Sui sistemi Android sono disponibili degli speciali permessi
di accessibilità. Peccato che alcune app li usino per rubare password…
DOWNLOAD Advanced Permission Manager
Nel 2014 i ricercatori della società di sicurezza informatica F-Secure, in collaborazione con l’Europol, hanno realizzato un esperimento sociale nelle strade di Londra: hanno offerto degli hotspot Wi-Fi gratuiti. Il fatto è che per poter utilizzare la connessione era necessario accettare un contratto d’uso, che veniva visualizzato automaticamente all’inizio della connessione tramite una pagina Web. E, in tale contratto, era necessario accettare esplicitamente la “clausola Erode”, secondo la quale in cambio della gratuità del Wi-Fi le persone avrebbero dovuto consegnare all’azienda il proprio figlio maggiore. L’esperimento è stato interrotto dopo poche ore, perché aveva già avuto successo: diverse persone avevano accettato la clausola perché non l’avevano letta.
Tra l’altro, il contratto sarebbe stato legalmente vincolante, anche se l’azienda ha ovviamente dichiarato che non avrebbe fatto valere la clausola. Questo ci fa capire quanto gravi possano essere le conseguenze di sottoscrivere un contratto senza averlo letto. In realtà, tutti sappiamo che non si dovrebbe mai firmare qualcosa senza aver letto con attenzione il contenuto: il problema è che si tratta di un’attività talmente noiosa che c’è il rischio di addormentarsi prima di raggiungere la fine del primo paragrafo! Questo linguaggio eccezionalmente lungo e formale ha costretto gli utenti ad abituarsi all’idea di accettare i contratti senza leggerli, per risparmiare tempo, tanto che nel corso degli anni ci siamo abituati talmente tanto che ormai si tende a non leggere nemmeno qualche breve e semplice nota, nemmeno un minuscolo popup con poche parole che ci mettono in guardia.
Un semplice popup
L’esempio più pericoloso è forse quello dei dispositivi mobili, gli smartphone e i tablet. Non ci pensiamo, ma ormai in questi dispositivi riponiamo dati estrema- mente importanti come fotografie private, elen- chi di password e codici di carte di credito molto più frequentemente di quanto facciamo con un computer da scrivania. Un sistema operativo mobile come Android è costruito con una struttura a “scompar- timenti”. Un’app non può infatti accedere automaticamente a qualsiasi informazione: deve richiedere dei permessi. Per esempio, un’app che vuole utilizzare il microfono deve essere autorizzata. La richiesta dei permessi avviene durante la fase di installazione: quando troviamo un’app su Google Play, al momento dell’installazione ci viene presentata con un piccolo popup la lista dei permessi da assegnarle e dobbiamo confermarla per procedere. Se i permessi ci sembrano troppi o ingiustificati, possiamo rifiutare l’installazione dell’app. Il problema, ovviamente, è che ormai siamo talmente abituati ad accettare tutto senza leggere che la maggioranza degli utenti accetta tutte le richieste di permessi da parte di qualsiasi app. Ed è un problema molto più grosso di quello che si potrebbe immaginare. Ci siamo mai chiesti perché quella app gratuita per il meteo chieda l’accesso non solo alla nostra posizione GPS (cosa logica per le previsioni meteorologiche) ma anche all’account e-mail, al numero di telefono e a file e cartelle? Perché con queste informazioni è possibile scoprire le nostre abitudini e gli interessi personali. E quindi è più facile fornirci la pubblicità su misura per i nostri gusti. Queste app sono di fatto strumenti di spionaggio che controllano le nostre informazioni private per poi venderle alle aziende che si occupano di produrre e distribuire la pubblicità. È una violazione della nostra privacy, ma è perfettamente legale. Perché? Perché glielo abbiamo permesso: siamo stati noi a garantire all’app i vari permessi con cui può accedere alle informazioni personali, semplicemente cliccando OK senza nemmeno leggere durante l’installazione. Ma c’è di peggio.
Le funzioni di accessibilità
La sottrazione di informazioni personali per utilizzi pubblicitari è un problema, molto affine a quello dei cookie dei siti Web, ma nel complesso non eccezionalmente grave: non ci sottraggono denaro e non minacciano la nostra vita, al massimo ci possono imbarazzare. Recentemente, però, i ricercatori dell’università della California e del Georgia Institute of Technology hanno dimostrato, nel loro progetto chiamato Cloak&Dagger, che utilizzando alcuni particolari permessi è possibile fare molto di più.
Si tratta dei permessi di accessibilità: in informatica quando si parla di accessibilità ci si riferisce a strumenti che semplificano l’utilizzo di un programma per persone con disturbi alla vista, udito, e tatto. Per esempio, una persona daltonica potrebbe non riuscire a distinguere scritte, immagini e pulsanti sullo schermo di uno smartphone perché i loro colori sono troppo simili: quindi è necessario poter cambiare i colori in modo da renderli più facili da distinguere. Esistono diversi strumenti che Android offre per inserire nelle proprie applicazioni un aiuto a persone con qualche tipo di disabilità. Uno dei permessi di accessibilità più spesso richiesti dalle applicazioni Android si chiama in gergo tecnico SYSTEM_ALERT_WINDOW e permette la sovrapposizione di un livello trasparente sopra un’altra applicazione.
Per fare un esempio pratico, si può creare un’applicazione che, una volta aperta di per sé stessa non fa nulla di speciale, se non fare comparire sopra all’interfaccia di altre app una tastiera numerica gigante semitrasparente, per aiutare gli utenti a digitare il PIN di una carta di credito, visto che con la piccola tastiera virtuale predefinita di Android potrebbero avere difficoltà. Oppure, si può semplicemente far comparire per qualche secondo a tutto schermo il numero o la lettera che è appena digitati sulla normale tastiera, così si ha una conferma di ciò che si sta scrivendo. Come abbiamo intuito, questo significa che sfruttando questo livello trasparente in sovra impressione, una applicazione “cattiva” può interferire con altre applicazioni “buone” leggendo i dati che l’utente inserisce e magari, oltre a realizzare davvero un servizio come la visualizzazione a tutto schermo, può poi ovviamente tenere per sé stessa quei dati e magari mandarli al suo produttore.
Insomma, si tratta di un perfetto keylogger: un utente ignaro installa un’applicazione senza rendersi conto di avere accettato (tra gli altri) questo particolare permesso. Sfruttandolo, l’app crea un proprio livello trasparente sopra a tutte le altre app, così quando l’utente apre ad esempio l’app di PayPal e inserisce la propria password, l’app “cattiva” riesce ad intercettare i tasti premuti dall’utente e quindi a scoprire la password. A quel punto l’app malevola non deve far altro che inviare al proprio autore la password PayPal dell’utente che si ritroverà col conto in banca svuotato! Altri permessi di accessibilità offrono ulteriori strumenti ai pirati, perché permettono di ottenere un vero e proprio controllo su altre app e addirittura su Google Play (quindi la possibilità di rimuovere o installare applicazioni a proprio piacere).
E tutto questo può avvenire sul dispositivo di un utente che ha installato l’applicazione malevola con i permessi di accessibilità senza nemmeno averne davvero bisogno, perché magari non ha alcun disturbo ai sensi: soltanto perché nella fretta non si è preso due secondi per leggere l’elenco dei permessi richiesti dall’app e domandarsi se davvero tutte quelle autorizzazioni fossero necessarie.
LEGGI ANCHE Whatsapp spiato dal pc e smartphone