Sicurezza Android, come proteggere il proprio dispositivo ed i dati in esso conservati

Migliorare la sicurezza di Android significa proteggere i dati memorizzati nel proprio dispositivo mobile da attacchi esterni o comunque dall’azione di eventuali malintenzionati.
Implementare misure di sicurezza essenziali su Android è un aspetto sul quale gli sviluppatori di Google hanno voluto puntare con il rilascio delle più recenti versioni del sistema operativo.

Paradossalmente, però, mentre sul versante PC c’è una maggiore consapevolezza del problema della sicurezza lo stesso aspetto viene spesso sottovalutato quando si parla di dispositivi mobili.
Tanti utenti non si pongono alcuna remora nello scaricare e installare app di ogni genere sui propri dispositivi mobili. Eppure, prima di installare una nuova app in Android bisognerebbe riflettere bene sulla sua identità, sulla sua effettiva necessità, sui permessi da essa utilizzati.

Rispetto “alla concorrenza” (leggasi Apple iOS) Android osserva un approccio più “easy” nella gestione delle applicazioni: ne abbiamo in un altro articolo quando ci siamo chiesti qual è il sistema operativo più sicuro per dispositivi mobili.

Sicurezza Android: i passaggi per non correre rischi

Per migliorare la sicurezza di Android è possibile seguire alcuni passaggi che aiutano a mettersi al riparo dalla maggior parte dei rischi.

1) Installare le app Android solo dagli store ufficiali come Google Play Store e Amazon Store

Diversamente rispetto ad Apple, Google non controlla quali applicazioni possono essere installate sui dispositivi mobili a cuore Android. Chiunque, previa attivazione dell’opzione Origini sconosciute nelle impostazioni di sicurezza del sistema operativo può quindi installare applicazioni prelevate da sorgente alternative rispetto a Google Play.
A parte poche eccezioni il Play Store e l’app store di Amazon rimangono le sorgenti più affidabili per il download e l’installazione delle applicazioni Android.

Se sui device di Apple le applicazioni (fatta eccezione per quelle scaricate dai negozi alternativi nel caso dei dispositivi sottoposti a jailbreak) sono tutte verificate, una per una, dai tecnici della Mela, Google ha scelto per un meccanismo di scansione delle nuove app (Bouncer) che funziona in maniera sostanzialmente automatica. Può quindi capitare che alcune app sfuggano a tutti i controlli operati dal Bouncer di Google: ne abbiamo registrato molteplici esempi in passato.

Come regola generale, a meno di non essere assolutamente certi del contenuto di un pacchetto APK, le app Android dovrebbero essere installate solo da Google Play o da Amazon Store che peraltro offre alcune promozioni interessanti sulle app a pagamento.

2) Controllare attentamente i permessi richiesti dalle app Android

Sebbene Google Play Store si configuri come la fonte più affidabile per scaricare e installare app Android legittime, alcune applicazioni richiedono davvero troppi permessi per funzionare.

Ogni volta che si installa una nuova app, Android indica chiaramente quali sono i permessi da essa richiesta. Sarebbe quindi sempre da chiedersi perché una semplice app che trasforma lo smartphone Android in una torcia oppure un videogioco dovrebbero accedere all’identificativo IMEI del telefono o alla rubrica dei contatti.
Perché un’app che aiuta a migliorare la qualità delle foto digitali dovrebbe necessitare, per il suo funzionamento, del permesso per l’invio di SMS?

Fortunatamente le versioni di Android più recenti integrano una gestione più semplice ed immediata dei permessi richiesti da ogni singola app Android.
A partire ormai dal vecchio Android 6.0 Marshmallow è possibile revocare singoli permessi alle varie app obbligando le stesse a utilizzare solo i privilegi che si vogliono accordare, indipendentemente dalle richieste degli sviluppatori.
L’unico permesso che non si può rimuovere, purtroppo, è l’autorizzazione all’invio e alla ricezione di dati in rete. Questa possibilità sarebbe stata molto utile per bloccare qualunque trasferimento di dati da e verso l’esterno da parte di quelle applicazioni che invece dovrebbero limitare le loro attività all’ambito locale. Lo si può fare con un firewall per Android come NetGuard.

Usando strumenti gratuiti come Exodus e Malwarebytes è possibile verificare quali permessi sfruttano le applicazioni installate sul dispositivo Android e stabilire se qualcuna di esse richieda privilegi che non gli dovrebbero competere oppure effettua trattamenti di dati troppo invasivi. In un altro articolo abbiamo visto quali sono i permessi Android più pericolosi e quali app li utilizzano spiegando proprio come usare Exodus e Malwarebytes.

Con Android 12 arriverà la nuova privacy dashboard, un ulteriore passo avanti per gestire i permessi utilizzati dalle app installate.

3) Usare server DNS alternativi

Di default tutti i dispositivi mobili Android utilizzano i server DNS di Google per risolvere i nomi a dominio. Alcuni server DNS di terze parti messi a disposizione da aziende specializzate nelle soluzioni per la sicurezza e la protezione dei dati effettuano un’azione di filtraggio bloccando la visita a siti web contenenti potenziali minacce per la sicurezza.

Cambiare DNS in Android è molto semplice per quanto riguarda gli indirizzi dei server usati per risolvere i nomi a dominio durante la connessione a una rete WiFi mentre molto più complicato è variare i DNS nel caso in cui si adoperi la connessione dati dell’operatore telefonico.

4) Installare gli aggiornamenti e aggiornare all’ultima versione di Android

Quando si acquista un nuovo dispositivo Android una delle discriminanti tra un prodotto e l’altro si rivela sempre più la politica seguita dal produttore nella distribuzione degli aggiornamenti.

In generale si dovrebbero evitare i dispositivi di quei produttori che rilasciano aggiornamenti con abbondante ritardo o, peggio, non li rilasciano affatto.

Consultando i dati relativi alla diffusione delle varie versioni di Android è immediato rendersi conto che piattaforme molto vecchie sono ancora popolarissime nonostante l’uscita di numerosi successivi aggiornamenti. Dispositivi Android Nougat e Oreo (per non parlare delle versioni precedenti) sono device che verosimilmente non riceveranno più alcun aggiornamento ufficiale.

Suggeriamo di controllare sempre quanto indicato nella sezione Info sul telefono o Info sul tablet nelle impostazioni di Android alla voce Livello patch di sicurezza Android.
Se la data riportata non fosse recente e non si ricevessero mai degli aggiornamenti, soprattutto nel caso in cui si utilizzasse una vecchia versione di Android, il nostro consiglio è quello di valutare l’installazione di una ROM di terze parti conosciuta e affidabile.
Utilizzare un dispositivo Android vecchio, sprovvisto degli aggiornamenti di sicurezza più critici è pericoloso e se non si fosse orientati ad acquistare un nuovo dispositivo si può provare ad aggiornare Android anche quando sembra impossibile.

Google da parte sua sta progressivamente obbligando i produttori di dispositivi Android a impegnarsi per il rilascio di aggiornamenti su base pluriennale, sta lavorando per separare le patch critiche dai normali aggiornamenti rilasciati dai singoli produttori (in modo da gestirne la distribuzione attraverso i Play Services) e ha recentemente stretto un accordo con Qualcomm per garantire la distribuzione di aggiornamenti per almeno quattro anni su tutti i dispositivi basati sui SoC dell’azienda di San Diego, California.

5) Attivare Google Play Protect

Il sistema di scansione delle app installate sul dispositivo che risulta integrato in Android si chiama Google Play Protect: esso esamina in tempo reale qualunque pacchetto Android ed è quindi in grado di rilevare e bloccare eventuali comportamenti pericolosi.

Per attivare Play Protect è sufficiente accedere alle impostazioni di Android, toccare Google, Sicurezza quindi scegliere la voce Google Play Protect.
Se non si trovasse l’applicazione, si può digitare Play Protect nella casella di ricerca delle impostazioni di Android.
Toccando l’icona raffigurante un piccolo ingranaggio assicurarsi di attivare almeno l’opzione Analizza le app con Play Protect.

Peccato però che nonostante le collaborazioni avviate con importanti aziende del settore della sicurezza Play Protect non offra una protezione adeguata su Android.

Ecco perché un antivirus su Android non è affatto inutile, soprattutto se si fosse soliti installare e usare molte app. Si può usare il già citato Malwarebytes oppure ad esempio servirsi di Sophos Intercept X.

6) Effettuare la scansione antivirus del pacchetto d’installazione di una app

Nel caso in cui si nutrissero dei dubbi sull’identità di un pacchetto APK, c’è sempre la possibilità di sottoporlo a una scansione antimalware su VirusTotal.
Così facendo si potrà controllare il contenuto del file APK, contemporaneamente, con i motori di scansione di decine di prodotti antimalware differenti.

7) Bloccare l’accesso al dispositivo Android e verificare che il contenuto della memoria sia crittografato

Facendo riferimento alle impostazioni di sicurezza di Android è fondamentale scegliere un PIN complesso o una sequenza grafica difficile da riprodurre per un terzo interessato ad accedere al contenuto del dispositivo. Meglio ancora, però, si dovrebbe sempre attivare l’accesso ad Android mediante riconoscimento dell’impronta digitale o rilevamento facciale.

Accedendo alla sezione Crittografia e credenziali, inoltre, è fondamentale assicurarsi che il contenuto della memoria del dispositivo Android sia crittografato: in questo modo un soggetto terzo non potrà effettuare il recupero dei dati conservati nel device.

8) Usare l’autenticazione a due fattori

Il dispositivo mobile Android può essere usato come strumento di autenticazione a due fattori per l’accesso a una vasta schiera di servizi online. Dal momento che sullo stesso dispositivo in molti conservano anche le credenziali di accesso (nomi utente e password) per l’autenticazione, il blocco dell’accesso al dispositivo – come visto al punto precedente – dovrebbe essere impostato in maniera che non possa essere facilmente superato da eventuali aggressori.

App come Google Authenticator, Microsoft Authenticator, Sophos Authenticator e similari che permettono di generare i codici OTP da inserire al momento del login sui vari servizi protetti con l’autenticazione a due fattori dovrebbero essere difese con la richiesta di una password addizionale o con app come AppLock.

In un altro articolo abbiamo visto come proteggere gli account di posta elettronica che sono contenitori per eccellenza di dati sensibili e informazioni riservate.

9) Configurare correttamente Trova il mio telefono

Dopo aver configurato un dispositivo Android per l’utilizzo di almeno un account utente Google bisognerà verificare di poter accedere allo stesso account da più dispositivi, ad esempio PC desktop e notebook, accertandosi che il login sia possibile anche con l’autenticazione a due fattori attiva nel caso in cui si perdesse il telefono usato per confermare l’accesso.
Uno o più PC dovrebbero essere configurati come “fidati” e si dovrebbero sempre attivare anche modalità di accesso alternative all’autenticazione a due fattori in modo da non restare mai chiusi fuori dal proprio account Google soprattutto in situazioni di emergenza.
Ne parliamo nell’articolo incentrato sull’accesso all’account Google da più dispositivi.

A questo punto si deve verificare di poter accedere alla funzione Trova il mio telefono così da avere la possibilità di recuperare uno smartphone smarrito o cancellarne definitivamente il contenuto se si avesse la certezza di non potervi più rimettere le mani.