Lunedì, Novembre 12, 2018
   
Text Size

Articoli

I permessi delle App: la volpe a guardia del pollaio ?

di Lorenzo Brunetti

Il mondo delle applicazioni informatiche è un labirinto pieno potenzialità ed anche di pericoli che, spesso, si nascondono dietro alcuni banali dettagli. Il più famoso esempio è quello del virus Stuxnet, che iniziò il suo percorso con una chiavetta Usb inserita in un Netbook, un dettaglio appunto.

Se il caso Stuxnet sembra quasi dimenticato dal grande pubblico, va invece molto di moda parlare dei permessi delle app installate sulla maggior parte degli smartphones in circolazione, quei dettagli che di solito pochissimi guardano.

Al fine di circorscrivere un così vasto argomento, si parlerà soltanto del sistema Android, il più diffuso anche se non l’unico, per il quale esistono principalmente 3 tipi di permessi: Normal, Dangerous & Signature. Le autorizzazioni pericolose sono considerate ad alto rischio, quindi l'utente deve consentirle esplicitamente (cliccando il consenso). Le autorizzazioni Signature vengono fornite all'app a livello di Os dai produttori di telefoni (ossia come impostazioni iniziali di default).

Per capire meglio il “lato oscuro” di suddetta parte del mondo digitale, è opportuno concentrarsi sui permessi Normal che non richiedono alcun assenso dell'utente che non può in alcun modo negarli o revocarli. Google, la società più famosa e cliccata nel mondo dei motori di ricerca, classifica come “Normal” i permessi che ritiene privi di rischi gli utenti. Viene spontaneo chiedersi perché. L’analisi di dettagli, riportata qui sotto, di alcune delle autorizzazioni “normali” (e il possibile rischio che invece possono comportare) potrà fornire alcuni spunti di riflessione fruibili a tutti, indipendentemente dal grado di “alfabetizzazione digitale”:

DOWNLOAD_WITHOUT_NOTIFICATION: l'App può saricare qualsiasi contenuto inclusi adware senza avvisare l'utente. L’utente potrebbe essere profilato e reso destinatario di messaggi pubblicitari/promozionali indesiderati.
    GOOGLE_AUTH: la App possono ottenere l'indirizzo email utilizzato per gli account Google. Ottimo modo per raccogliere database di posta elettronica.
    GOOGLE_AUTH.wise: la App può accedere segretamente a Google Spreadsheets (foglio elettronico on-line con molte funzionalità, tra le quali la creazione di database) senza informare l'utente.

GOOGLE_AUTH.writely: consente alla App di accedere segretamente a Google Documenti senza informare l'utente.

KILL_BACKGROUND_PROCESS: la app può chiudere qualsiasi processo in esecuzione, inclusi eventuali antivirus o anti-malware e quindi lanciare un attacco.
    Launcher.WRITE_SETTINGS: l'app, con questa autorizzazione, può modificare le impostazioni di Launcher (ciò che permette all’utente di interagire con il device android) e icone di Android. La app potrebbe usarlo per posizionare icone fuorvianti sull’homescreen del dispositivo e indurrre l’utente a fare clic su esse.

READ_EXTERNAL_STORAGE: l'app può leggere qualsiasi documento o dati sensibili sulla memoria. Whatsapp, ad esempio, salva le foto sulla Gallery dei dispositivi, quindi una App, anche senza specifica autorizzzazione dell’utente/amministratore, bypassa la ottima cifratura end-to-end di Whatsapp stesso. Le App “più avanzate” salvano i propri dati solo sul proprio “user space” e non sono ovviamente visibili dalla semplice “gallery”.

READ_SYNC_STATS: la App può leggere le satistiche di sincronizzazione per qualsiasi sincronizzazione in background su Facebook o Gmail, inclusa la cronologia degli eventi di sincronizzazione e la quantità di dati sincronizzati.

RECEIVE_BOOT_COMPLETED: l'app viene a sapere quando il telefono (o dispositivo analogo) viene riavviato e si impone di avviarsi all'avvio. Può anche sovraccaricare il processo di avvio e la memoria.

REORDER_TASKS: consente alle app di portarsi in primo piano se sono in esecuzione in background. Improvvisamente, ad esempio, una app che esegue un annuncio può imporsi di essere vista senza che l’utente lo abbia chiesto.

SUBSCRIBED_FEEDS_READ: le app possono leggere i feed RSS dell’utente. Il feed RSS è un linguaggio di markup, cioè un linguaggio che crea e traccia flussi di informazioni in formato XML.

WRITE_USER_DICTIONARY: questa autorizzazione consente all'app di aggiungere parole personalizzate al dizionario dell’utente che può essere fruirne durante la correzione automatica. Le possibilità di abuso di questo mezzo sono infinite.

E’, dunque, chiaro, che i più comuni dispositivi informatici (come smartphone e tablet) non sono sempre sotto il nostro esclusivo controllo, ma permettono a terzi di inviarci contenuti non richiesti e di “profilarci”, ossia di capire i nostri usi e gusti.

Finita la carrellata esemplare dei permessi, è opportuno spendere alcune parole sulle App in quanto tali. Se le analizzassimo una alla volta, ne troveremmo moltissime, ma in questa sede preferisco segnalare quelle “classiche”, divise in macro-categorie:

RUN AT STARTUP: la App si ri-avvierà sempre all’avvio del device su cui è installata.

INTERNET : Accesso ad internet. Se volessimo usare un’immagine allegorica, potremmo dire che possiamo anche chiudere le porte delle camere, ma siamo obbligati a lasciare la porta blindata aperta…....Le App che contengono Ads hanno, guarda caso, accesso ad Internet.

L’utente farci niente, dopo tutto non è il “vero” amministratore del sistema, ma piuttosto solo un fruitore/consumatore o, potremmo dire in maniera provocatoria, un prodotto egli stesso.

A scanso di equivoci, è necessario precisare che ovviamente che App e Permessi citati sono tutti legittimi (se usati bene) e servono a vari scopi, ma è comunque opportuno domandarsi perché accedere ad internet non sia considerato tra i più pericolosi permessi. Ogni lettore potrà trarre le proprie personali conclusioni. In questa sede, a titolo esemplificativo, si riporta solo un commento fatto, omai due anni fa, in occasione di un convegno sulla cyber security, da un alto dirigente dello Stato, operante nel settore, che aveva già analizzato la differenza tra -User ed Admin: “Prima di parlare di cybersecurity, guarderei come i miei colleghi e collaboratori usano il telefono, sia personale che di servizio...” . Con tale quesito, per adesso, è meglio fermarsi. Altrimenti occorrerebbe entrare nel capitolo “aggiornamenti di sicurezza” su Android, argomento assai complesso, che necessita di una trattazione a sé stante.

 

 

 

 

Visitatori Online

Abbiamo 196 visitatori e nessun utente online