Un pupazzo con le sembianze di Android con biscotti Oreo, che è anche il nome dell’ultima versione del sistema operativo per smartphone e tablet di Google.

Siamo spiati. Abbiamo già visto come grandi compagnie quali Google, Facebook o Amazon e molte altre sanno troppo dei propri utenti, il problema è che molte volte sono gli stessi consumatori a non avere idea di essere intercettati. Ci sono diverse misure che possono essere prese per minimizzare i rischi, anche se Google cerca sempre di più di massimizzare i dati raccolti dalla sua sconfinata utenza. In questo senso la linea di demarcazione tra i colossi della tecnologia e chi colleziona illegalmente dati per il proprio tornaconto si fa sempre più sottile.

Google sa dove ti trovi, sempre

Non volete consentire a Google di conoscere la vostra posizione spegnendo il GPS? Non servirà. il colosso di Mountain View può sapere dove vi trovate anche con il Gps spento su Android. Tutto parte dalle lunghissime e noiose policy che ogni utente accetta quando si imposta un nuovo smartphone o tablet Android, qui un breve riassunto su come Google individua la propria posizione per “migliorare la precisione”: in sostanza grazie all’indirizzo IP, GPS , Wi-Fi e altri sensori che possono fornire a Google dati sui dispositivi nelle vicinanze come le torri cellulari.

L’utente può fornire la propria posizione a Google attivando semplicemente il GPS o l’A-GPS assistito quando è attiva la rete mobile, per usare app di navigazione come Maps. L’utente a questo punto potrebbe spegnere il tracciamento assistito, ma comunque il GPS invierebbe a Google i dati della nostra posizione. A questo punto non resta che disabilitare il GPS, che in teoria dovrebbe interrompere il segnale.

Il problema è che da gennaio 2017 Google, senza comunicarlo a dovere, può conoscere comunque la posizione dell’utente Android sfruttando la triangolazione delle torri cellulari, incrociando le coordinate anche se non c’è nessuna scheda SIM inserita nello smartphone, per questo basta anche solo il Wi-Fi, che sostituisce sia il GPS che l’A-GPS. Morale della favola: anche se avete uno smartphone senza Sim, con Gps spento e non state usando nessuna app la vostra posizione è comunque tracciata.

Google dice di adottare questo metodo per assicurare una migliore ricezione delle notifiche, come per esempio quelle sul traffico delle strade in prossimità dell’utente, anche con GPS spento. A parecchi sarà capitato di ricevere notifiche su Android che recitano “ecco i luoghi più interessanti nelle vicinanze”, solo che magari chi ha il GPS spento queste notifiche vorrebbe non riceverle.

Il colosso di Mountain View ha anche risposto alle accuse con una dichiarazione ufficiale:

“Per far sì che le notifiche vengano ricevute rapidamente gli smartphone Android utilizzano un sistema di sincronizzazione di rete che richiede l’uso di codici nazionali – Mobile Country Codes (MCC) e codici di rete Mobile Network Codes (MNC). Nel gennaio di quest’anno, abbiamo iniziato a esaminare l’uso dei codici di identificazione cellulare (Cell ID) come segnale aggiuntivo per migliorare ulteriormente la velocità e le prestazioni di consegna dei messaggi”.

Come sempre la questione è tra comodità/servizi e privacy: anche se Google conferma tutto ciò che emerso, ha dichiarato che questi dati non sono stati né usati né immagazzinati e teoricamente non consentirebbero l’accesso al dispositivo a malintenzionati. Teoricamente, perché è pur sempre un canale di comunicazione sempre aperto.

Audio e video registrato a tua insaputa su Android

A tal proposito una nuova ricerca svela come i criminali informatici possono entrare su un dispositivo Android e registrare audio e video all’insaputa dell’utente. I ricercatori di MWR Labs hanno dato l’allarme riguardo una falla di Android che potrebbe aprire le porte a malintenzionati. Gli smartphone affetti sono quelli con Android Lollipop, Marshmallow e Nougat, cioè le versioni 5, 6 e 7 del sistema operativo di Google.

Facendo due conti e guardando il market share delle varie versioni di Android, si può dire che quasi l’80% degli smartphone in tutto il mondo sarebbe a rischio.

La vulnerabilità è stata trovata nel servizio MediaProjection, che nel pratico serve a catturare l’audio e il video a schermo dell’utente. Questo servizio è attivo su Android praticamente dalla sua nascita, ma prima per le app dovevano avere i permessi di root (cioè l’accesso senza limiti al sistema, similmente a quando si diventa amministratori del sistema Windows) e la chiave di sblocco del dispositivo per registrare audio e video. Questo significa che in passato solo le app di sistema distribuite dagli Oem (cioè produttori come Samsung, Asus e molti altri che si appoggiano su Android), potevano avere accesso a MediaProjection.

Google ha pensato bene di aprire il servizio MediaProjection a tutti col rilascio di Android 5.0 Lollipop e da lì in poi le app non devono più chiedere agli utenti l’autorizzazione all’uso di questo servizio alquanto intrusivo. L’unico avviso che Android fornisce è un pop-up a schermo che avvisa l’utente quando l’app vuole registrare audio e video, ed è proprio in questo momento che possono subentrare gli hacker.

Come fanno? Semplicemente intercettando questo avviso e sovrapponendo una nuova schermata al pop-up di sistema originale, camuffandosi da messaggio di sistema. L’utente clicca sul pop-up finto e gli hacker possono avere le sue registrazioni audio e video: si chiama “tap-jacking” e non è certo una novità per chi sviluppa malware su Android.

Google ha risolto il problema solo in Oreo, l’ultima versione rilasciata del sistema operativo. C’è un solo un piccolissimo problema: Oreo è installato attualmente sullo 0,3% degli smartphone in tutto il mondo, guardate invece quanti smartphone hanno Lollipop, Marshmallow e Nougat.

Le diverse versioni del sistema operativo Android con la base installata.

Si chiama frammentazione ed è un problema che affligge Android dalla sua nascita, proprio per come è stato concepito. Google mette a disposizione Android agli Oem, che a loro volta applicano determinate personalizzazioni. TouchWiz per Samsung, Emotion Ui per Huawei e così via: tutto questo ritarda di mesi l’uscita di importanti aggiornamenti su milioni di smartphone che non siano strettamente di Google (quelli con Android detto “stock”), da qui la cifra ridicola di Oreo. La conseguenza è che le versioni vecchie di Android, parliamo di un anno, potrebbero nel tempo essere lasciate indietro anche riguardo importanti aggiornamenti di sicurezza, come per esempio questa vulnerabilità presa in esame.

Dopo il polverone il colosso di Mountain View prenderà provvedimenti e gli smartphone Android non invieranno più dati sulla posizione degli utenti a Google tramite la triangolazione delle torri cellulari. La frammentazione e i rischi per la sicurezza di milioni di utenti Android però sono qui per restare.