Le app non sono mai a digiuno di dati. Con gli ultimi update dei vari sistemi operativi, per concedere la fruizione di dati e informazioni sensibili da parte dei vari software è necessario che l’utente conceda il permesso, anche se spesso lo si concede senza leggerne le motivazioni per cui è richiesto. Ed è uno dei motivi per cui molte applicazioni accedono (o possono accedere) alle funzionalità per cui in teoria gli elementi a cui chiede l’accesso, non sono utili al funzionamento per cui sono state sviluppate. Il reparto di sicurezza di Cybernews ha analizzato 50 app Android del Play Store tra le più popolari, per scoprire quali sono i permessi più richiesti
La ricerca di Cybernews
Il team di ricerca di Cybernews ha esaminato 50 applicazioni delle più popolari app Android sviluppate per il robottino verde. Secondo quanto emerso dalla ricerca, i risultati non sono molto rassicuranti. Applicazioni di uso comune, tra cui WhatsApp e Facebook ad esempio, sono tra le più affamate dei permessi. Sono 41 le concessioni che Cybernews definisce “pericolose” e che potenzialmente potrebbero mettere a rischio a privacy dell’utente, o influenzare le funzioni principali del dispositivo. Ma perché bisogna essere gelosi dei vari permessi? Se non si presta attenzione alle varie concessioni, potremmo mettere a rischio un documento sensibile come la foto del proprio documento di identità. Ad esempio potrebbe accedervi un’app che non ha bisogno di poter accedere alla galleria.
Per scoprire i permessi richiesti dalle varie applicazioni Cybernews ha scansionato in cerca di informazioni i rispettivi file Manifest delle 50 app prese in considerazione. Il Manifest è un regolamento che indica al device a cosa può accedere l’app. Nessuna app analizzata, afferma Cybernews, richiede l’autorizzazione per accedere ai sensori corporei o per aggiungere messaggi vocali.
Le app più affamate di dati
WhatsApp si posiziona al secondo posto, dietro ad un software di fattura indiana che in realtà in Italia non è popolare. Diversamente, il sistema di messaggistica di Meta richiede ben 26 permessi. Truecaller: Caller ID & Block che dovrebbe in realtà aiutare a preservare la privacy, richiede 24 permessi considerati “pericolosi”. A seguire Google Messaggi, WhatsApp Business con 23 permessi, Facebook 22 e Instagram 19. Tra le più integre invece troviamo le app videoludiche. Among Us non chiede alcuna autorizzazione pericolosa, mentre Candy Crush Saga e altre popolari app di gaming, richiedono al massimo 1-2 autorizzazioni pericolose, perlopiù per le notifiche push. Ma ciò non vuol dire che l’app sia più o meno sicura.
I permessi più pericolosi per la sicurezza e la privacy
I permessi più richiesti riguardano la possibilità di inviare le notifiche. Benchè possa sembrare innocuo, può essere sfruttato per diversi motivi. “L’exploit più semplice delle notifiche, spesso abusato da app dannose, è quello di bombardare gli utenti con annunci indesiderati, link di phishing o persino disinformazione. Tuttavia, a causa dell’implementazione di questo sistema, le notifiche sono state precedentemente sfruttate dai venditori di spyware commerciali per tracciare gli utenti”, ha affermato il ricercatore di sicurezza Mantas Kasiliauskis. Nel 2023, il senatore statunitense Ron Wyden ha avvertito in una lettera che le notifiche facilitano la sorveglianza governativa poiché non viaggiano direttamente dall’app allo smartphone e possono includere dati sensibili. Le notifiche passano attraverso un intermediario, una specie di “ufficio postale digitale”. Per i device Android, si tratta di Firebase Cloud Messaging di Google.
Il secondo permesso pericoloso più richiesto è l’accesso allo storage esterno alla directory dell’app. In totale, sono ben 40 app chiedono il permesso di scrivere e 34 di leggere file da storage esterno. Ciò vuol dire che, almeno in teoria, potrebbero accedere a una foto ID che hai archiviato sul tuo dispositivo. “Queste autorizzazioni sono essenziali quando devi caricare contenuti multimediali sul tuo profilo, condividere storie sui social media, archiviare foto o video. Senza di esse, Instagram non può accedere alle tue foto, la tua app di messaggistica non può salvare documenti o la tua app di fotoritocco non può archiviare le tue creazioni. Tuttavia, queste autorizzazioni sono anche considerate ad alto rischio. L’app dovrebbe spiegare chiaramente perché ha bisogno di questo accesso ai dati utente”, ha affermato Kasiliauskis.
L’accesso alla fotocamera e la registrazione audio sono le autorizzazioni più richieste, con 33 app che le richiedono. L’accesso alla fotocamera è parte integrante della funzionalità di alcune app, consentendo loro di catturare e condividere foto. La registrazione audio è richiesta per fornire messaggi vocali e altre funzionalità. Questi potrebbero anche essere abusati da attori malintenzionati, spie e persino aziende pubblicitarie che cercano di indirizzare meglio i loro annunci.
Più della metà (26) delle app vorrebbe anche tracciare la posizione precisa. Ciò significa che possono individuare la posizione dell’utente entro pochi metri. “Tracciare la tua posizione è altamente sensibile e invasivo. Mentre è essenziale per i servizi basati sulla posizione, come Google Maps, molte altre app e giochi richiedono una posizione precisa semplicemente perché questi dati sono preziosi per gli inserzionisti per fornire annunci personalizzati”, ha affermato Kasiliauskis. Forse quello più inquietante riguarda il permesso per leggere lo stato del telefono. “Si tratta di un’autorizzazione particolarmente delicata, che garantisce l’accesso a informazioni critiche sullo stato del telefono e sulle sue interazioni con le reti, come il numero di telefono, le informazioni correnti sulla rete cellulare, le chiamate in corso e l’ID univoco del dispositivo”, ha spiegato Kasiliauskis.
Come i malintenzionati possono sfruttare questi permessi
I malintenzionati potrebbero sfruttare l’accesso allo storage per esfiltrare o compromettere file come foto, video, documenti e altre informazioni private. “I permessi possono essere giustificati quando sono correlati a funzionalità di base come messaggistica, chiamate vocali e videochiamate. I confini iniziano a confondersi quando un’app chiede di gestire le chiamate, accedere allo stato del telefono e alla posizione precisa senza chiari vantaggi. Ad esempio, se stai utilizzando un’app di chiamata telefonica predefinita, potresti riconsiderare la concessione di permessi simili a WhatsApp o Messenger”, ha affermato il ricercatore. Anche per le app affidabili, Kasiliauskis suggerisce di evitare di concedere autorizzazioni per la lettura dei registri delle chiamate e dei contatti se non è necessario.
“Le app di comunicazione e social sono le più ricche di funzionalità, ma richiedono anche la maggior parte delle autorizzazioni pericolose. Ricorda, puoi sempre concedere le autorizzazioni in seguito se hai bisogno di una funzionalità specifica. La maggior parte degli utenti tende a concedere automaticamente tutte le autorizzazioni, ma è più sicuro iniziare con il rifiuto automatico e apportare modifiche in corso d’opera”, ha affermato Kasiliauskis.
Cosa fare con le app
Cosa fare, quindi? Secondo Cybernews, è fondamentale eliminare regolarmente le app non necessarie, revocare le autorizzazioni eccessive che violano la privacy nelle impostazioni del dispositivo e valutare l’accesso agli stessi servizi dal browser web. “Avere numerose app scarica la batteria più velocemente e può avere un impatto negativo sulle prestazioni del dispositivo, anche se non si verificano problemi immediati”, ha affermato il ricercatore.
Bisogna preoccuparsi?
Il fatto che queste app richiedano permessi che non hanno bisogno, non vuol dire che non si possa fare qualcosa oppure preoccuparsi. Lo studio è stato redatto per far capire quali potrebbero essere i pericoli nell’installare applicazioni non attendibili che chiedono accessi “pericolosi”. Per questo bisogna installare app da Store fidati e autorevoli e mantenere sempre aggiornato il software del dispositivo.