Tante app Android usano autorizzazioni pericolose: come scoprirlo

Al momento dell’installazione di un’app Android non vengono visualizzati i permessi richiesti per il suo funzionamento. È possibile conoscerli prima dell’installazione portandosi nella scheda dell’app sul Google Play Store quindi toccando la freccia accanto a Info sull’app e scorrendo le informazioni fino alla fine sui dispositivi mobili: si troverà l’indicazione Mostra altro accanto ad Autorizzazioni app.

La presenza in bella vista dell’indicazione Acquisti in-app significa che l’app Android può non essere del tutto gratuita e anzi offre la possibilità di acquistare servizi aggiuntivi.

L’indicazione Acquisti in-app informa semplicemente l’utente che l’applicazione potrebbe proporre l’effettuazione di acquisti o l’attivazione di abbonamenti digitali con addebiti periodici automatici.

L’importante è toccare il pulsante in alto a sinistra nell’app Play Store, scegliere Impostazioni quindi attivare ove possibile l’autenticazione biometrica per gli acquisti e richiedere sempre l’autenticazione per ogni eventuale richiesta di acquisto (voce Richiedi l’autenticazione per gli acquisti): si eviteranno spiacevoli situazioni come quelle descritte nell’articolo Fleeceware: quali sono le app Android e iOS che rubano soldi agli utenti.

Nella versione web del Play Store basta scorrere fino in fondo la scheda descrittiva dell’app Android quindi fare clic su Visualizza dettagli in corrispondenza di Autorizzazioni per scoprire le autorizzazioni che può richiedere l’applicazione.

Abbiamo scritto “può richiedere” perché a partire da Android 6.0 Marshmallow le app chiedono all’utente l’autorizzazione per usare un permesso nel momento in cui vi fosse la necessità di adoperarlo. È quindi bene porre la massima attenzione sulle autorizzazioni via a via concesse alle app rifiutando quelle “sospette” o che si ritengono “fuori luogo” per la tipologia di applicazione.

Le app Android chiedono sempre più spesso l’utilizzo di autorizzazioni pericolose: quali sono

Secondo un’indagine elaborata da Pixalate e riferita all’ultimo trimestre 2020 il 70% delle app Android pubblicate sul Play Store, quindi oltre 2,3 milioni di esse, utilizza autorizzazioni pericolose, indicate come tali anche da Google (vedere le etichette “dangerous” in corrispondenza di “Protection level“).

Come spiega Google nel descrivere il meccanismo delle autorizzazioni per le app su Android, ogni applicazione deve rendere manifesti i permessi che può richiedere nel rispettivo file Manifest.
Alcune autorizzazioni sono però considerate come potenzialmente pericolose.

A titolo esemplificativo, READ_EXTERNAL_STORAGE e WRITE_EXTERNAL_STORAGE consentono all’app Android di leggere e scrivere senza limitazioni sulla memoria esterna. In Android, però, “memoria esterna” non significa necessariamente la scheda SD: molte app memorizzano i loro dati in una sottocartella del percorso /storage/emulated/0/ (WhatsApp, ad esempio, usa la directory /storage/emulated/0/WhatsApp/Media/).

La stringa emulated fa appunto riferimento all’emulazione di un supporto di memoria esterno che in realtà non è affatto tale ma si appoggia allo storage interno dello smartphone.
L’utilizzo di permessi READ_EXTERNAL_STORAGE e WRITE_EXTERNAL_STORAGE sta quindi a significare che l’app Android che li richiede e li utilizza può leggere e modificare i dati di qualunque altra applicazione installata che usa una memoria esterna reale o la cartella emulated.

Altre autorizzazioni come CAMERA, CALL_PHONE, BODY_SENSORS, RECORD_AUDIO, READ_CALENDAR, READ_CALL_LOG, READ_CONTACTS, WRITE_CALENDAR, WRITE_CONTACTS, READ_PHONE_STATE, ANSWER_PHONE_CALLS, ACCESS_FINE_LOCATION, ACCESS_COARSE_LOCATION, ACCESS_BACKGROUND_LOCATION permettono di usare la fotocamera, avviare una chiamata telefonica senza usare il dialer predefinito, acquisire i dati dai sensori presenti nel dispositivo, registrare audio, leggere il contenuto dei calendari, dei file di log, della rubrica, scrivere nei calendari, nella rubrica, conoscere lo stato del telefono (oltre che della rete) compreso il numero dell’utenza mobile, rispondere alle chiamate e stabilire la posizione geografica del device con maggiore o minore approssimazione.

In questa pagina potete trovare una puntuale descrizione delle autorizzazioni Android più pericolose.

Lo stesso studio di Pixalate che abbiamo citato mette in evidenza come nell’ultimo scorcio del 2020 sia addirittura aumentato del 5% il numero delle app Android che richiedono l’uso di autorizzazioni potenzialmente pericolose.

Come difendersi dalle app Android che richiedono autorizzazioni pericolose

Prima di installare una qualunque app Android è sempre bene controllare le autorizzazioni che essa potrebbe richiedere facendo riferimento ai suggerimenti proposti nell’introduzione di questo articolo. È inoltre bene installare applicazioni sviluppate e aggiornate da produttori noti ed apprezzati evitando di installare app provenienti da fonti che potrebbero non essere completamente affidabili.
Anche le app pubblicate sul Play Store, quelle realizzate da sviluppatori sconosciuti e con scarsa fama, possono “cambiare pelle” e iniziare a tenere comportamenti pericolosi: Alcune app Android pubblicate sul Play Store scaricavano malware sui dispositivi.

È quindi essenziale non perdere il controllo sulle app installate nei propri dispositivi, rimuovere quelle che non servono e soprattutto riflettere bene prima di accordare una specifica autorizzazione.

Nella sezione App, Permessi delle impostazioni di Android è sempre bene controllare le applicazioni che si avviano automaticamente e dare una scorsa alle autorizzazioni che si sono accordate per le varie app presenti sul dispositivo.

Tenete presente che non è affatto obbligatorio accordare una o più autorizzazioni: se il permesso fosse strettamente essenziale per far funzionare un’applicazione tutt’al più essa si rifiuterà di avviarsi o di eseguire l’operazione descritta (o andrà in crash) ma si tuteleranno efficacemente i propri dati riservati.
Nell’immagine si vede come nello smartphone preso ad esempio non tutte le app possano usare tutte le autorizzazioni da esse stesse richieste ma soltanto una piccola parte di esse. Questo perché a seconda della natura della singola app abbiamo preferito accordare o meno singoli permessi.

Oggi si continua a parlare di corretta gestione dei cookie da parte degli editori e delle aziende impegnate nell’advertising online ma si parla ancora pochissimo delle attività che le singole app possono espletare sui dispositivi mobili degli utenti, sempre più ricchi di informazioni riservate e dati sensibili.

Un antimalware Android è utile nel momento in cui si fosse soliti installare un buon numero di app dal Play Store: Antivirus Android: no, non è affatto inutile.

Una funzionalità “bonus” di Malwarebytes è accessibile dal menu principale toccando la voce Audit privacy. Essa restituisce l’elenco completo delle autorizzazioni richieste dalle app installate sul dispositivo. Va detto, però, che la lista non rispecchia gli effettivi permessi concessi ma soltanto quelli rilevati a livello di file Manifest.

Sullo stesso piano poniamo Exodus, un servizio che permette di controllare tutti i permessi e gli elementi traccianti (tracker) utilizzati da qualunque app Android.

Da ultimo segnaliamo anche l’utilità Privacy Advisor Pro che sebbene mostri un po’ di pubblicità e contenga acquisti in-app permette, previa scansione del dispositivo, di incentrare l’attenzione sulle app che possono integrare un profilo di rischio più elevato sulla base delle specifiche autorizzazioni richieste.