genere; le app con privilegi di amministratore sono difficili da disinstallare.
Permessi di root
Si tratta dei permessi più pericolosi. Android non concede mai questi diritti alle app per default, ma alcuni Trojan possono sfruttare le vulnerabilità del sistema per ottenerli. Dopo che questo avviene, tutte le altre difese sono inutili (il malware può utilizzare i permessi di root per fare tutto quello che vuole, non importa quali siano le autorizzazioni concesse o meno dalla vittima).
È importante evidenziare che anche il nuovo sistema di autorizzazioni (rilasciato nella versione di Android 6) non protegge completamente dai malware. Ad esempio, il Trojan Gugi riempie le vittime di bug con richieste di autorizzazioni per sovrapporre le finestre fino a quando l’utente non lo consente. Dopotutto, il malware si sovrappone a tutte le altre app fino a quando non ottiene l’autorizzazione che vuole.
Conclusioni
Non dovreste autorizzare le app a fare quello che vogliono sul vostro telefono (soprattutto se chiedono autorizzazioni pericolose senza alcun motivo).
Alcune app però hanno davvero bisogno di tanti diritti. Ad esempio, i programmi antivirus hanno bisogno di tante autorizzazioni per effettuare scansioni sul sistema e per proteggerlo in maniera attiva dalle minacce.
La conclusione è semplice: prima di concedere determinati diritti, pensate se l’app ne ha davvero bisogno. Se non ne siete certi, fate qualche ricerca su Internet.
400 Trojans on #Google #Play https://t.co/cNi1uBuZHo #mobile #malware pic.twitter.com/nDB5sYLCAE
— Kaspersky (@kaspersky) October 11, 2016
Infine c’è da dire che anche gli utenti più attenti non sono al sicuro dai malware che sfruttano le vulnerabilità del sistema. Ecco perché è importante gestire le autorizzazioni delle app in maniera corretta (questo vi aiuta a proteggere la vostra privacy dalle app che vi spiano) e installare una soluzione di sicurezza affidabile che proteggerà il vostro dispositivo da Trojan e virus ancora più pericolosi.
Aggiornato il 10 ottobre 2018: Google ha modificato su Android Oreo le impostazioni delle autorizzazioni alle app, aggiungendo il nuovo gruppo “Accesso speciale alle app”. Per maggiori informazioni, potete leggere il nostro post “Android 8 e autorizzazioni app: la guida completa“.