L ‘ingegneria sociale è sicuramente una minaccia subdola e questo lo sappiamo ma… ci siamo mai fermati a pensare a tutte le volte che abbiamo detto ciecamente sì? 

Ogni volta che installate un programma, accettate un contratto chiamato EULA (ossia contratto di licenza per l’utente finale); di solito scritti in un avvocatese incomprensibile e sono intenzionalmente prolissi. Non mancano gli episodi che narrano di scherzi nascosti in questi accordi EULA (sto guardando te Apple). 

Vediamo quali sono alcuni dei permessi che è possibile dare ad un’applicazione Android e quali possono essere le conseguenze.  

I permessi delle applicazioni 

Quante volte installando un’applicazione avete visto una schermata come questa? 

Si tratta di una richiesta di permesso di un’app che chiede di poter mandare sms in maniera automatica e indiscriminata; se ci pensate bene: che ragione cha un’app come la torcia di chiedere di inviare sms? 

Nessuna. 

Prima di Android Marshmallow tutti i permessi venivano approvati durante l’installazione e l’unico modo di revocarli era disinstallare l’app sospetta. Google, dopo essersi accorta della limitazione, ha concesso la revoca dei permessi anche con app installate e la richiesta d’approvazione in runtime, questo vuol dire che i permessi verranno richiesti alla prima apertura, uno per volta, per scongiurare il rischio di far annoiare l’utente, evitando così un’accettazione alla cieca dei permessi. 

Nel caso il permesso non venga concesso l’app richiederà di nuovo autorizzazione non appena avrà bisogno del suddetto permesso. 

I permessi pericolosi 

Ci sono alcuni permessi che più di altri minano la privacy, la tranquillità e il portafoglio degli utenti. 

Phone 

Audio 

Location 

Contacts 

Camera 

Calendar 

Messaging 

Biometrics 

Cloud Storage 

E la più pericolosa di tutte è draw over other apps. 

Andiamo al dettaglio: 

Phone 

il permesso phone permette all’applicazione di effettuare chiamate senza il permesso dell’utente. Appartengono a questa categoria una serie di altri permessi, fra cui accept_handover, che permette a un’applicazione di continuare una chiamata cominciata da un’altra app. 

Background_location   

A seconda che sia fine o corso permettono all’app di conoscere la vostra posizione esatta o approssimativa. Oltre alle implicazioni relative alla privacy questo può pesare molto sull’autonomia del dispositivo. 

Add_voicemail 

Questo permettere di aggiungere una segreteria telefonica. Pensate agli attacchi phishing, qualcuno vi chiama ma la voce della segreteria da un numero diverso dal vostro a cui chiamare 

Answer_phone_calls 

Piuttosto chiaro, permette all’applicazione di rispondere autonomamente a una chiamata con tutte i rischi del caso. 

Un attaccante potrebbe chiamarvi con un numero premium e voi sareste “costretti a rispondere” 

Call_phone 

Simile a phone ma senza la necessità di passare per l’applicazione telefono (mooolto difficile da individuare a posteriori) 

Camera 

Permette all’app di registrare o scattare foto 

Read_external_storage 

Concede all’applicazione di leggere il contenuto della vostra scheda SD 

Read_sms 

Vi siete mai chiesti come gli attaccanti possano venire a conoscenza dei codici della verifica in due passaggi dei servizi come quelli bancari? Ecco la risposta questo permesso concede all’app la possibilità di leggere i vostri sms esponendo ad in pericolo smisurato 

Record_audio 

Pericoloso un po’ come la telecamera, questo permette al telefono di registrare tutti i suoni che vuole, senza chiedere nulla a nessuno 

Send_push_notification 

Permette all’applicazione di inviare notifiche con contenuto arbitrario, siano esse pubblicità o altro molto, di moda fra le app malevole 

Cloud_storage 

permette l'accesso ai dati conservati nel coud

Menzione speciale: Draw over other apps 

Questa è la più pericolosa di tutte, permette di vedere, registrare, controllare e in alcuni casi modificare cosa ci sia sul vostro schermo. Difficilmente viene richiesto da un’app lecita se non in casi estremamente rari. Assicuratevi che l’app ne abbia veramente bisogno prima di accettarla, dato che consegna il controllo completo del vostro dispositivo ad un potenziale attaccante. 

Tutti i permessi sono pericolosi? 

Non esattamente, alcuni sono indispensabili all’esecuzione della funzione dell’applicazione altrui, servono solo a collezionare dati per fini statistici e di profilazione. 

Effettivamente, una combinazione di questi permessi potrebbe porre i vostri dati a serio rischio. Ad esempio, in questi giorni si stanno diffondendo un gran numero di app che cavalcando onda del successo di una serie televisiva stanno spopolando. Stiamo parlando di app farlocche a tema Squid Game, create in fretta e furia con un ridotto numero di funzionalità e una grafica piuttosto grezza che hanno il solo scopo di essere installate per inondare l’utente finale di banner pubblicitari e rubare informazioni. In questi casi l’attaccante vi sta letteralmente chiedendo di concedergli i vostri dati. Cercate di rispettare il più possibile il principio del minimo privilegio e concedere solo i permessi realmente necessari. Il social engineering è l’arma più potente che possiede un attaccante, molti cadono ogni giorno vittima di questi trucchi, deve far rizzare le vostre antenne la necessita di effettuare telefonate per giocare ad una variante macabra di “un due tre stella”. 

Tweet