103803 Letture

Come bloccare i permessi delle app Android

Una delle più gravi mancanze di Android è l'assenza di un meccanismo, integrato nel sistema operativo, che permetta di gestire i permessi delle app installate e di negare l'utilizzo di risorse che poco hanno a che vedere con il funzionamento dell'applicazione.

Il caso di alcune “applicazioni torcia” per Android che, oltre a permettere agli utenti l'impiego del flash della fotocamera digitale, provvedono silenziosamente a razziare dati personali degli utenti è stato oggetto di un'indagine dell'antitrust statunitense (FTC, Federal Trade Commission) e, più di recente, di una denuncia presentata dalla software house Snoopwall che ha richiamato direttamente l'attenzione del governo USA.

Permessi app Android: un aspetto troppo spesso sottovalutato

È innegabile che uno dei punti deboli di Android risieda nella gestione dei permessi un po´ troppo "leggera". Il sistema operativo di Google destinato ai dispositivi mobili, infatti, non offre un'impostazione (o almeno non in maniera evidente) che permetta di ridurre i permessi richiesti dalle varie applicazioni concedendo solo quelli di base.
A complicare la situazione, c'è poi la cattiva abitudine di molti utenti di dispositivi Android che consiste nell'accettare di buon grado i permessi richiesti dalle app in fase d'installazione senza minimamente verificarli.
Installando quella che all'apparenza può sembrare un'app Android legittima, si rischia di porgere su un piatto d'argento, a terzi e sconosciuti, informazioni sensibili e dati personali.


Emblematico il caso dell'applicazione chiamata Brightest Torcia Gratis (o Brightest Flashlight Free, in inglese), ancor'oggi disponibile su Google Play (vedere App Android sottrae dati degli utenti. Nessuna sanzione).
L'app Android non soltanto consente di fare quanto dichiarato nella descrizione (accendere display, flash, retroilluminazione, trasformando il telefono Android in una luminosissima torcia) ma, una volta installata, trasmette sui server degli sviluppatori e verso terzi informazioni sull'esatta posizione dell'utente e sul codice identificativo univoco legato al suo dispositivo mobile. L'applicazione Brightest Flashlight Free, infatti, tra i permessi Android richiesti mostrava (e mostra tutt'oggi) i seguenti: "posizione approssimativa (basata sulla rete); posizione precisa (GPS e basata sulla rete); accesso di rete completo; lettura stato e identità telefono". Già la richiesta di questi permessi, per un'applicazione che funge da torcia, dovrebbe - come minimo – insospettire.

È il fondatore di Snoopwall, Gary Miliefsky, a mettere il dito nella piaga spiegando che gli utenti di Android spesso non si rendono conto di quanto sia pericoloso installare app che richiedono un ventaglio di permessi molto ampio.
Miliefsky cita app come Brightest Flashlight Free, Super-Bright LED Flashlight e Tiny Flashlight+LED spiegando che si tratta di prodotti contenenti funzionalità che vanno ben oltre la semplice accensione della luce led integrata nello smartphone.
In ogni caso, non sono solo le applicazioni-torcia ad utilizzare permessi più ampi che vanno ben oltre quelli effettivamente necessari: esistono decine di app appartenente ad altre categorie che si comportano esattamente nello stesso modo.

Quando si installa un'app Android, quindi, è sempre importante esaminare quali permessi vengono richiesti ed eventualmente evitarne il download se le autorizzazioni necessarie dovessero risultare troppo ampie.

Per verificare i permessi richiesti da un'applicazione prima di installarla, è sufficiente cliccare sul pulsante verde Installa di Google Play e soffermarsi a leggere l'elenco delle autorizzazioni previste:

Come bloccare i permessi delle app Android

Nella schermata seguente, pubblichiamo la lista dei permessi richiesti dall'applicazione-torcia per Android di Snoopwall (Privacy Flashlight).
Per funzionare, Privacy Flashlight - diversamente rispetto ad altre applicazioni della stessa categoria - richiede solo un'autorizzazione per funzionare ossia il permesso di utilizzare la fotocamera digitale:

Come bloccare i permessi delle app Android

Snoopwall ha così voluto evidenziare come si possa realizzare una semplice app torcia per Android senza richiedere particolari permessi.
La società ha elaborato anche un vero e proprio studio dal quale si evince come molte app che fungono da torcia necessitino di davvero troppi permessi.

Bloccare i permessi delle app Android con la funzionalità Op. app

Con il rilascio di Android 4.3, Google ha inserito nel sistema operativo una funzionalità di sistema chiamata Op. app che permette di bloccare i permessi delle app e che è accessibile dalle impostazioni del sistema operativo.
Considerata una caratteristica sperimentale, con il rilascio di “KitKat”, Google ha reso nettamente più difficoltoso l'accesso alla funzionalità Op. app pur continuando a migliorarla.
A partire dal rilascio di Android 4.4.2, Op. app è stata eliminata dalle impostazioni di Android anche se le principali “custom ROM” continuano a proporla di default (vedere Installare ROM Android e aggiornare all'ultima versione).
Applicazioni come Permission Manager aiutano a rendere nuovamente visibile la voce Op. app nel menù Impostazioni di Android.

Accedendo alla sezione Op. app del menù Impostazioni di Android, il sistema operativo suddivide in vari gruppi i permessi correntemente utilizzati dalle varie app installate.

Come bloccare i permessi delle app Android

Per ciascuna applicazione, servendosi degli interruttori ON/OFF, si potrà concedere o revocare l'utilizzo dei vari permessi indicati.

Come bloccare i permessi delle app Android

Per verificare i permessi utilizzati dalle app Android e controllare quali di esse siano potenzialmente pericolose, è possibile installare Snoopwall Privacy App.
Si tratta di un'app gratuita che effettua la scansione delle applicazioni presenti sul dispositivo Android indicando, per ciascuna di essa, quali possono rappresentare un problema.
Snoopwall dichiara di aver già avuto modo di analizzare oltre 90.000 applicazioni pubblicate su Google Play potendo stilare un elenco di quelle che rappresentano un rischio per l'utente e per i dati memorizzati sul dispositivo.

Come bloccare i permessi delle app Android

Per i più esperti: XPrivacy

Lo strumento più versatile ed efficace per gestire i permessi delle app Android e bloccare le autorizzazioni non strettamente necessarie per il corretto funzionamento delle varie app si chiama XPrivacy.


L'applicazione agisce a basso livello (per poterla utilizzare è indispensabile che il telefono sia stato sottoposto a rooting: Differenza jailbreak, root e sblocco sui dispositivi mobili) e consente di agire su qualunque tipo di permesso.
Nel momento in cui un'app dovesse richiedere, ad esempio, l'accesso alla rubrica o la posizione geografica dell'utente, XPrivacy non restituisce alcun dato oppure invia dati fasulli.
Ad esempio, bloccando il permesso che consente ad una certa applicazione di accedere alla lista dei contatti, XPrivacy invierà alla stessa app una rubrica vuota; nel caso di richiesta del posizionamento dell'utente (geolocalizzazione), l'app trasmetterà informazioni generate in maniera casuale.

L'installer di XPrivacy è prelevabile gratuitamente da questa scheda su Google Play ed è compatibile solo con Android 4.0.3 o versioni successive.

Avviando l'app XPrivacy Installer sul terminale Android, verrà presentata una procedura passo-passo che guiderà l'utente nella configurazione dell'app Xprivacy.

Come bloccare i permessi delle app Android

L'installer di XPrivacy effettuerà alcuni controlli e richiederà di svolgere una serie di passaggi:
- rooting del dispositivo (accordare i permessi root a XPrivacy; pulsante Check for root).

Come bloccare i permessi delle app Android

- l'utente dovrà dichiarare di aver effettuato un backup completo del contenuto del dispositivo, a mero titolo precauzionale
- attivare l'installazione di pacchetti Android da sorgenti sconosciute (sezione Sicurezza, voce Origini sconosciute delle impostazioni del sistema operativo)
- scaricare ed installare il pacchetto Xposed (pulsante Download/install Xposed). Per procedere, bisognerà cliccare sul file APK di Xposed.

Come bloccare i permessi delle app Android

- confermare il riavvio del dispositivo
- installare Xprivacy cliccando sul pulsante Installa/aggiorna

Come bloccare i permessi delle app Android

- cliccare su Reboot to finish installation per riavviare il dispositivo Android ed attivare XPrivacy

Come bloccare i permessi delle app Android

Dopo il successivo reboot del dispositivo, si potrà avviare l'applicazione XPrivacy ed iniziare eventualmente a ridurre i permessi utilizzabili dalle varie app installate.

Come bloccare i permessi delle app Android

Per impostazione predefinita, tutte le app Android installate dopo XPrivacy saranno automaticamente soggette a restrizioni.


La legenda, richiamabile in qualunque momento toccando l'icona in alto a destra (tre pallini incolonnati) quindi selezionando Aiuto, Legenda, raccoglie tutte le informazioni più importanti che consentono di capire come funziona la gestione dei permessi.

Come bloccare i permessi delle app Android

La prima casella di controllo consente di limitare una categoria od una specifica funzione mentre la seconda permette di bloccare determinati permessi non appena questi dovessero essere richiesti.

Come bloccare i permessi delle app Android

Maggiori informazioni sono disponibili sulla pagina ufficiale del progetto Xprivacy.


  1. Avatar
    Simo078°
    20/05/2016 02:14:30
    Ottimo argomento, la privacy è davvero importante, io lo uso ormai da qualche annetto Android e quando vedo troppi permessi mi blocco subito specie se si tratta di sms, contatti, identita... sicuramente c'è qualcosa da rivedere sulla sicurezza e nn prendere queste cose troppo alla leggera.. :roll:
  2. Avatar
    oppo
    14/02/2015 01:37:40
    Ciao a tutti. Interessantissima discussione. Se a qualcuno puó intetessare, uso da qualche anno "advanced permission manager". Mi sono sempre trovato abbastanza bene .Unico problema é che ultimamente, alcune apps che tempo fa installavo con i permessi che preferivo, ora iniziano a fallire all'installazione oppure installano per poi presentare alcune anomalie a volte gravi a volte meno, durante l'esecuzione. :roll: Probabilmente alcuni sviluppatori si danno da fare per mantenere vivo ogni permesso desiderato.
  3. Avatar
    Sampei Nihira
    01/02/2015 09:44:07
    Benchè gli utenti come me che hanno ver Android tipo la GB siano rari come le mosche bianche informo che oltre alla possibilità in questa ver Android di disporre del modulo Xposed sia presente al download anche l'app Xprivacy che per giunta lo sviluppatore ha recentemente aggiornato. Visto che al momento non uso tale app non ho la più pallida idea se le funzioni siano le medesime di quella disponibile nello store. P.S. Mi correggo la descrizione riporta correttamente ver ed aggiornamento ma il sw non è stato caricato quindi al momento non è possibile il download..... :gratgrat:
  4. Avatar
    paolodv
    30/12/2014 13:40:43
    Sono un neofita android avendo ricevuto a Natale un samsung s4 9515 ma ho subito capito che potrebbe esserci un problema serio di privacy riguardo i permessi delle applicazioni. Ho provato ad installare Permission Manager ma dopo aver funzionato per qualche ora adesso rimane in caricamento per un tempo indefinito e non compare più l'elenco delle app. Ho provato anche app ops ma essendo il mio telefono nuovissimo non mi fido ad entrare nella root per cui non funziona. In alternativa ho provato apk permssion remover ma mi sono spaventato quando per farmi reinstallare una app dalla quale avevo disabilitato alcuni permessi mi ha chiesto di modificare le impostazioni di sicurezza del market. Qualcuno ha avuto il mio stesso problema? C'è qualche soluzione? Grazie a tutti
  5. Avatar
    vince
    30/10/2014 09:10:12
    Non è da molto che ho acquistato un Galaxy Tab S 10.5, e da subito scaricando un paio di app. mi sono imbattuto nella richiesta di ficcare il naso nelle cose mie. Mizzica mica è una cosa da poco, se vuoi scaricare mi devi autorizzare... posso capire questa richiesta a fronte di una App regalata, ok te la regalo se la vuoi mi fai "guardare" può anche funzionare è poi una tua scelta. Ma se questa app te la pago, la cosa è totalmente diversa, il rapporto tra venditore ed acquirente si ferma al pagamento, tu non ficchi il naso nelle cose mie. Facendo una piccola indagine in giro, sembra che la cosa non freghi a nessuno, anzi sembra che sia meglio cosi, il senso è... che c'è di strano in fondo ti chiedono di ficcare il naso nelle tue cose ma poi non lo fanno, qualcun altro... non me ne frega un tubo, e comunque meglio che te lo dicano piuttosto che farlo senza dirtelo... belin sono basito. A me sembra il segreto di pulcinella... perché chiedi i miei dati se poi non ti servono, ma che c'ho scritto giocondo? Insomma, nessuno mi ha mai parlato di questa storia, se l'avessi saputa prima col cavolo che avrei acquistato un tablet Android. Ora la situazione è questa, il Tablet "425€" è in un cassetto, non ce li voglio proprio dare i miei dati ok! Anche se non ho ancora capito molto, sembra che questa discussione verta sulla possibilità di bloccare queste richieste, domanda: questi blocca ficcanaso sono validi anche per il Tablet citato che si porta un Android 4.2? credo. Grazie.
  6. Avatar
    Vincenzo68k
    29/10/2014 17:12:22
    Splendido articolo. Sarà di certo una banale, singolare, coincidenza, ma l'applicazione consigliata per far riapparire op app, non funziona, si blocca, sempre, e non riesco ad utilizzarla. Ho un Ascend P7 con Kitkat.
Come bloccare i permessi delle app Android - IlSoftware.it