App Android spiano l'utente usando il microfono dello smartphone

Scoperte decine di applicazioni Android che spiano le attività dell'utente attivando la registrazione dello stream audio dal microfono del dispositivo mobile.

Sembra essere la “nuova moda del momento”: decine di app Android pubblicate sul Play Store di Google vengono “arricchite” con un componente superfluo progettato per ascoltare e riconoscere, attraverso il microfono dello smartphone, spezzoni audio conosciuti.

Stando a quanto emerge da una recente ricerca sui software pubblicati nello store online di Google sabbero oltre 250 le applicazioni che integrano Alphonso ACR, una tecnologia sviluppata dall’omonima azienda indiana-statunitense che si occupa di acquisire il segnale audio proveniente dal microfono del device mobile.

Secondo Alphonso, la tecnologia ACR non registrerebbe la voce umana o i dialoghi privati ma sarebbe stata sviluppata per comprendere, per esempio, quali programmi televisivi l’utente è solito vedere.
Inoltre, i campioni audio raccolti da Alphonso ACR restano memorizzati sullo smartphone dell’utente e non vengono mai trasmessi né ai server dell’azienda né a terze parti. L’unica informazione che lascia il dispositivo Android dell’utente è l’hash di ciascuna registrazione, una sorta di impronta univoca.
L’approccio utilizzato è lo stesso impiegato da tempo da Shazam per il riconoscimento automatico dei brani musicali (Apple acquista Shazam per 400 milioni di dollari): tra l’altro, come confermato dallo stesso CEO dell’azienda, Alphonso ha in essere un accordo proprio con Shazam.

Nonostante le rassicurazioni di Alphonso, quanto emerso in queste ore ben dimostra ciò che è possibile fare con uno smartphone e come esso possa essere facilmente trasformato in un “dispositivo spia”. Anche perché le app Android che fanno uso di Alphonso ACR analizzano l’audio in ingresso anche a display spento.

Alphonso raccoglie informazioni attraverso il microfono per scopi pubblicitari: ACR permette di creare profilare l’utente accertando quali sono i suoi gusti e interessi.
Anche Facebook è stata ripetutamente accusata di registrare l’audio degli utenti a loro insaputa: fino ad oggi, però, non è stata raccolta alcuna prova.

Ancora una volta, attenzione ai singoli permessi richiesti dalle app Android

Come abbiamo più volte ricordato, troppo spesso le app Android usano più permessi di quanti sarebbero effettivamente necessari.
È quindi bene diffidare delle app Android che richiedono autorizzazioni troppo ampie e, soprattutto, permessi che non hanno nulla a che vedere con le funzionalità offerte dall’applicazione.

Fortunatamente, a partire da Android 6.0 Marshmallow, il sistema operativo richiede all’utente se concedere o meno l’autorizzazione a ciascuna app per l’utilizzo del singolo permesso. Il problema è che spesso gli utenti concedono tutte le autorizzazioni senza riflettere e che alcune app si rifiutano di funzionare se non si accordano permessi specifici (vale comunque la pena provare prima di disinstallare completamente l’applicazione).


Da parte nostra, con i terminali più recenti (da Android 6.0 in avanti), suggeriamo di accedere alle impostazioni del sistema operativo, toccare Autorizzazioni o Permessi quindi scegliere Microfono.

Qui si potranno verificare le app che hanno richiesto l’utilizzo del microfono ed eventualmente revocare l’autorizzazione a quelle che non dovrebbero acquisire l’audio in ingresso.


Oltre ai permessi relativi all’utilizzo del microfono, suggeriamo di controllare le seguenti autorizzazioni:

Fotocamera
SMS
Telefono
Posizione
Contatti

Nel corso degli ultimi mesi, come abbiamo spiegato nell’articolo App Android pericolose per la sicurezza e la privacy, si sono susseguiti diversi casi di applicazioni che facevano razzìa della rubrica dei contatti di ciascun utente, una volte installata sul dispositivo mobile (alcuni esempi recenti: Antivirus per Android, nella bufera i prodotti DU: ecco perché e Sarahah ha sottratto la lista dei contatti sui dispositivi mobili).

Moxie Marlinspike, noto e apprezzato crittografo, autore dell’app Signal e dell’algoritmo utilizzato da WhatsApp per cifrare i messaggi scambiati attraverso il software di messaggistica, ha proposto un meccanismo che permetterà di certificare l’utilizzo fatto da ciascuna applicazione della lista dei contatti: Che uso fanno le app della lista dei contatti? Signal offrirà certezze: ecco come.

Nel frattempo, antenne sempre ben dritte.

Ti consigliamo anche

Link copiato negli appunti