È difficile fidarsi ciecamente della riservatezza delle app che installiamo nello smartphone. Anche quando diamo istruzione ad un’applicazione di non tracciare le nostre attività o di non accedere ai contatti o altre limitazioni, non c’è un modo semplice per verificare che i limiti siano rispettati. Non c’è nemmeno certezza che una app affidabile fino a oggi, da domani non lo sia più, nel tempo le app vengono aggiornate e subiscono modifiche o cambi di proprietà, i controlli degli “store” non possono garantire sicurezza al cento per cento (come si è visto nel celebre caso del furto tramite cryptocurrency wallet app). I nostri dati spesso sono distribuiti in diverse aree di memoria in cloud e molto spesso se ne perde il controllo. Se non si può fare molto in caso di violazione dei dati di un fornitore di servizi cloud, ci sono delle semplici attività che elevano il livello di protezione dei nostri dati raccolti dagli smartphone.
1. PASSWORD MANAGER
Per evitare di riutilizzare la stessa password (o password simili) per più servizi, l’uso di un password manager è quasi indispensabile. Una password robusta deve essere abbastanza lunga (indicativamente almeno 12 caratteri) e deve essere composta da una sequenza casuale di caratteri, numeri e simboli. Una password non riconducibile a termini presenti in un dizionario o a nostre caratteristiche personali (es. la data di nascita) è molto difficile da trovare con attacchi “brute force”, ma è anche difficile da ricordare. Un password manager archivia le nostre password in un’unica app cifrata. La stessa app può anche generare password robuste per i nostri account online e ci permette di memorizzare password diverse per i diversi account. Le principali app di questo tipo possono anche essere configurate in modo da autocompletare i campi “username” e “password” in un sito o in un’altra app nel momento in cui dobbiamo accedervi.
2. AUTENTICAZIONE A DUE FATTORI
Quando accediamo ad un’app o un account veniamo identificati tramite lo username e autenticati tramite la password. L’autenticazione tramite la sola password oggi non è più sufficiente per garantire la sicurezza delle nostre informazioni, quantomeno se parliamo di account che contengono molti dati e/o informazioni critiche (ad es. gli account email, gli spazi di memoria in cloud ecc…), perché troppi sono i rischi di violazione delle nostre password. L’autenticazione a due fattori aggiunge alla password (ovvero l’informazione che conosco solo io) un secondo fattore di autenticazione, ovvero una OTP (one time password) generata da un oggetto che ho solo io, perché l’otp viene inviata via sms al mio numeto di telefono o, ancora più sicuro, generata da una app che può essere installata solo sul mio telefono. A breve i servizi cloud di Google e Microsoft imporranno l’uso dell’autenticazione a due fattori ai propri utenti. La procedura per attivare la generazione delle OTP è simile per tutti i servizi che ne permettono l’utilizzo e l’OTP può essere visualizzato, oltre che via SMS, tramite le applicazioni chiamate “Authenticator”. A questo LINK si trovano le istruzioni per proteggere l’account Google con l’autenticazione a due fattori.
3. BLOCCO SCHERMO
Attivare sullo smartphone un blocco dello schermo con impronta digitale o altro dato biometrico o con un codice di almeno 6 cifre non facile da individuare e verificare che sul sistema del telefono sia attivo il blocco dopo un certo numero ti tentativi falliti. Meglio evitare lo sblocco tramite “traccia” sul monitor, troppo facile da spiare, e i codici di sblocco che fanno riferimento a nostri dati personali (data di nascita o simili). Perdere un telefono faciile da sbloccare rischia di annullare tutte le altre sicurezze messe in atto sui vari account.
4. USARE UNA VPN CON RETI WI-FI PUBBLICHE
Le reti Wi-Fi pubbliche espongono al rischio di intercettazione delle informazioni che scambiamo tramite la rete. In più, quando mi collego ad una Wi-Fi pubblica, non ho certezza che si tratti di una rete autentica o di un servizio truffa con un nome contraffatto, è molto facile configurare un hotspot con un nome rassicurante (ad esempio quello di un ente pubblico) per indurre persone a collegarsi. Se non si può utilizzare la propria rete dati mobile, il collegamento a una Wi-Fi pubblica deve avvenire con la preventiva attivazione di una VPN (Virtual Private Network). La VPN si può attivare scaricando una app e attivando un account con il fornitore del servizio. Negli app store si trovano molti servizi di questo tipo, ma le VPN affidabili solitamente non sono gratuite o offrono gratuitamente un traffico dati giornaliero limitato. Meglio informarsi prima sulla qualità del servizio e della app che stiamo per utilizzare. A questo LINK si trovano informazioni utili su alcuni servizi.
5. ATTENZIONE AI PERMESSI RICHIESTI DALLE APP
Quando installiamo una app sul telefono, uno dei passaggi chiede se autorizziamo l’applicazione ad accedere a determinate risorse o dati presenti del dispositivo (ad esempio microfono, fotocamera, geolocalizzazione, contatti…). Nel corso dell’installazione verifichiamo se la richiesta ha senso. Ad esempio, se installo una calcolatrice e la app mi chiede il permesso di accedere ai contatti, devo negare il permesso. Se le richieste sembrano strane o eccessive, prima di installare è bene cercare informazioni sull’applicazione e sullo sviluppatore (vedi il successivo punto 8).
6. AGGIORNARE IL SOFTWARE
Quasi tutti gli aggiornamenti del sistema operativo di uno smartphone sono rilasciati principalmente per chiudere falle di sicurezza. È bene impostare il sistema in modo che gli aggiornamenti vengano scaricati e installati automaticamente. Anche per le app vale lo stesso criterio, meglio fare sì che gli aggiornamenti vengano installati non appena disponibili.
7. SCARICARE APP SOLO DAGLI STORE UFFICIALI
Anche se il Google Play Store e l’App Store di Apple non contengono app sicure al 100%, le app da installare sullo smartphone devono provenire dagli store ufficiali. Scaricare e installare una app proveniente da una fonte sconosciuta aumenta molto il rischio di infezione del nostro dispositivo.
8. VERIFICARE L’AFFIDABILITÀ DELLE APPLICAZIONI
Premesso che nessun metodo di verifica darà la certezza sull’affidabilità di un’applicazione, ci sono dei controlli preliminari che possono aiutare ad evitare rischi. Ad esempio, si può provare a verificare l’affidabilità di uno sviluppatore guardando le app che ha pubblicato, da quanto sono pubblicate, quante volte sono state scaricate, quante recensioni hanno e il livello delle recensioni. Il livello di guardia deve essere più alto in caso di applicazioni recenti, con scarsi volumi e pubblicate da sviluppatori che non hanno altre app nello store. Si può fare anche una ricerca su Internet sullo sviluppatore e sui suoi lavori e una ricerca con il nome della app assieme alle parole “scam” o “data breach” per controllare se non siano già noti episodi dubbi associati all’applicazione. Meglio evitare di affidarsi al rating delle applicazioni come unico parametro di valutazione, i rating possono essere falsi (specie se sono pochi).