RCS, acronimo di “Rich Communication Services” è uno standard progettato per migliorare l’esperienza di messaggistica sui dispositivi mobili. A differenza degli SMS tradizionali, RCS offre funzionalità avanzate simili a quelle fornite dalle app di messaggistica istantanea, come WhatsApp, Telegram, Signal, Messenger e tutte le altre.
Come abbiamo visto nell’articolo su come funziona RCS, non si tratta di un'”invenzione” di Google ma di uno standard ufficialmente approvato già nel 2008 dalla GSM Association (GSMA) ma rimasto di fatto inutilizzato per anni. Oggi, anche se alcuni operatori di telecomunicazioni ancora non si sono allineati, sono molti i provider che hanno abbracciato RCS a livello di rete mobile.
Con l’obiettivo di estendere l’utilizzo di RCS, Google permette l’uso dello standard – ad esempio – attraverso la sua app Messaggi appoggiandosi alla connessione dati (rete dell’operatore mobile e WiFi) e ai suoi server. In questo modo, indipendentemente, dall’effettivo supporto a livello di rete mobile dello standard RCS, i rich messages possono fluire senza problemi tra mittente e destinatario.
In Google Messaggi, basta accedere alle impostazioni dell’app, scegliere la voce Chat RCS quindi abilitare l'”interruttore” Attiva le chat RCS per godere di tutti i vantaggi dello standard. Citiamo, ad esempio, la possibilità di inviare immagini, emoji, di ricevere le conferme di lettura, di ottenere gli indicatori di digitazione (si può sapere quando l’altro utente tra scrivendo…) e molto altro ancora.
I dispositivi sottoposti a rooting non sono intrinsecamente insicuri
Alcuni tra i più noti esperti sostengono con forza il concetto seguente: “se non puoi accedere al root del dispositivo, non lo possiedi veramente“. In altre parole, se un utente non può essere libero di verificare e gestire anche gli aspetti più reconditi e di più basso livello di un qualunque terminale, sarebbe sempre succube della volontà di soggetti terzi. Ad esempio del produttore dello smartphone, degli sviluppatori di applicazioni, di altre realtà che concorrono nella catena per la fornitura di un qualunque servizio.
La stragrande maggioranza delle applicazioni bancarie per i dispositivi mobili, ad esempio, verifica che il dispositivo non sia stato sottoposto a rooting. In caso affermativo, l’accesso all’app è automaticamente interdetto per questioni di sicurezza.
Qui potremmo aprire una discussione infinita sulle motivazioni di questa pratica e sul fatto che questi comportamenti siano più o meno ammissibili. Ci limiteremo ad osservare che la sicurezza di un’applicazione o di un servizio non possono e non devono dipendere dalla configurazione lato client. Semmai, in alcune circostanze, un dispositivo sottoposto a rooting che esegue software dannoso potrebbe essere un più facile bersaglio di un attacco. Ma chi esegue con successo il rooting del suo terminale Android, difficilmente è un utente alle prime armi. E in generale è ben consapevole del compromesso tra rischi e benefici che porta con sé un’azione di root sul dispositivo.
Google blocca RCS sui dispositivi sottoposti a root
Nelle scorse settimane, tanti utenti si sono lamentati del fatto che i messaggi RCS non funzionassero più sui “dispositivi rootati”. In altre parole, usando ad esempio Google Messaggi, le comunicazioni non sono non arrivavano a destinazione ma scomparivano improvvisamente senza mostrare alcuna notifica all’utente.
Per impostazione predefinita, quando il telefono non può o non riesce ad appoggiarsi a RCS, dovrebbe ripiegare automaticamente su SMS/MMS. Il comportamento di default, tuttavia, non si sarebbe attivato per tanti utenti, mettendoli in una situazione di difficoltà.
Google ha confermato che i tecnici dell’azienda sono al lavoro per bloccare RCS sui dispositivi sottoposti a rooting come parte degli sforzi per combattere lo spam. Secondo i portavoce dell’azienda di Mountain View, oggi “un grande volume di spam RCS proviene da dispositivi che funzionano come bot” e che generalmente sfruttano proprio operazioni di rooting precedentemente effettuate sul device stesso.
In molti hanno criticato la misura, ritenendola di fatto eccessiva. Google già offre un sistema per bloccare gli SMS/MMS spam, perché non applicarlo anche sui messaggi RCS invece di impedire completamente l’accesso alla funzionalità a tutti gli utenti che usano smartphone “rootati”?
L’API Google Play Integrity
Gli interventi di Google sembrano concentrarsi sull’API Play Integrity. Si tratta di uno strumento integrato a basso livello in Android che mira a garantire l’integrità e la sicurezza delle app e dei giochi su Google Play. L’API previene accessi non autorizzai a determinati servizi da parte di dispositivi modificati, come quelli con privilegi di root o con bootloader sbloccato.
Le API Play Integrity hanno come obiettivo quello di ridurre le frodi online ed eventuali abusi, come la creazione di bot o di altri strumenti automatizzati potenzialmente pericolosi per l’intero ecosistema Android.
L’introduzione dell’API ha sollevato preoccupazioni riguardo alla possibilità che possa essere utilizzata in modo discriminatorio, ad esempio bloccando l’accesso a determinati servizi e siti in base al browser utilizzato o alla presenza di software e configurazioni specifiche.
Ecco quindi che sono nati progetti come l’open source Play Integrity Fix. Disponibile su GitHub, consente di far superare il controllo di certificazione e rendere in questo caso nuovamente utilizzabili i dispositivi per l’invio e la ricezione di messaggi RCS.
Credit immagine in apertura: iStock.com – oatawa