Domanda: Da poco mi sono dotato di uno smartphone. Sono stato sollecitato in questa operazione dagli altri membri della famiglia ma, tenendo in considerazione le mie esigenze, ho deciso di acquistare un modello poco più che entry level. Sono riuscito a trasferire i contatti dal precedente cellulare Nokia, poi ho iniziato a scegliere le app da installare. Tra le prime ho cercato la famosissima WhatsApp, in modo da mantenere i contatti col resto della famiglia e con gli amici. Una volta lanciata l’installazione è stato visualizzato l’elenco delle autorizzazioni necessarie al suo funzionamento ed è richiesto l’accesso ai miei account, alla posizione Gps, alle comunicazioni di rete e molto altro ancora! Ho quindi premuto su alcune voci, come Microfono, ed è stata visualizzata una finestra con informazioni più dettagliate: “Registrazione audio – Consentire all’applicazione di registrare audio con il microfono. Questa autorizzazione consente all’applicazione di registrare audio in qualsiasi momento a tua insaputa.” Incuriosito e anche un po’ incredulo, allora ho selezionato Telefonate ed è stato visualizzato: “Chiamata diretta n. telefono – Consente all’applicazione di effettuare telefonate senza alcun intervento dell’utente. L’autorizzazione potrebbe causare telefonate e addebiti inattesi. Applicazioni dannose potrebbero causare costi aggiuntivi facendo telefonate a tua insaputa.” Quindi ho continuato con Fotocamera: “Acquisizione di foto e video – Consente all’applicazione di scattare foto e riprendere video con la fotocamera. Questa autorizzazzione consente all’applicazione di utilizzare la fotocamera in qualsiasi momento a tua insaputa.” Dopo questo ulteriore avvertimento ho deciso di non installare WhatsApp! Ma i software che fanno cose come quelle sopra elencate non sono da considerarsi virus e spyware!? Perché mai dovrei permettere a un’applicazione di comportarsi come un virus e usare il telefono a mia insaputa? Non capisco se sto sbagliando qualcosa ma queste richieste non mi sembrano normali. Perché l’applicazione dovrebbe ascoltare delle conversazioni o registrare video senza un mio intervento diretto? Spero che possiate spiegarmi perché mai dovrei riporre ciecamente la mia fiducia in un’app!
Risposta: I dubbi espressi dal lettore sono pienamente legittimi. Nel momento in cui un’app richiede le autorizzazioni per gestire in maniera autonoma la maggior parte delle funzionalità dello smartphone ogni utente dovrebbe chiedersi quale utilizzo sarà fatto di tanta libertà di azione.
Il sistema operativo Android è un derivato di Linux e, come tale, implementa una gestione molto raffinata dei permessi che consentono di accedere ai vari dispositivi e ai contenuti del file system. Questa struttura, unita al fatto che le app sono normalmente eseguite senza i privilegi di amministratore (root), rende Android molto resistente agli attacchi di virus e cavalli di Troia. È quasi impossibile per un software malevolo ottenere l’accesso ad aree riservate di uno smartphone senza un consenso esplicito da parte del proprietario. Per i motivi appena spiegati i pochi malware noti sono sempre stati distribuiti sotto forma di app potenzialmente utili, in modo da ottenere le autorizzazioni necessarie e poter poi compiere le loro azioni indesiderate.
A differenza del nostro lettore, che ha compreso perfettamente i meccanismi di sicurezza di Android, purtroppo la maggior parte degli utenti si lasciano irretire dal fatto che Google Play mette a disposizione centinaia di migliaia di applicativi gratuiti e ne fanno incetta, senza verificare l’attendibilità del fornitore e le autorizzazioni di volta in volta richieste. Un comportamento di questo tipo, oltre a non salvaguardare la privacy dell’utente, espone ad eventuali addebiti per servizi non richiesti sul conto telefonico. Inoltre, quando l’utente infine si rende conto del problema, spesso è difficile anche far valere le proprie ragioni nei confronti dei produttori del software, in quanto le autorizzazioni che consentivano di eseguire le operazioni malevole sono state ufficialmente richieste (e concesse) al momento dell’installazione.
Detto questo dobbiamo evidenziare che la grande maggioranza delle app sono sufficientemente sicure. La loro disponibilità mediante i servizi ufficiali di download è subordinata all’accettazione di apposite condizioni che obbligano al rispetto di un codice etico e gli sviluppatori che non lo rispettano possono essere estromessi, con gravi danni economici e di visibilità . Particolare attenzione, invece, deve essere riservata al software che non viene scaricato dai servizi ufficiali, come eventuali siti gestiti direttamente dagli sviluppatori del software, perché il materiale proveniente da queste fonti non è soggetto ai controlli appena descritti. Inoltre si deve tenere presente che le descrizioni a corredo dello schema di sicurezza di Android fanno riferimento ad un worst-case scenario, ovvero al peggior uso che un’app potrebbe fare di una determinata autorizzazione. Ciò ovviamente non significa che ogni software a cui viene conferita quell’autorizzazione si comporti in maniera così spregiudicata.
Per il caso specifico di WhatsApp, trattandosi di un software tra i più scaricati da Google Play, è molto improbabile che possa compiere azioni indesiderate. Con una base utenti così ampia ogni comportamento anomalo non potrebbe mai passare inosservato e verrebbe immediatamente pubblicato nei gruppi di discussione. L’unica obiezione di un certo rilievo che è stata mossa nei confronti di WhatsApp è che la normale procedura di installazione prevede che l’utente invii per intero la rubrica telefonica dello smartphone al gestore del servizio. Secondo gli sviluppatori questa operazione è necessaria per individuare quali tra i propri contatti sono a loro volta iscritti a WhatsApp in modo da predisporre un canale diretto di comunicazione, senza passare per i tradizionali servizi voce e sms della rete telefonica cellulare. Molti utenti obiettano che sarebbe preferibile che la procedura consentisse ad ognuno di selezionare quali contatti inviare al server di WhatsApp, invece dell’intera rubrica che comprende ovviamente anche i numeri telefonici di decine e decine di persone che non sono iscritte a questo servizio di messaggistica. Tutte queste informazioni, che rimangono a disposizione di WhatsApp, potrebbero potenzialmente essere utilizzate per scopi diversi oltre alla normale fornitura del servizio. Un’altra preoccupazione al riguardo è stata espressa dopo la recente acquisizione che ha portato questo servizio di messaggistica nell’orbita di Facebook. In diversi forum dedicati alla sicurezza informatica si fa notare che le informazioni di WhatsApp (liste dei contatti, numeri di telefono, messaggi e così via) unite a quelle già disponibili al gigante dei social network raggiungono una massa critica talmente elevata da costituire un serio rischio per la privacy degli utenti che utilizzano questi servizi. Purtroppo, come è già stato dimostrato in altre occasioni, molti utenti della Rete sembrano ben disposti ad essere “analizzati” in cambio di qualche servizio gratuito che li aiuti a mantenere le proprie relazioni interpersonali.