Ogni volta che installiamo una nuova applicazione sul nostro smartphone, ci viene chiesto di accettare una serie di autorizzazioni. Un gesto che compiamo distrattamente, spesso senza leggere davvero cosa stiamo concedendo. Eppure, dietro quel tap affrettato si nasconde uno dei rischi più concreti per la nostra sicurezza digitale. Le autorizzazioni rappresentano infatti la chiave d’accesso ai nostri dati più sensibili, trasformando potenzialmente un’innocua app per sfondi o una calcolatrice in uno strumento di sorveglianza o furto. Con l’evoluzione di Android e degli smartphone in generale, le funzionalità richieste dalle applicazioni sono diventate sempre più articolate. Alcune di queste sono legittime e necessarie per il corretto funzionamento: un’app di fotoritocco avrà bisogno di accedere alla galleria, mentre un registratore vocale necessita del microfono. Ma quando i confini vengono superati, quando un gioco richiede l’accesso ai messaggi o un’applicazione per filtri fotografici vuole controllare l’intero sistema, allora è il momento di alzare le antenne.
La questione è particolarmente delicata per gli utenti Android, dove i controlli sono storicamente meno rigidi rispetto all’ecosistema Apple. Su iPhone le app pericolose sono meno numerose grazie a verifiche più severe da parte di Apple, ma anche lì il rischio non è mai completamente azzerato. Un’app malevola può rubare dati personali, informazioni bancarie, intercettare messaggi privati o aprire vere e proprie porte attraverso le quali far entrare virus, trojan e malware di ogni tipo. Tra tutte le autorizzazioni pericolose, quella relativa all’accessibilità spicca come la più insidiosa. Questa funzionalità è stata progettata con le migliori intenzioni: agevolare l’utilizzo del dispositivo a persone con disabilità visive o uditive, permettendo ad esempio di leggere il contenuto dello schermo attraverso un sintetizzatore vocale. Il problema è che, nelle mani sbagliate, diventa uno strumento di controllo totale.
Un’app che ottiene l’autorizzazione ai controlli di accessibilità può osservare tutto ciò che accade sullo schermo, modificare impostazioni di sistema e controllare funzioni del telefono esattamente come se fosse l’utente stesso a farlo. Gli assistenti vocali come Google Assistant utilizzano legittimamente questo permesso per eseguire comandi vocali, ma un’applicazione malevola potrebbe sfruttarlo per intercettare credenziali bancarie mentre effettuiamo un bonifico, leggere conversazioni private su WhatsApp o Telegram, o addirittura eseguire azioni a nostra insaputa. Se un videogioco, un’app di filtri fotografici, una calcolatrice o qualsiasi altra applicazione che non abbia alcuna ragione legittima ci chiede di accedere ai controlli di accessibilità, è un campanello d’allarme che non dovremmo mai ignorare. In questi casi, il consiglio è categorico: negare sempre. Per verificare lo stato di questa autorizzazione su Android, bisogna accedere a Impostazioni, toccare Accessibilità e quindi Menu Accessibilità, controllando lo stato della voce Scorciatoia Menu Accessibilità. Se attiva senza una ragione valida, va immediatamente disattivata. Questi passaggi funzionano sui dispositivi con Android 12 o versioni successive, mentre per versioni precedenti il percorso potrebbe variare leggermente.
L’autorizzazione che trasforma un’app in amministratore del dispositivo è un altro permesso da maneggiare con estrema cautela. Questa funzione conferisce un controllo remoto pressoché totale sullo smartphone: chi la possiede può monitorare ogni attività, modificare password, bloccare lo schermo, accedere a file personali e persino cancellarli completamente. Certo, esistono contesti legittimi in cui questa autorizzazione ha senso. Uno smartphone aziendale fornito dal datore di lavoro potrebbe averne bisogno per questioni di sicurezza, così come la funzione nativa Trova il mio dispositivo di Google la utilizza per localizzare e proteggere il telefono in caso di smarrimento o furto. Ma al di fuori di questi scenari specifici e controllati, concedere questo livello di accesso è come dare le chiavi di casa a uno sconosciuto.
Per controllare quali applicazioni godono attualmente di questo privilegio pericoloso, il percorso è: Impostazioni, poi App e notifiche, quindi Accesso app speciale e infine App di amministrazione dispositivo. Su alcuni dispositivi è possibile cercare direttamente l’opzione dalla barra di ricerca del menu Impostazioni. Le procedure variano in base alla versione di Android installata e alla personalizzazione del produttore, ma questa verifica periodica è fondamentale per prevenire accessi non autorizzati che potrebbero costare carissimo in termini di privacy e sicurezza. Un’altra autorizzazione che dovrebbe far scattare immediatamente un segnale di pericolo è quella che permette a un’app di installare altre applicazioni da fonti esterne al Google Play Store. Il Play Store, per quanto non sia infallibile, rappresenta comunque un filtro importante contro software dannosi. Bypassarlo significa aprire le porte a un territorio selvaggio dove i malware proliferano senza controllo.
Questa autorizzazione può risultare utile in contesti molto specifici: sviluppatori che testano le proprie app, utenti esperti che sanno esattamente cosa stanno facendo, o store alternativi legittimi come quello di Amazon. Ma per la stragrande maggioranza delle persone, non c’è alcun motivo valido per concederla. Un’app che ottiene questo permesso può scaricare e installare virus, trojan, spyware o qualsiasi tipo di software dannoso senza che l’utente se ne accorga, compromettendo completamente il dispositivo. Per verificare quali app hanno attiva l’opzione Installa app sconosciute, il percorso è: menu Impostazioni, sezione App, toccare Accesso speciale per le app e quindi Installa app sconosciute. Qui vengono elencate tutte le applicazioni con le relative autorizzazioni, che possono essere modificate toccando direttamente l’app stessa. Una buona pratica è controllare questa lista periodicamente e revocare il permesso a qualsiasi applicazione che non abbia una ragione lampante e verificabile per possederlo.
La funzione Mostra sopra altre app permette a un’applicazione di visualizzare finestre, notifiche o elementi grafici sovrapposti mentre altre app sono in esecuzione. Facebook Messenger, ad esempio, la utilizza legittimamente per mostrare l’icona della chat fluttuante che permette di rispondere ai messaggi senza abbandonare l’app che stiamo usando. Anche diverse app di note o traduttori sfruttano questa funzionalità per creare widget sempre visibili. Il rischio diventa concreto quando l’autorizzazione viene concessa ad app meno trasparenti. In questi casi, potremmo ritrovarci con fastidiosi banner pubblicitari che compaiono in qualsiasi momento, sovrapponendosi a ciò che stiamo facendo. Ma c’è di peggio: alcune app malevole utilizzano questa funzione per creare schermate di phishing, ossia finte finestre di login che imitano perfettamente quelle di servizi legittimi come banche, email o social network. L’utente, convinto di inserire le proprie credenziali nell’app corretta, le sta in realtà consegnando direttamente ai criminali.
Per vedere quali applicazioni hanno questa autorizzazione, bisogna andare su Impostazioni, toccare App e poi App con accesso speciale, selezionando infine Mostra sopra altre app. Anche qui, la lista mostrerà tutte le app con il permesso attivo, permettendo di disattivarlo per quelle che non hanno una ragione legittima o che semplicemente non usiamo più. L’autorizzazione per accedere agli SMS è un altro permesso da valutare con estrema attenzione. I messaggi di testo contengono spesso informazioni sensibilissime: codici di verifica bancari, conferme di transazioni, link per il reset di password, comunicazioni da servizi importanti. Un’applicazione malevola con accesso agli SMS può leggere tutti questi messaggi, rubare i dati sensibili, intercettare i codici di autenticazione a due fattori (vanificandoli completamente) o addirittura inviare messaggi a nostra insaputa.
Quest’ultimo aspetto è particolarmente insidioso: alcune app infette utilizzano l’accesso agli SMS per iscrivere l’utente a costosi servizi premium a pagamento, facendo lievitare la bolletta telefonica senza che ce ne accorgiamo fino all’arrivo della fattura. Il meccanismo è semplice quanto efficace: l’app invia un SMS a un numero specifico, la sottoscrizione viene attivata automaticamente e l’addebito parte. Per verificare quali app hanno accesso ai messaggi, il percorso standard è attraverso Impostazioni e la sezione App, dove si possono visualizzare tutte le autorizzazioni concesse. Qui vale la regola del buon senso: solo l’app predefinita per i messaggi e eventualmente servizi di backup o sicurezza esplicitamente scelti dovrebbero avere questo permesso. Tutto il resto va revocato senza esitazioni.
La migliore difesa contro le app pericolose è non installarle mai. E per farlo, bisogna imparare a riconoscerle già sullo store, prima ancora di premere il pulsante di download. Google Play Store e Apple App Store forniscono una serie di informazioni preziose che, se interpretate correttamente, possono salvarci da molti problemi. Il primo elemento da verificare è il nome dell’app. Sembra banale, ma moltissime applicazioni malevole si camuffano con nomi molto simili a quelli di servizi famosi, contando sulla disattenzione dell’utente. Se cerchiamo Chrome e troviamo Crome, se vogliamo WhatsApp e vediamo WhatApp, è praticamente certo che si tratti di un fake pericoloso. Questi cloni esistono a migliaia e si rinnovano continuamente, sfruttando errori di battitura comuni o variazioni grafiche quasi impercettibili.
Il secondo controllo fondamentale riguarda lo sviluppatore. Ogni app sugli store riporta chiaramente chi l’ha creata e pubblicata. Se cerchiamo l’applicazione ufficiale di Poste Italiane ma troviamo un’app con lo stesso nome pubblicata da uno sviluppatore che non ha nulla a che fare con l’azienda, magari registrato in un paese esotico, allora è sicuramente un tentativo di truffa. Le app ufficiali di banche, servizi pubblici, grandi aziende hanno sempre sviluppatori verificati e riconoscibili. Il terzo elemento da analizzare con attenzione sono proprio le autorizzazioni richieste. Prima ancora di installare un’app, lo store mostra quali permessi verranno richiesti. Se un’app per sfondi vuole accedere ai contatti, se una calcolatrice scientifica chiede di usare la videocamera, se un gioco vuole leggere gli SMS, c’è qualcosa che decisamente non torna. Nessuna ragione tecnica legittima giustifica queste richieste, e dietro c’è sempre un secondo fine.
