Quello dei malware nascosti nelle app pubblicate sul Google Play Store sta diventando un problema sempre più serio e dalle dimensioni sempre più preoccupanti. Le società di cybersicurezza ne scoprono e ne segnalano a Google, che provvede a rimuoverle non sempre in modo tempestivo, centinaia ogni anno e la domanda che ormai si fanno tutti è: come fanno queste app a passare i controlli pre-pubblicazione sul Play Store?
La risposta è semplice: sempre più spesso le app non contengono il malware al loro interno, ma lo scaricano e lo azionano successivamente. Questo rende difficile persino a Google capire se una app contiene un virus. Cosa dovrebbe fare allora l'utente, per tutelare la propria privacy e la propria sicurezza? In teoria non può far nulla, ma in pratica può mettersi (almeno un po') al sicuro analizzando bene l'app prima di scaricarla.
Come fanno le app a passare i controlli
Partiamo da un presupposto: sempre meno spesso il codice pericoloso è inglobato direttamente in quello dell'app che l'utente scarica. La maggior parte delle volte viene scaricato poco dopo l'installazione dell'app, che procede a fare il download di file apparentemente innocui ma in realtà infetti. E da questi file parte l'infezione. Altre volte la tattica è diversa: si induce l'utente a scaricare una app assolutamente innocua e, quando la base degli utenti è abbastanza corposa, si inserisce il malware in uno degli aggiornamenti dell'app. Gli utenti, che hanno usato per settimane o addirittura mesi l'app senza problemi, accettano di scaricare gli aggiornamenti e si ritrovano lo smartphone infetto.
Come capire se una app è sospetta
Per capire se una app è rischiosa bisogna ragionare al rovescio: dare per scontato che tutte le app possano esserlo e, di conseguenza, tutelarsi prima del download. Dando per scontato che tutti dovremmo usare un buon antivirus mobile, la prima cosa da fare è senza dubbio chiederci chi è lo sviluppatore: è sempre visualizzato sotto il nome dell'app e possiamo cercarlo su Google. Se il nome di questo sviluppatore è già legato ad app che in passato hanno dato problemi, allora evitiamo di scaricare l'app.
La seconda cosa da controllare molto bene è la lista delle autorizzazioni richieste dall'app: spesso molte autorizzazioni sono del tutto superflue per lo scopo che l'app dichiara di avere. Per quale motivo una beauty-app di fotoritocco dei selfie dovrebbe avere bisogno per funzionare dell'accesso al microfono o alla posizione GPS? Per nessun motivo, ma se gliele concediamo potrebbe usarle successivamente per spiare il nostro comportamento e rubarci dati personali.
E qui c'è un altro campanello d'allarme al quale fare attenzione: alcune app adottano la strategia di non chiedere permessi eccessivi subito, ma di chiederli in seguito dopo un aggiornamento (che probabilmente contiene un malware). Se per mesi abbiamo usato una app e l'abbiamo aggiornata, ma non ci è mai stato chiesto di aggiornare anche le autorizzazioni, qualora ciò dovesse succedere da un momento all'altro ci sarebbe di sicuro qualcosa che non va.
Attenti alla privacy policy
C'è poi una ulteriore questione da analizzare con attenzione: la privacy policy. Non tutte le app contengono malware, ma ciò non vuol dire che una app "pulita" non possa essere considerata "pericolosa". Il pericolo, in questo caso, è che sia stata sviluppata con lo scopo principale di raccogliere i nostri dati per poi rivenderli a nostra insaputa. Di solito queste app richiedono più autorizzazioni di quante siano realmente necessarie (vedi sopra, il discorso è identico) e hanno privacy policy alquanto sospette.
La prima cosa che non va in una privacy policy è la sua complessità: più è lungo e complesso il documento, meno utenti avranno la pazienza di leggerlo, più utenti lo accetteranno senza neanche averlo letto. È il caro vecchio principio del TLDR. La seconda cosa che non va in una privacy policy è qualsiasi tipo di consenso implicito. Definizioni come "L'utente, usando l'applicazione, accetta A, B, C...". Ma "usando l'applicazione" vuol dire tutto e niente, quindi di fatto lo sviluppatore si accaparra un consenso implicito a fare dei nostri dati ciò che vuole. La terza cosa che non va in una privacy policy è la politica di monetizzazione dell'app: ogni espressione generica relativa alla raccolta di dati finalizzata all'erogazione di annunci personalizzati, se non meglio dettagliata, va considerata come pericolosa.