Retroscena
101

Permessi: Cosa vuole il tuo telefono da te

Dominik Bärlocher
4.7.2018
Traduzione: tradotto automaticamente
Collaborazione: Melanie Anna Lee, Stephanie Tresch

Ogni app su ogni telefono ti chiede il permesso di accedere a componenti e software. È difficile gestire le autorizzazioni in modo sensato, perché di solito sono poco trasparenti. Inoltre, spesso li accetti senza fare domande. Un'occhiata a quella che è probabilmente la funzione più disfunzionale del mondo degli smartphone.

"Tu, non voglio questo smartphone", dice una cliente nel negozio di Zurigo.

La cliente ha appena ricevuto un telefono sostitutivo dalla flotta di telefoni sostitutivi digitec e sta sistemando il Lenovo P2 nel negozio.

Ha appena ricevuto un cellulare sostitutivo dalla flotta di telefoni sostitutivi di digitec e sta sistemando il Lenovo P2 nel negozio. Il telefono è il modello che i commessi ti danno quando devono spedire il tuo. Il P2 è stato scelto perché è economico, potente e stabile, quindi dovrebbe sopravvivere a diversi clienti. Ha sostituito il Wiko Highway Star, che ha funzionato bene per anni.

Lenovo P2 (32 GB, Champagne Oro, 5.50", Doppia SIM Ibrida, 13 Mpx, 4G)
Smartphone

Lenovo P2

32 GB, Champagne Oro, 5.50", Doppia SIM Ibrida, 13 Mpx, 4G

E allora perché il cliente non lo vuole?

"L'app di contatto sul mio smartphone vuole accedere alla mia posizione. Io non lo voglio".

Buona idea. Un'app di contatto non dovrebbe accedere ai dati di localizzazione. E perché dovrebbe? L'app legge i tuoi contatti di Google e li visualizza nel design di Lenovo. Non dovrebbe fare altro. Forse ha bisogno dell'autorizzazione "Fotocamera" se l'app ti permette di scattare una foto al tuo collega e di utilizzarla come immagine del contatto. Ma "Posizione" è un po' assurdo.

La soluzione per il cliente è semplice: Google Contacts ha bisogno di una montagna di permessi, ma non dei dati sulla posizione. Questa montagna può sembrare minacciosa, ma non è così. Vediamo nel dettaglio questo aspetto.

La montagna dei permessi smontata

La comprensione dei permessi richiede una certa conoscenza dell'hardware del tuo telefono. Il tuo telefono non è una scatola di magia nera, è un computer. I computer seguono sempre una logica, anche se devi pensare fuori dagli schemi per capirli.

Ecco quindi un breve interludio in cui ti svelerò la magia nera.

Interludio: Perché un'app torcia ha bisogno di accedere alla tua fotocamera

Un buon esempio di come sia necessario pensare fuori dagli schemi è l'app torcia. Se stai cercando qualcosa al buio, la torcia del tuo telefono è una salvezza. Dopo tutto, chi ha sempre una torcia a portata di mano? La maggior parte dei nuovi telefoni ha una torcia integrata nella ROM di Android. Tuttavia, se non è così, puoi utilizzare un'app flashlight.

Nel momento in cui installi l'applicazione, questa ti chiede l'autorizzazione "Fotocamera". Perché?

La torcia del tuo telefono in realtà non è affatto una torcia. Si tratta del flash della fotocamera, che in realtà non è un flash, ma semplicemente una lampadina a LED. Inoltre, questo LED fa parte del sistema della fotocamera del tuo telefono.

Quando accendi la torcia sul tuo telefono, non è una torcia, ma una semplice lampadina a LED.

Quando accendi la torcia, stai essenzialmente dicendo al telefono: "Lampeggerai finché non ti dirò di smettere". Per farlo, l'app deve parlare con il sistema della fotocamera. Da qui l'autorizzazione "Fotocamera". Esiste anche l'autorizzazione "Controlla la torcia", per ovvi motivi.

Contatti di Google a livello di permessi

Ora abbiamo un esempio. Vediamo ora di analizzare i permessi di Google Contacts. L'app richiede alcuni permessi, ma non senza motivo. Ho dovuto fare un po' di congetture nell'interpretare i permessi, poiché Google non comunica chiaramente a cosa servono effettivamente i permessi.

Identità

  • trova gli account sul dispositivo: accesso agli account collegati al telefono, ad esempio Google, Facebook, LinkedIn...
  • aggiungere o rimuovere account: Gestisci gli account trovati in precedenza
  • leggere la propria scheda di contatto: leggere i propri dati di contatto
  • modifica la tua scheda di contatto: personalizza i tuoi dati di contatto

Calendario

  • Leggi gli eventi del calendario e le informazioni riservate: inserisci i compleanni, invia inviti agli appuntamenti, ....

Contatti

  • trova gli account sul dispositivo: accedi agli account collegati al telefono, ad esempio Google, Facebook, LinkedIn...
  • leggere i contatti: Leggere i dati dei contatti
  • Modifica i tuoi contatti: Modifica i dettagli dei contatti solo sul tuo account. Le modifiche apportate qui non cambieranno i dati di contatto dei tuoi amici. Ad esempio: salvi la tua mamma non con il suo nome ma come "Mamma"

SMS

  • Leggi i tuoi messaggi di testo (SMS o MMS): Associazione di contatti con i messaggi di testo

Telefono

  • chiamare direttamente i numeri di telefono: chiama direttamente dall'app dei contatti, spesso la funzione inversa è memorizzata nell'app del telefono
  • Leggere il registro delle chiamate: Registro delle chiamate, spesso contatti, ...
  • Leggere lo stato e l'identità del telefono: è importante se hai suddiviso i tuoi contatti in categorie e se alcuni contatti possono disturbarti nonostante la modalità sleep

Foto / Media / File

  • Leggere il contenuto della tua memoria USB: foto dei tuoi contatti, assegnare foto ai contatti
  • Storage: l'app ha generalmente bisogno di accedere allo storage per questo
  • leggere il contenuto della memoria USB: accesso generale alla memoria USB (se disponibile)
  • Device ID & informazioni sulle chiamate: importante per le chiamate. Il telefono può squillare? Quale telefono sta squillando? Quale immagine deve essere visualizzata
  • Lettura dello stato e dell'identità del telefono: importante se hai suddiviso i tuoi contatti in categorie e se alcuni contatti sono autorizzati a disturbarti nonostante la modalità inattiva

Altro

  • leggere le statistiche di sincronizzazione: quando è stata l'ultima volta che i contatti sono stati sincronizzati con il backup nel cloud?
  • Ricevere dati da Internet: L'app è autorizzata a sincronizzare il backup
  • visualizzare gli account configurati: L'app è autorizzata a visualizzare gli account Google sul telefono
  • visualizza le connessioni di rete: Quanto è forte la connessione di rete? La WLAN è attiva o disattivata? Questo è importante se stiamo considerando il Voice over LTE (VoLTE)
  • accesso completo alla rete: affinché l'app possa sincronizzare i backup ed effettuare chiamate, ha bisogno di accedere alla rete dati e alla rete telefonica
  • controllo Near Field Communication: scambio di contatti tramite NFC
  • Leggi le impostazioni di sincronizzazione: può visualizzare le impostazioni di sincronizzazione sul telefono
  • esegui all'avvio: si avvia all'accensione del telefono
  • utilizza gli account sul dispositivo: può utilizzare gli account sul telefono, può passare direttamente dall'app dei contatti a WhatsApp se selezioni l'opzione
  • controllare la vibrazione: è importante se hai suddiviso i tuoi contatti in categorie e se alcuni di essi possono disturbarti nonostante la modalità sleep
  • impedire al dispositivo di dormire: il telefono non passa semplicemente in standby quando sei impegnato in una chiamata
  • modificare le impostazioni di sistema: può modificare le impostazioni di sincronizzazione e altre impostazioni
  • Attiva e disattiva la sincronizzazione: può modificare le impostazioni di sincronizzazione e altre impostazioni
  • Installa scorciatoie: Può creare scorciatoie per i contatti sulla schermata iniziale
  • Leggi la configurazione del servizio Google: può visualizzare le impostazioni di Google

Il problema più grande dei permessi

Nelle versioni più recenti di Android, il telefono ti chiederà se vuoi concedere o negare i permessi alle app. Se un'app è ben programmata, la sua funzionalità non ne risente. Puoi comunque visualizzare le foto su Instagram se neghi all'app l'accesso alla fotocamera.

Lenovo P2 (32 GB, Grigio grafite, 5.50", Doppia SIM Ibrida, 13 Mpx, 4G)
Smartphone

Lenovo P2

32 GB, Grigio grafite, 5.50", Doppia SIM Ibrida, 13 Mpx, 4G

Le cose si complicano quando hai lo stesso problema del cliente del negozio. Ha revocato l'autorizzazione all'app Contatti sul P2 per accedere ai dati di localizzazione. L'app si è bloccata immediatamente. Al riavvio, l'app ha chiesto nuovamente l'autorizzazione. Negata di nuovo. Si blocca di nuovo. Riavvia di nuovo. Domanda di nuovo. Il ciclo è infinito. Si tratta di una cattiva codifica da parte di Lenovo sul P2. Dal momento che nel Play Store sono presenti un gran numero di applicazioni per i contatti, sembra che Lenovo abbia rinunciato a sviluppare una propria applicazione per i contatti. Stando a quanto riportato e alle pagine di assistenza Lenovo, Lenovo si affida a Google Contacts al più tardi da maggio 2018.

Il problema del "Sì, vai avanti, OK"

Per quanto Google e gli altri sviluppatori di Android si impegnino per le autorizzazioni, si tratta di un lavoro d'amore. Il motivo è l'utente. Purtroppo, la maggior parte degli utenti non esamina le autorizzazioni. Quando installano un'applicazione, cliccano semplicemente su "Sì", "Avanti", "Consenti" e "OK".

Anche se questo è un comportamento legittimo, non aiuta la situazione generale delle autorizzazioni discutibili. Certo, probabilmente Lenovo non sta tramando nulla di buono se vuole i dati di localizzazione per un'app di contatto. Potrebbe essere una funzione che mostra la distanza di un contatto da te
.
Altre app cercano i tuoi dati o semplicemente utilizzano il tuo comportamento di utente per generare traffico a fini pubblicitari. Un esempio è l'applicazione TouchPal. La tastiera ti bombarda di pubblicità, anche se hai acquistato il Pass Premium "No Ads". I commenti nelle rubriche delle recensioni sono pieni di "Mostra di nuovo gli annunci".

Quindi il mio consiglio: pensa a quali permessi dai alle tue app. Sii prudente e prova cosa succede se non dai i permessi. Meglio meno che più. Se neghi un permesso che rende l'app inutilizzabile, riavvia semplicemente l'app e ti chiederà nuovamente il permesso.

Cosa può succedere se tutto va storto

Per concludere questo articolo, vorrei parlare rapidamente dello scenario peggiore: Se dai troppi permessi a un'app e qualcuno fa qualcosa di brutto con il tuo telefono.

I ricercatori di minacce di Trend Micro hanno messo insieme una galleria dei dodici permessi più abusati.

  1. Localizzazione basata sulla rete: attacchi che hanno una posizione precisa o un'area bersaglio definita. Ad esempio: Se ti trovi in Russia, i criminali possono reindirizzarti verso siti russi che ti vogliono danneggiare
  1. Posizione GPS: utilizzata nella distribuzione di attacchi e malware con un'area di destinazione definita
  1. Visualizzare lo stato della rete: Le app dannose cercano le connessioni di rete esistenti in modo da eseguire altri comandi e routine, tra cui il download di malware e l'invio di messaggi di testo. Le app possono stabilire e terminare le connessioni di rete senza che tu faccia nulla, consumare la batteria e consumare il volume di dati
  1. Visualizzare lo stato WiFi: I criminali possono utilizzare i bug del dispositivo per rubare le password WiFi e introdursi nelle reti che utilizzi
  1. Recuperare le app in esecuzione: i criminali possono rubare le informazioni che passano attraverso le app in esecuzione. Possono anche disattivare le app di sicurezza
  1. Accesso completo a Internet: le app dannose possono comunicare online con i loro centri di comando o scaricare malware
  1. Lettura dello stato e dell'identità del telefono: uno dei bersagli preferiti del malware e delle app che rubano informazioni
  1. Avvio automatico all'avvio: lancia automaticamente un'app dannosa all'accensione del telefono
  1. Controlla la vibrazione: utilizzato quando un'app ha bisogno di tempo per intercettare informazioni da e-mail, messaggi di testo e altri messaggi
  1. Impedisce di dormire: le app dannose utilizzano questa autorizzazione per mantenere il telefono costantemente attivo in modo da eseguire codice dannoso. Questo può anche scaricare la batteria
  2. Modificare/Cancellare il contenuto della scheda SD: i criminali memorizzano copie dei dati rubati sulla scheda SD prima di trasmetterli a un centro di comando. Il malware può anche cancellare foto e altri dati personali presenti sulla scheda di memoria
  1. Invia messaggi SMS: i fornitori di servizi premium possono utilizzare questa autorizzazione per inviare messaggi SMS a pagamento dal tuo telefono a un numero da loro controllato. Questo aumenta la tua bolletta del cellulare e permette loro di comunicare con i centri di comando

La maggior parte di queste autorizzazioni viene utilizzata in modo improprio per consentire ai criminali di abusare del tuo smartphone per la sua potenza di calcolo o per raccogliere informazioni. Solo uno di questi può causarti un danno economico diretto e solo uno può portare alla perdita di dati.

Nonostante ciò: è consigliabile concedere i permessi solo se assolutamente necessario.

A 10 persone piace questo articolo

User Avatar
User Avatar
Dominik Bärlocher
Senior Editor
dominik.baerlocher@digitecgalaxus.ch

Giornalista. Autore. Hacker. Sono un contastorie e mi piace scovare segreti, tabù, limiti e documentare il mondo, scrivendo nero su bianco. Non perché sappia farlo, ma perché non so fare altro.

Smartphone
Segui gli argomenti e ricevi gli aggiornamenti settimanali relativi ai tuoi interessi.
Informatica
Segui gli argomenti e ricevi gli aggiornamenti settimanali relativi ai tuoi interessi.

Potrebbero interessarti anche questi articoli

  • Retroscena

    Le mie app di root preferite per Android 13

    di Martin Jud

  • Retroscena

    Android Q: Google si ferma al livello, ma non rivoluziona nulla

    di Dominik Bärlocher

  • Retroscena

    WhatsApp è morto: quando la tua app preferita diventa una piovra di dati e le alternative

    di Dominik Bärlocher

1 commento

Avatar
later