Hanno destato molto scalpore alcuni servizi televisivi che in questi giorni hanno acceso un faro sulle presunte pratiche scorrette utilizzate da molte app che si installano sui propri dispositivi. Stando alle ipotesi che sono state formulate, alcune applicazioni utilizzerebbero il permesso accordato dagli utenti per l’utilizzo del microfono al fine di raccogliere i dialoghi, trasformarli in testo, estrarre parole chiave rilevanti dal punto di vista commerciale e dipingere un profilo accurato di ciascuna persona.
L’abbiamo detto più volte: quando si installano applicazioni è fondamentale verificare attentamente quali permessi vengono richiesti.
Le versioni più recenti di Android chiedono di autorizzare l’utilizzo di uno specifico permesso quando l’app chiede di utilizzarlo. È inoltre possibile decidere se concedere sempre e comunque il permesso, se accordarlo soltanto quando l’app è in esecuzione (quindi effettivamente in uso), se chiedere sempre all’utente e se rifiutare il permesso.
In un altro articolo abbiamo visto che tante app Android usano permessi pericolosi specificando quali sono quelli più delicati e fornendo gli strumenti per approfondire la questione.
Nel caso del microfono, purtroppo, Android ancora non informa l’utente quando è utilizzato da qualche applicazione installata sul telefono. Una notifica che allerta l’utente sull’utilizzo di microfono e fotocamera arriverà con Android 12, sistema operativo attualmente in versione beta.
Si tratta di una novità che metterà il sistema operativo di Google sullo stesso piano di Apple iOS che già dalla versione 14 prevede una notifica simile.
Controllare quali app Android usano il microfono e revocare i permessi superflui
Per verificare quali applicazioni Android, tra quelle installate, possono accedere al microfono, è sufficiente portarsi nelle impostazioni del sistema operativo, selezionare App, Permessi quindi selezionare Microfono.
Si otterrà così la lista delle app Android che hanno sempre titolo per usare il microfono, quelle che possono accedervi solo quando in esecuzione, quelle che devono chiedere ogni volta prima di usare il microfono e quelle a cui si è negato ogni suo utilizzo.
Toccando sul nome di un’app si può selezionare, a seconda che l’applicazione serva davvero, quando l’utilizzo del microfono può essere eventualmente permesso.
Il fatto è che una verifica sui permessi via via concessi non andrebbe fatta soltanto su una singola autorizzazione come quella relativa all’uso del microfono ma su tutti gli altri permessi che in qualche modo possono consentire un accesso diretto o indiretto ai dati personali dell’utente.
Il legislatore europeo ha concentrato l’attenzione sui cookie imponendo una serie di adempimenti sui gestori dei siti web ma il vaso di Pandora delle app per i dispositivi mobili non è stato ancora aperto o comunque ci si è dato giusto una fugace sbirciatina. Non lo diciamo da mesi, lo diciamo da anni.
Basti pensare che permessi Android come READ_EXTERNAL_STORAGE e WRITE_EXTERNAL_STORAGE consentono all’app, rispettivamente, di leggere e scrivere senza limitazioni sulla memoria esterna che non significa necessariamente la scheda SD.
Tantissime app, WhatsApp è una di queste, sono solite salvare tutti i loro dati in una sottocartella del percorso /storage/emulated/0/
: la stringa emulated
suggerisce che il contenuto della cartella è considerato come memoria esterna anche se in realtà non lo è.
In uno smartphone non sottoposto a root non c’è modo di decodificare facilmente i messaggi WhatsApp da parte di app di terze parti. Sì, questo è vero ma nella cartella locale ci sono comunque le copie in chiaro delle immagini e dei documenti scambiati attraverso l’app di messaggistica. E WhatsApp è solo un esempio: la cartella emulated
è una vera e propria miniera d’oro.
Guardare solo al microfono è quindi un po’ come quando il saggio indica la luna e lo stolto guarda il dito.
Il problema dei permessi va visto nel suo complesso disinstallando le app che non servono mai, evitando di tenere in esecuzione in background quelle che non si stanno utilizzando ma soprattutto evitando di concedere autorizzazioni che non dovrebbero essere accordate.
In un altro articolo abbiamo presentato alcuni suggerimenti per migliorare la sicurezza di Android.
Nella casella di Exodus è possibile incollare l’indirizzo di un’app pubblicata sul Play Store di Google o il suo nome: si scopriranno immediatamente tutti i permessi che richiede (con un punto esclamativo vengono indicati quelli pericolosi) e gli eventuali componenti traccianti (tracker) che integra. Insomma, massima attenzione alle app che si installano, all’identità degli sviluppatori e ai permessi che si accordano.