Permessi su Android: la vera fonte di molti problemi di sicurezza e come controllarli

  • Identificare le autorizzazioni critiche (accessibilità, sovrapposizione, amministratore, SMS/notifiche) e concederle solo alle app attendibili.
  • Utilizza il gestore delle autorizzazioni: revoca l'accesso, limita l'utilizzo della posizione e disattiva la fotocamera/il microfono quando non sono necessari.
  • Se gestisci dati sensibili, evita le ROM modificate o rooted: riducono le protezioni native del sistema.
  • Sviluppatori: definire autorizzazioni personalizzate senza errori e utilizzare livelli di protezione della firma quando possibile.
Iván MartínAggiornato il

7 minuti

Sicurezza Android e autorizzazioni app

Negli ultimi giorni si parla molto di problemi di sicurezza riguardanti applicazioni come WhatsApp, ormai nell'occhio del ciclone, e di alcuni produttori come Samsung per quanto riguarda una backdoor in alcuni suoi terminali. E questo è Android il colpevole e non queste società?

Quello che diciamo si basa sul fatto che in entrambi i casi ciò che accade non crediamo sia dovuto a un difetto o un guasto nella programmazione (o nella fabbricazione), ma nella sezione che offre più diffidenza nel sistema operativo di Mountain View : le autorizzazioni concesse alle applicazioni che sono installati. Il modello di autorizzazione determina cosa un'app può leggere, modificare o eseguire..

La grande libertà che offre Android rispetto ad altri sistemi operativi Android consente agli sviluppatori di accedere a diverse opzioni e luoghi dei dispositivi degli utenti, cosa che se non gestito correttamente può diventare un grosso problema (ed è negato in altri sviluppi). In questo modo, se non stai attento, alcune creazioni possono avere accesso alla memoria del dispositivo e, persino, alla radio - e non ci riferiamo alla musica - di questo e, quindi, eseguire azioni indesiderate. Concedere permessi senza comprenderne la portata è il solito fattore scatenante.

Sito WhatsApp attaccato da un gruppo di hacker filo-palestinesi

Pertanto, colui che può copia il database WhatsApp sulla scheda SD o comunicazioni non autorizzate potrebbero non essere un problema delle aziende, ma del sistema operativo stesso... o per essere più precisi, dell'utente che utilizza il terminale Android, poiché è lui a concedere i permessi quando si procede con l'installazione. Il punto debole è solitamente la decisione dell'utente di fronte a una casella di autorizzazioneUn esempio di questo: l'accesso alla radio e alla scheda SD che Samsung utilizza e di cui si è parlato è semplicemente qualcosa che viene fatto di routine in alcune applicazioni, come indicato Dan rosberg dalla sicurezza di azimut. Cioè, niente di nuovo che non sia successo prima.

App Ops Android 4.3 disabilita i permessi delle app
Articolo correlato:
Gestire le autorizzazioni Android per evitare malware: una guida pratica, Play Protect e app utili.

E cosa si può fare al riguardo?

La verità è che la soluzione, almeno sulla carta, non sembra complicata…. Non molto meno. Fondamentalmente, di cosa? gli utenti devono prestare attenzione nel concedere autorizzazioni importanti a sviluppi non completamente attendibili. Installa da fonti attendibili e fai attenzione alle app che richiedono accessi di cui non hanno bisogno.. Ad esempio, se utilizzi un'applicazione di Google o creata da una banca, non dovresti avere alcun problema, ma quei programmi che non hanno un'origine chiara, è meglio non rischiare. In questo modo i problemi saranno minori.

Ma la verità è che da Mountain View si dovrebbe prendere qualche misura sotto forma di avvisi più sorprendenti, come è successo con Google Play nel suo ultimo aggiornamento. Messaggi chiari, icone di avviso e descrizioni comprensibili di ogni autorizzazione riducono i clic impulsivi.In questo modo, gli utenti sarebbero avvisati in modo molto più chiaro e saprebbero cosa fare e se viene richiesto un permesso importante. Gli sviluppatori Android dovrebbero assolutamente intervenire in questo caso.

Il fatto è che aziende come WhatsApp si sono difese dalle accuse di mancanza di sicurezza, e nel caso in esame hanno perfettamente ragione... non è un problema di loro creazione, ma di Android. Un'app non può leggere o inviare nulla senza l'autorizzazione appropriata.Quindi, per aggrottare la fronte, bisogna voltare la testa e sperare che Google faccia qualcosa (non c'è da stupirsi che il Nexus, ad esempio, non abbia schede microSD, vero?).

Permessi Android che richiedono la massima cautela

Permessi pericolosi su Android

Esistono permessi che, per loro natura, garantiscono una visibilità e un controllo approfonditi. Concederli ad app dubbie può aprire le porte a malware e frodi..

Accessibilità

Necessario per gli ausili tecnici, ma ti consente di leggere ciò che vedi e di automatizzare le sequenze di tastiIl malware lo utilizza per spiare le password, intercettare i messaggi SMS e prendere il controllo del dispositivo. Nelle versioni più recenti, la sua attivazione è più guidata e limitata. Maggiori dettagli sulle autorizzazioni speciali sono disponibili all'indirizzo concedere permessi speciali.

Mostra su altre app

Consente di sovrapporre finestre mobili. Le schermate di accesso possono essere falsificate per rubare le credenziali. oppure cattura ciò che digiti con elementi invisibili.

Amministratore del dispositivo

Concede il controllo a impedire la disinstallazione, bloccare o cancellare il telefonoUtile in ambienti aziendali o per il blocco dello schermo, pericoloso nelle mani sbagliate.

Installa app sconosciute

Autorizza un'app ad avviare le installazioni. In combinazione con la sovrapposizione o l'accessibilità, può indurti a installare altro malware.Negalo a meno che non sia strettamente necessario; le versioni future di Android miglioreranno il modo in cui questa autorizzazione verrà gestita.

Accesso a tutti i file (gestione file)

Consente di leggere, modificare ed eliminare l'archiviazione condivisa. Dovrebbero richiederlo solo i file manager, i backup o simili.. Imparare a rimuovere i permessi non necessari quando non sono essenziali.

Gestione multimediale

Concedere leggere/scrivere foto e video da altre appUtile per le app di copia galleria/cloud; selezionalo se il motivo non è chiaro.

Notifiche e SMS

L'accesso alle notifiche o agli SMS può catturare codici di verifica e confermare illegalmente transazioni bancarie. Evitatelo, a meno che l'app non lo giustifichi.

Come gestire e revocare i permessi su Android

Gestione delle autorizzazioni su Android

Android offre un gestore centralizzato per la revisione degli accessi. Prenditi qualche minuto per verificare le autorizzazioni della tua app.:

  • Apri Impostazioni → App → scegli un'app → Autorizzazioni. Concedi solo ciò che è essenziale.
  • In Sicurezza e privacy → Privacy → Gestione autorizzazioni, esamina per tipo (Posizione, Telecamera, Microfono, ecc.). Revoca nelle app che non ne hanno bisogno.
  • Nelle applicazioni con accesso speciale, controllo Mostra su altre app, Installa app sconosciute y Accessibilità.
  • Attiva l'opzione che Revoca automaticamente le autorizzazioni sulle app inattive per un periodo.
  • Dai controlli della privacy puoi bloccare globalmente la fotocamera e il microfono se non li usi.

Se si utilizzano ROM modificate o rootate

Rischi delle ROM modificate e del rooting su Android

Versioni modificate del sistema o accesso root indebolire le protezioni native (verifica delle app, patch di sicurezza e difese anti-phishing). Puoi installare app senza controllo e fornirle accesso senza sandbox efficaceSe gestisci dati sensibili, valuta di tornare al firmware di serie o di separare i tuoi account critici su un altro dispositivo; se hai effettuato il rooting, scopri strumenti come SuperSU.

Rischi per gli sviluppatori avanzati: autorizzazioni personalizzate

Autorizzazioni personalizzate e livelli di protezione

Esistono anche vettori meno visibili. Autorizzazioni personalizzate mal definite può essere sfruttato da app dannose:

  • Errori tipografici: Proteggere i componenti con un'autorizzazione scritta in modo errato consente a un'altra app di rivendicarli e accedervi.
  • Permessi orfani: Se vengono selezionati ma non dichiarati nel manifesto, una terza parte può definirli e ignorare i controlli.
  • android:livello di protezione Inappropriato: l'uso di termini come "normale" o "pericoloso" per funzioni sensibili riduce la protezione. Preferisci il livello della firma quando applicabile.
  • Condizioni di gara: La disinstallazione dell'app che ha definito l'autorizzazione potrebbe consentire a un'altra app di ridefinirla con una protezione inferiore.

Mitigazioni: Lint Android per rilevare errori, convenzione di denominazione coerente, definire sempre i permessi utilizzati e, quando possibile, verifica della firma tra app invece di affidarsi a permessi personalizzati. Dai un'occhiata a proposte come Operazioni app per comprendere controlli più precisi.

Buone pratiche per ridurre il rischio

Buone pratiche con i permessi su Android

  • Pensa alla necessità- Se un'app non richiede la posizione, la fotocamera o il microfono per funzionare, nega l'autorizzazione.
  • Posizione limitata: Utilizzare "solo quando l'app è in uso" anziché accesso sempre attivo.
  • Calendario e SMS: contengono dati critici. Evita di regalarli a meno che il vantaggio non sia chiaro.
  • Controllare dopo ogni aggiornamento: Alcune app incorporano nuove richieste di autorizzazione.
  • Evitare sovrapposizioni tranne che nelle app affidabili (fumetti di chat, traduttori mobili, ecc.).
  • Installa dagli store ufficiali e disabilitare "installa app sconosciute" sulle app che non ne hanno bisogno.
  • Elimina le app che non usi: ridurre la superficie di attacco e le autorizzazioni attive.

La sicurezza su Android non dipende solo dal codice di un'app o dal suo produttore: il modello di autorizzazioni e le decisioni dell'utente fanno la differenza. Conoscere le autorizzazioni pericolose, controllare gli accessi speciali e applicare le buone pratiche quotidiane è il modo più efficace per prevenire frodi, furti di informazioni e azioni non autorizzate senza rinunciare alla flexibilidad che rende Android potente.