Una delle più gravi mancanze di Android è l’assenza di un meccanismo, integrato nel sistema operativo, che permetta di gestire i permessi delle app installate e di negare l’utilizzo di risorse che poco hanno a che vedere con il funzionamento dell’applicazione.
Il caso di alcune “applicazioni torcia” per Android che, oltre a permettere agli utenti l’impiego del flash della fotocamera digitale, provvedono silenziosamente a razziare dati personali degli utenti è stato oggetto di un’indagine dell’antitrust statunitense (FTC, Federal Trade Commission) e, più di recente, di una denuncia presentata dalla software house Snoopwall che ha richiamato direttamente l’attenzione del governo USA.
Permessi app Android: un aspetto troppo spesso sottovalutato
È innegabile che uno dei punti deboli di Android risieda nella gestione dei permessi un po´ troppo “leggera”. Il sistema operativo di Google destinato ai dispositivi mobili, infatti, non offre un’impostazione (o almeno non in maniera evidente) che permetta di ridurre i permessi richiesti dalle varie applicazioni concedendo solo quelli di base.
A complicare la situazione, c’è poi la cattiva abitudine di molti utenti di dispositivi Android che consiste nell’accettare di buon grado i permessi richiesti dalle app in fase d’installazione senza minimamente verificarli.
Installando quella che all’apparenza può sembrare un’app Android legittima, si rischia di porgere su un piatto d’argento, a terzi e sconosciuti, informazioni sensibili e dati personali.
Emblematico il caso dell’applicazione chiamata Brightest Torcia Gratis (o Brightest Flashlight Free, in inglese), ancor’oggi disponibile su Google Play (vedere App Android sottrae dati degli utenti. Nessuna sanzione).
L’app Android non soltanto consente di fare quanto dichiarato nella descrizione (accendere display, flash, retroilluminazione, trasformando il telefono Android in una luminosissima torcia) ma, una volta installata, trasmette sui server degli sviluppatori e verso terzi informazioni sull’esatta posizione dell’utente e sul codice identificativo univoco legato al suo dispositivo mobile. L’applicazione Brightest Flashlight Free, infatti, tra i permessi Android richiesti mostrava (e mostra tutt’oggi) i seguenti: “posizione approssimativa (basata sulla rete); posizione precisa (GPS e basata sulla rete); accesso di rete completo; lettura stato e identità telefono”. Già la richiesta di questi permessi, per un’applicazione che funge da torcia, dovrebbe – come minimo – insospettire.
È il fondatore di Snoopwall, Gary Miliefsky, a mettere il dito nella piaga spiegando che gli utenti di Android spesso non si rendono conto di quanto sia pericoloso installare app che richiedono un ventaglio di permessi molto ampio.
Miliefsky cita app come Brightest Flashlight Free, Super-Bright LED Flashlight e Tiny Flashlight+LED spiegando che si tratta di prodotti contenenti funzionalità che vanno ben oltre la semplice accensione della luce led integrata nello smartphone.
In ogni caso, non sono solo le applicazioni-torcia ad utilizzare permessi più ampi che vanno ben oltre quelli effettivamente necessari: esistono decine di app appartenente ad altre categorie che si comportano esattamente nello stesso modo.
Quando si installa un’app Android, quindi, è sempre importante esaminare quali permessi vengono richiesti ed eventualmente evitarne il download se le autorizzazioni necessarie dovessero risultare troppo ampie.
Per verificare i permessi richiesti da un’applicazione prima di installarla, è sufficiente cliccare sul pulsante verde Installa di Google Play e soffermarsi a leggere l’elenco delle autorizzazioni previste:
Nella schermata seguente, pubblichiamo la lista dei permessi richiesti dall’applicazione-torcia per Android di Snoopwall (Privacy Flashlight).
Per funzionare, Privacy Flashlight – diversamente rispetto ad altre applicazioni della stessa categoria – richiede solo un’autorizzazione per funzionare ossia il permesso di utilizzare la fotocamera digitale:
Snoopwall ha così voluto evidenziare come si possa realizzare una semplice app torcia per Android senza richiedere particolari permessi.
La società ha elaborato anche un vero e proprio studio dal quale si evince come molte app che fungono da torcia necessitino di davvero troppi permessi.
Bloccare i permessi delle app Android con la funzionalità Op. app
Con il rilascio di Android 4.3, Google ha inserito nel sistema operativo una funzionalità di sistema chiamata Op. app che permette di bloccare i permessi delle app e che è accessibile dalle impostazioni del sistema operativo.
Considerata una caratteristica sperimentale, con il rilascio di “KitKat”, Google ha reso nettamente più difficoltoso l’accesso alla funzionalità Op. app pur continuando a migliorarla.
A partire dal rilascio di Android 4.4.2, Op. app è stata eliminata dalle impostazioni di Android anche se le principali “custom ROM” continuano a proporla di default (vedere Installare ROM Android e aggiornare all’ultima versione).
Applicazioni come Permission Manager aiutano a rendere nuovamente visibile la voce Op. app nel menù Impostazioni di Android.
Accedendo alla sezione Op. app del menù Impostazioni di Android, il sistema operativo suddivide in vari gruppi i permessi correntemente utilizzati dalle varie app installate.
Per ciascuna applicazione, servendosi degli interruttori ON/OFF, si potrà concedere o revocare l’utilizzo dei vari permessi indicati.
Per verificare i permessi utilizzati dalle app Android e controllare quali di esse siano potenzialmente pericolose, è possibile installare Snoopwall Privacy App.
Si tratta di un’app gratuita che effettua la scansione delle applicazioni presenti sul dispositivo Android indicando, per ciascuna di essa, quali possono rappresentare un problema.
Snoopwall dichiara di aver già avuto modo di analizzare oltre 90.000 applicazioni pubblicate su Google Play potendo stilare un elenco di quelle che rappresentano un rischio per l’utente e per i dati memorizzati sul dispositivo.
Per i più esperti: XPrivacy
Lo strumento più versatile ed efficace per gestire i permessi delle app Android e bloccare le autorizzazioni non strettamente necessarie per il corretto funzionamento delle varie app si chiama XPrivacy.
L’applicazione agisce a basso livello (per poterla utilizzare è indispensabile che il telefono sia stato sottoposto a rooting: Differenza jailbreak, root e sblocco sui dispositivi mobili) e consente di agire su qualunque tipo di permesso.
Nel momento in cui un’app dovesse richiedere, ad esempio, l’accesso alla rubrica o la posizione geografica dell’utente, XPrivacy non restituisce alcun dato oppure invia dati fasulli.
Ad esempio, bloccando il permesso che consente ad una certa applicazione di accedere alla lista dei contatti, XPrivacy invierà alla stessa app una rubrica vuota; nel caso di richiesta del posizionamento dell’utente (geolocalizzazione), l’app trasmetterà informazioni generate in maniera casuale.
L’installer di XPrivacy è prelevabile gratuitamente da questa scheda su Google Play ed è compatibile solo con Android 4.0.3 o versioni successive.
Avviando l’app XPrivacy Installer sul terminale Android, verrà presentata una procedura passo-passo che guiderà l’utente nella configurazione dell’app Xprivacy.
L’installer di XPrivacy effettuerà alcuni controlli e richiederà di svolgere una serie di passaggi:
– rooting del dispositivo (accordare i permessi root a XPrivacy; pulsante Check for root).
– l’utente dovrà dichiarare di aver effettuato un backup completo del contenuto del dispositivo, a mero titolo precauzionale
– attivare l’installazione di pacchetti Android da sorgenti sconosciute (sezione Sicurezza, voce Origini sconosciute delle impostazioni del sistema operativo)
– scaricare ed installare il pacchetto Xposed (pulsante Download/install Xposed). Per procedere, bisognerà cliccare sul file APK di Xposed.
– confermare il riavvio del dispositivo
– installare Xprivacy cliccando sul pulsante Installa/aggiorna
– cliccare su Reboot to finish installation per riavviare il dispositivo Android ed attivare XPrivacy
Dopo il successivo reboot del dispositivo, si potrà avviare l’applicazione XPrivacy ed iniziare eventualmente a ridurre i permessi utilizzabili dalle varie app installate.
Per impostazione predefinita, tutte le app Android installate dopo XPrivacy saranno automaticamente soggette a restrizioni.
La legenda, richiamabile in qualunque momento toccando l’icona in alto a destra (tre pallini incolonnati) quindi selezionando Aiuto, Legenda, raccoglie tutte le informazioni più importanti che consentono di capire come funziona la gestione dei permessi.
La prima casella di controllo consente di limitare una categoria od una specifica funzione mentre la seconda permette di bloccare determinati permessi non appena questi dovessero essere richiesti.
Maggiori informazioni sono disponibili sulla pagina ufficiale del progetto Xprivacy.