App Android accedono ai dati senza permesso

Le ultime versioni di Android permettono agli utenti di gestire meglio i permessi concessi alle app. I ricercatori dell’International Computer Science Institute (ICSI) hanno tuttavia scoperto che oltre 1.000 app eludono i controlli del sistema operativo e accedono ai dati presenti sullo smartphone. Google ha promesso di risolvere il problema con Android Q.

Lo studio ha interessato oltre 88.000 app pubblicate sul Google Play Store. I ricercatori hanno verificato come i dati vengono trasferiti dalle app quando l’utente nega i permessi, utilizzando sia l’analisi dinamica (comportamento a runtime) sia l’analisi statica (scansione del codice). Oltre 1.300 app sfruttano due tecniche che permettono di eludere il modello dei permessi: side channel e covert channel. La tecnica side channel consente di accedere alle informazioni in modi non previsti dal meccanismo di sicurezza. L’app Shutterfly, ad esempio, invia al server le coordinate GPS presenti nei metadati EXIF delle foto anche se l’utente ha negato il permesso di accedere alla posizione dello smartphone. Un portavoce ha smentito tutto.

La tecnica covert channel viene invece sfruttata per passare i dati da un’app all’altra. Ciò è possibile perché le due app utilizzano lo stesso SDK. Ad esempio, alcune app di Samsung e Disney possono leggere il codice IMEI memorizzato in una cartella nascosta sulla microSD, nonostante l’assenza del permesso di accesso a questo dato.

I ricercatori hanno fornito i dettagli dello studio a Google e alla FTC. L’azienda di Mountain View migliorerà la gestione dei permessi nella prossima versione del sistema operativo. In Android Q non sarà possibile leggere il codice IMEI e la funzionalità Scoped Storage impedirà alle app di leggere l’informazione sulla posizione dalle foto. Purtroppo molti smartphone non riceveranno l’aggiornamento, quindi sarebbe più corretto rilasciare una patch di sicurezza per Android 9 Pie.