9552 Letture

Sicurezza Android, come proteggere il proprio dispositivo ed i dati in esso conservati

Migliorare la sicurezza di Android significa proteggere i dati memorizzati nel proprio dispositivo mobile da attacchi esterni o comunque dall'azione di eventuali malintenzionati. E la sicurezza di Android è un aspetto sul quale gli sviluppatori di Google hanno voluto puntare con il rilascio dell'ultima versione del sistema operativo: Android 6.0 "Marshmallow".

L'aspetto della sicurezza di Android viene spesso sottovalutato dagli utenti che sono ormai abituati ad installare decine e decine di app di ogni genere sui propri dispositivi mobili. Eppure, prima di installare una nuova app in Android bisognerebbe riflettere sulla sua identità, sulla sua effettiva necessità, sui permessi da essa utilizzati.

Rispetto "alla concorrenza", Apple iOS in testa, Google ed Android osservano un approccio più "easy" nella gestione delle applicazioni.

Sicurezza Android: i passaggi per non correre rischi

Per migliorare la sicurezza di Android è possibile seguire alcuni passaggi che aiutano a mettersi al riparo dalla maggior parte dei rischi.


1) Installare le app Android solo dagli store ufficiali come Google Play ed Amazon Store

Diversamente rispetto ad Apple, Google non controlla quali applicazioni possono essere installate sui dispositivi mobili a cuore Android. Chiunque, previa attivazione della casella Origini sconosciute nelle impostazioni di sicurezza del sistema operativo, può quindi installare applicazioni prelevate da sorgente alternative rispetto a Google Play.

Nonostante alcune eccezioni, Google Play e l'app store di Amazon rimangono le sorgenti più affidabili per il download e l'installazione delle applicazioni Android.
Se sui device di Apple le applicazioni (fatta eccezione per quelle scaricate da Cydia o da altri negozi alternativi nel caso dei dispositivi sottoposti a jailbreak) sono tutte verificate, una per una, dai tecnici della Mela, Google ha scelto per un meccanismo di scansione delle nuove app (Bouncer) che funziona in maniera sostanzialmente automatica. Può quindi capitare che alcune app sfuggano a tutti i controlli operati dal Bouncer di Google.

Come regola generale, a patto che non si sia assolutamente certi del contenuto di un pacchetto APK, le app Android si dovrebbero installare solo da Google Play o da Amazon Store che peraltro, ultimamente, ha presentato alcune promozioni interessati sulle app a pagamento: Scaricare gratis app a pagamento per Android.

2) Controllare attentamente i permessi richiesti dalle app Android

Sebbene Google Play si configuri come la fonte più affidabile per scaricare ed installare app Android legittime, alcune applicazioni richiedono davvero troppi permessi per funzionare.

Ogni volta che si installare una nuova app, Android indica chiaramente quali sono i permessi da essa richiesta. Sarebbe quindi sempre da chiedersi perché una semplice app che trasforma lo smartphone Android in una torcia oppure un videogioco dovrebbero accedere all'identificativo IMEI del telefono od alla rubrica dei contatti.
Perché un'app che aiuta a migliorare la qualità delle foto digitali dovrebbe necessitare, per il suo funzionamento, del permesso per l'invio di SMS?

Fortunatamente l'ultima versione di Android (Android 6.0 Marshmallow) consente una gestione più semplice ed immediata dei permessi richiesti da ogni singola app Android.
Nell'articolo Gestione dei permessi in Android 6.0 Marshmallow. Novità del nuovo sistema abbiamo messo in evidenza tutte le novità nella gestione dei permessi.

Con Android 6.0 Marshmallow è possibile revocare singoli permessi alle varie app obbligandole ad utilizzare solamente i privilegi che si vogliono accordare, indipendentemente dalle richieste degli sviluppatori.
L'unico permesso che non si può rimuovere, purtroppo, è l'autorizzazione all'invio ed alla ricezione di dati in Rete. Questa possibilità sarebbe stata molto utile per bloccare qualunque trasferimento di dati da e verso l'esterno da parte di quelle applicazioni che invece dovrebbero limitare le loro attività all'ambito locale.

Nelle versioni di Android precedenti la 6.0, bloccare efficacemente certi permessi delle app Android è cosa tutt'altro che banale.
Innanzi tutto, infatti, è indispensabile essere in possesso di un dispositivo Android precedentemente sottoposto a procedura di rooting.
In secondo luogo, bisognerà installare e configurare i pacchetti Xposed e XPrivacy (vedere Come bloccare i permessi delle app Android).
Si tratta di una soluzione efficacissima, per carità, ma tutt'altro che user friendly.

3) Usare server DNS alternativi

Di default tutti i dispositivi mobili Android utilizzano i server DNS di Google per risolvere i nomi a dominio. Alcuni server DNS di terze parti, però, effettuano un'azione di "filtraggio" bloccando la visita a siti web contenenti potenziali minacce per la sicurezza.

Nell'articolo abbiamo visto come modificare gli indirizzi dei server DNS in Android.
Cosa semplice, tuttavia, è modificare gli indirizzi dei DNS usati durante la connessione ad una rete WiFi mentre molto più complicato è variare i DNS nel caso in cui si adoperi la connessione dati dell'operatore telefonico.

In quest'ultimo caso, gli utenti possono seguire la guida pubblicata nell'articolo Come bloccare siti su Android.

4) Installare gli aggiornamenti ed aggiornare all'ultima versione di Android


Quando si acquista un nuovo dispositivo Android una delle discriminanti tra un prodotto e l'altro si rivela sempre più la politica seguita dal produttore nella distribuzione degli aggiornamenti.

In generale si dovrebbero evitare i dispositivi di quei produttori che rilasciano aggiornamenti con abbondante ritardo o, peggio, non li rilasciano affatto.

La scarsa propensione dei produttori ad aggiornare i loro dispositivi è uno dei motivi che hanno maggiormente contribuito alla frammentazione di Android.

Consultando i dati pubblicati da Google in questa pagina, è immediato rendersi conto che neppure "Lollipop" (Android 5.x) è la versione più utilizzata di Android (25,6% del totale).
La versione più usata è ancora KitKat, al 37,8% e la più vecchia "Jelly Bean" è ancora popolarissima al 29%.

Le vulnerabilità scoperte di recente nella libreria Stagefright (vedere questi articoli) hanno ricordato come l'installazione di una versione più attuale di Android insieme con l'applicazione dei vari aggiornamenti siano operazioni che consentono di scongiurare rischi inutili.

Quando i produttori si dovessero rifiutare di rilasciare aggiornamenti per i vari dispositivi Android, un'ottima soluzione consiste nell'installare una ROM personalizzata.
In seno al progetto CyanogenMOD, ad esempio, vengono periodicamente rilasciate ROM custom per gran parte dei modelli di dispositivi Android in circolazione, anche quelli più vecchi e non più supportati.

Anche nel caso dei terminali di fascia medio-alta, di solito i produttori non offrono più alcun tipo di supporto una volta trascorsi 18-24 mesi dall'immissione sul mercato del dispoositivo.
Per avere la possibilità di usare sempre l'ultima versione di Android e di installare tutti gli aggiornamenti, quindi, le ROM personalizzate offrono un validissimo aiuto.
A tal proposito, suggeriamo la lettura dell'articolo Installare ROM Android e aggiornare all'ultima versione.


5) Effettuare la scansione antivirus del pacchetto d'installazione di una app

Nel caso in cui si nutrissero dei dubbi sull'identità di un pacchetto APK, c'è sempre la possibilità di sottoporlo ad una scansione antimalware, ad esempio, su VirusTotal.
Così facendo si potrà controllare il contenuto del file APK, contemporaneamente, con i motori di scansione di oltre 50 antivirus differenti.

Nell'articolo Scaricare APK da Google Play: come fare senza installare nulla abbiamo spiegato come scaricare i pacchetti d'installazione delle app Android da Google Play.

Chi volesse può anche dotarsi di un software antivirus sul proprio dispositivo Android, capace di assicurare una protezione costante in background ed assicurarsi che le app installate non abusino dei permessi richiesti: Antivirus su Android, serve davvero? Ecco uno dei migliori, gratis.

6) Bloccare l'esecuzione di app Android e l'accesso alle impostazioni di sistema

Un'app come Hexlock, infine, aiuta ad impedire l'esecuzione di certe app Android da parte delle persone non autorizzate così come l'accesso alle impostazioni di sistema.

Hexlock evita quindi che altre persone, in possesso del dispositivo Android dell'utente, possano accedere ad informazioni personali e dati sensibili.

Tutte le informazioni su Hexlock sono pubblicate nell'articolo Bloccare app Android con password e proteggere i propri dati.


  1. Avatar
    terraneoroot
    09/11/2015 13:43:38
    Vorrei portare per un momento l'attenzione su una questione che mi sta pareccho a cuore e pertinente con l'articolo. Io uso un Account Samsung per bloccare e fare wiping del mio telefono nel caso ce ne fosse bisogno (l'ho hanche collaudato e funziona a dovere) Un altra opzione ce la da Google / gestione dispositivi dove pressapoco fa la stessa cosa. Detto questo il problema quale è se di sicurezza stiamo parlando? Il problema (secondo me gravissimo) è che per cancellare il dispositivo da remoto deve esserci una connessione attiva,MA "la falla" dove l'ho vista allora? La falla sta nel fatto che se uno trova o si impossessa di un telefono anche se questo ha il blocco schermo o il PIN e si tiene premuto il pulsante accensione questo permette la disabilitazione della connesione dati : da li si capisce che uno non può 'pingare' il device per poi cancellarne il contenuto! In altre parole mi piacerebbe che per attivare ma ancora più importante ,per disattivare la connessione dati ci si dovrebbe PASSARE PRIMA per il sblocco schermo,altrimenti è tutta una barzelletta la questione sicurezza. Spero di avere espletato bene la questione .
  2. Avatar
    Diabolus
    09/11/2015 09:42:05
    "Sarebbe quindi sempre da chiedersi perché una semplice app che trasforma lo smartphone Android in una torcia oppure un videogioco dovrebbero accedere all'identificativo IMEI del telefono od alla rubrica dei contatti. Perché un'app che aiuta a migliorare la qualità delle foto digitali dovrebbe necessitare, per il suo funzionamento, del permesso per l'invio di SMS?" Giusto, ma soltanto se tutti coloro che usano uno smartphone Android fossero utenti informati e consapevoli di cosa stanno facendo, cosa che non è assolutamente così: la stragrandissima parte delle persone usa lo smartphone come usa un frigorifero o una lavatrice, cioè senza essere costretta a capire la fisica della refrigerazione o la chimica del lavaggio. Mi permetto quindi di ribaltare la questione: perché non è il famoso Bouncer di Google ad effettuare questi controlli e, in caso, a respingere app che chiedono permessi non coerenti con lo scopo d'uso?
Sicurezza Android, come proteggere il proprio dispositivo ed i dati in esso conservati - IlSoftware.it