Google e la lotta alle app Android pericolose: i progressi del 2018

14 Febbraio 2019 46

Come ogni anno, Google racconta tutte le nuove misure e tecnologie introdotte nell'anno passato per combattere app dannose e sviluppatori truffatori sul Play Store. Per cominciare, la società ha rinforzato il proprio organico: ha assunto nuovi product manager, esperti di policy, ingegneri e leader; ha sviluppato nuove tecnologie automatiche di rilevamento malware; e ha aggiunto nuove policy per combattere gli schemi inventati di fresco dai malintenzionati.

In concreto, le tecnologie di Google sono state più rapide a rimuovere malware e sviluppatori disonesti, ed è aumentato anche il volume degli interventi: +55 per cento le rimozioni, +66 per cento le sospensioni. In aggiunta, Google Play Protect è arrivato a scansionare oltre 50 miliardi di app installate sui dispositivi degli utenti alla ricerca di comportamenti anomali e pericolosi. La combinazione di tutte queste soluzioni rende le probabilità di danni per i device degli utenti otto volte inferiore se l'app proviene dal Play Store rispetto a fonti esterne.

Google si è concentrata su tre aspetti chiave - aspetti che continueranno ad essere centrali anche nel 2019:

  • Protezione della privacy degli utenti - Google fa sempre più attenzione che le app richiedano solo i permessi strettamente necessari per funzionare correttamente, e da qualche mese ha limitato pesantemente l'accesso a registro chiamate e SMS. Nel 2018 sono state rimosse decine di migliaia di app che richiedevano permessi non necessari - e i ban relativi a chiamate e SMS sono iniziati solo recentemente.
  • Integrità degli sviluppatori - La stragrande maggioranza delle violazioni più gravi (l'80 per cento circa, stima Google) provengono da criminali recidivi, che una volta espulsi creano nuovi account a un altro nome o ne comprano al mercato nero. Google ha rinforzato le tecnologie automatiche che rilevano questo comportamento - tecnologie che comunque vengono sempre supportate da personale umano.
  • Contenuti e comportamenti dannosi delle app - Oltre a continuare a potenziare e affinare gli algoritmi di machine learning, Google sfrutta il feedback e il coinvolgimento degli utenti, e coordina il tutto attraverso revisori umani esperti e addestrati. I malintenzionati continuano a sviluppare tecniche di evasione e offuscamento sempre nuove, per cui la battaglia continua senza sosta.
Tre fotocamere per il massimo divertimento e un hardware eccellente? Huawei Mate 20 Pro, in offerta oggi da Clicksmart a 559 euro oppure da Amazon a 644 euro.

46

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
virtual
Se sicuro che i vincoli chiamate/sms valgano solo per le app del play store?

Così è scritto chiaramente nell'articolo linkato.

cioè come fanno a vietarle solo dallo store e non al livello della API ?

Semplicemente hanno minacciato gli sviluppatori di rimuovere dallo store tutte le app che usano tali permessi a meno che gli stessi sviluppatori non avessero compilato il modulo per richiedere l'esclusione dalla regola. Tanti di quelli che l'hanno compilata poi si sono visti rispondere che non erano "degni" di tali permessi (vedi le app citate precedentemente).

vince

Non so che casi abbia dovuto affrontare Google per vietare delle cose del genere.

Non penso si siano svegliati una mattina ed abbiano deciso a caso.

ps. Se sicuro che i vincoli chiamate/sms valgano solo per le app del play store? cioè come fanno a vietarle solo dallo store e non al livello della API ?
Perché ad esempio mi è sparita l'api per monitorare i processi ed aprire una delle ultime aperte, guardando il package, anche se l'apk la lancio dal pc di sviluppo

virtual
Ma immagino si possa fare una cosa simile con Tasker adesso?

Solo se Tasker verrà ESCLUSO dalla politica dittatoriale di Google. Dalle ultime news PAREVA di sì, ma non c'è ancora certezza. Il termine ultimo è il 9 marzo mi pare.

Per ora è fermo a Nougat/Oreo, ma dovremo trovare un workaround in qualche modo....

Questi limiti valgono per le app sul Play Store. Se invece installi tu l'APK (o usi un altro store tipo F-Droid) tutto funziona come prima.
Ma sei d'accordo che è un provvedimento stupido, inutile e una gran perdita per l'intera piattaforma?

vince

Sulla lista delle chiamate non conoscevo.
Ma immagino si possa fare una cosa simile con Tasker adesso? Cioè imposti che a fine chiamata ti apra l'app note o altra app per tenere traccia manualmente, almeno non ti dimentichi.

Per gli sms invece conosco il problema da vicino, visto che programmo e un nostro cliente importante finora usa gli sms in caso di mancanza di connessione per continuare a trasmettere dati vitali.
Per ora è fermo a Nougat/Oreo, ma dovremo trovare un workaround in qualche modo....

virtual
Insomma, non conterei sull'intervento dell'utente SEMPRE, perché non sempre sa quello che fa.

Non sono d'accordo: allora che facciamo, blocchiamo tutto perché ci sono utenti non all'altezza? Esiste già iOS, al limite.

Ad esempio perché mai un'app dovrebbe accedere alla lista delle chiamate?

Esempio: Call Notes Pro. È un'app che mi consente di associare ad ogni chiamata in arrivo o in uscita (sì perché il permesso blocca anche quelle) ad una nota specifica che poi mi riproporrà al successivo contatto con lo stesso interlocutore.
Oppure Timesheet: un'app che consente di tenere traccia del tempo impiegato nei propri progetti. Ha (anzi, aveva) accesso alle chiamate, opzionalmente, per poter inserire il tempo che uno rimane al telefono con determinati contatti che associ ad uno dei vari progetti (pensa ad esempio ad un libero professionista che dà supporto alle persone).
E poi c'è l'argomento di registrazione chiamate: come listi le registrazioni se non sai a quale numero/conversazione appartengono? Ah beh, ma quelle non le vuole nemmeno Google dato che ha tolto le API da Pie.

Anche l'accesso agli sms è assurdo, al massimo un'app li può inviare e
leggere gli sms, ma solo quelli provenienti da un numero conosciuto

Se leggi bene il documento disponibile, vedrai che Google ha bloccato anche l'invio degli SMS. A cosa servono? Altri esempi.
Glympse: invia la tua posizione a contatti di tua scelta; ora grazie a questa modifica per la mia privacy di Google ogni qualvolta seleziono un destinatario (e possono essere 2 per esempio) viene creato l'intent verso l'app messaggi e devo confermarla per il primo destinatario, poi tornare indietro, quindi viene creato l'intent per il secondo, torno all'app messaggi e lì confermo nuovamente l'invio. Comodo, no? Però ora sono al sicuro dalle app torcia malevole!
Join/EasyJoin: sono app utilizzate per inviare e ricevere SMS da remoto. Nella descrizione delle app è scritto chiaramente che servono a questo eppure Google non le ha accettate come eccezioni perché, sempre secondo lei, non è il "core feature" dell'app. Ah sì? E quale sarebbe sennò?
Cerberus: app che invia SMS con la posizione del telefono in caso di furto e tramite comandi remoti può resettarlo. Anche qui, tagliato.

Dai una letta qui e soprattutto nei commenti e nei link presenti nella pagina per farti un'idea della situazione.
https://www.androidpolice.com/2019/01/05/googles-new-sms-and-call-permission-policy-is-crippling-apps-used-by-millions/

vince

PS. L'altro giorno ho capito che di programmazione e quindi di come funzionano le cose oltre ai bottoni che schiacci non ne capisci granché, quindi porta pazienza e fidati.
Stai sbagliando i fondamentali del funzionamento e dei pericoli reali dati da app che registrano dati extra...

vince
Come può un app che non gestisce quei dati, condividerli?

Ok, non hai letto nè l'articolo nè la mia citazione dove viene spiegato come i dati inseriti nelle app che utilizzano la libreria per registrare ciò che fa l'utente, poi trasmettono questi dati, come ad esempio i dati della carta (numero, codice sicurezza, data scadenza) quando devi pagare oppure le credenziali di PayPal quando le salvi nell'app per poi usarlo come metodo per i pagamenti.

I dati della carta, se l'app è seria, non vengono MAI salvati in locale.

OK. Più di così non so come spiegarmi.

Piuttosto un’app con accesso al sistema (come spesso sono quelle android) può letteralmente prendere dati dal fs e girarli a terzi


Ripeto che le buone app, in locale NON SI SALVA MAI NULLA...né nome né password appunto per la sicurezza.

Se poi intendi che ti rubano i dati di accesso di Disqus allora ok...gravissimo!

sagitt

Come può un app che non gestisce quei dati, condividerli?

Piuttosto un’app con accesso al sistema (come spesso sono quelle android) può letteralmente prendere dati dal fs e girarli a terzi

vince

Dimmi "possono accedere al sistema e fare quello che vogliono",
cosa intendi?

Perché "condividono 2 info a caso" riguardano informazioni su carta di credito, magari accesso a PayPal, etc etc

Se per te è poco.
OK.

sagitt

Quindi stai dicendo che app che condividono 2 info a caso e limitate sono uguali ad app che possono accedere al sistema e fare quello che vogliono?

Ah ok

vince
ma sulla base della reputazione degli sviluppatori.

Pericolosissimo...un'app/sviluppatore sicura in passato potrebbe non esserlo più adesso...

le app Android sono bytecode Java quindi non penso sia impossibile farsi un'idea se i dati vengono caricati in qualche server strano o se rimangono ad uso e consumo dell'app stessa.


Puoi vedere che trasmette dati, ma non quali trasmette, perché i dati in uscita li posso cifrare e decifrare con una chiave che so solo io, sul mio server...

Infine io sono dell'idea che il sistema non deve bloccare ma devono esserci i permessi che l'utente può dare o meno ad ogni app; di default dopo l'installazione dovrebbe essere tutto bloccato e poi mano a mano si aumentano i permessi finché l'app non ottiene la funzionalità voluta dall'utente


E' questo il problema.
Un'app malevola ti dice che neccessita di accedere alla tua rubrica, tu confermi, i tuoi numeri vengono mandati ovunque per poi essere bersagliato dalla pubblicità....

Insomma, non conterei sull'intervento dell'utente SEMPRE, perché non sempre sa quello che fa.

Anche Google ci mette del suo, per esempio per scansionare dispositivi Bluetooth serve il permesso della posizione, cosa che non ha molto senso, ma se i permessi fossero studiati a dovere...


Ecco, anche Google non da il buon esempio.

Secondo me fa bene a limitare l'accesso a qualche dato/funzione.
Ad esempio perché mai un'app dovrebbe accedere alla lista delle chiamate?
Anche l'accesso agli sms è assurdo, al massimo un'app li può inviare e leggere gli sms, ma solo quelli provenienti da un numero conosciuto (es. gli sms di conferma delle banche, devono leggere solo quelli dal loro numero conosciuto)

Insomma, il tema della sicurezza è complicato, perché l'utente alla fine è il punto debole della catena.

vince
sagitt

Qui non sì parla di condivisione di dati a servizi... ma di app che possono fare danni di ogni tipo

virtual

È quello infatti che cercavo di spiegare più in basso. Google in questi casi è veramente "evil" a mio parere.

virtual

Innanzitutto non tagliando le app a caso (come sta facendo Google) ma sulla base della reputazione degli sviluppatori. Poi se vogliono fare un sistema automatico le app Android sono bytecode Java quindi non penso sia impossibile farsi un'idea se i dati vengono caricati in qualche server strano o se rimangono ad uso e consumo dell'app stessa.

Infine io sono dell'idea che il sistema non deve bloccare ma devono esserci i permessi che l'utente può dare o meno ad ogni app; di default dopo l'installazione dovrebbe essere tutto bloccato e poi mano a mano si aumentano i permessi finché l'app non ottiene la funzionalità voluta dall'utente Su Oreo è già così, non vedo perché tagliare le funzionalità! Anche Google ci mette del suo, per esempio per scansionare dispositivi Bluetooth serve il permesso della posizione, cosa che non ha molto senso, ma se i permessi fossero studiati a dovere...

vince

Commento veramente originale e utile.

vince
Dark!tetto

Vorrei far notare ai commentatori qua accaniti che se il Playstore è pieno di schifezze, la situazione non cambia se anche App store lo è. Se poi vi sentite più a posto ok, ma tutto rimane invariato e "denigrando" l'altro non migliora la situaz<ione del="" proprio.="" e'="" comunque="" troppo="" difficile="" mantenere="" tempi="" accettabili="" e="" garantire="" sicurezza="" al="" 100%="">

nicola

No. Anche perché le altre, che in fatto di complessità non sono inferiori, non sono state contestate. Eppoi la cosa deve entrare in vigore, mi sembra, verso aprile.

sagitt

Ma va? Hai scoperto l’acqua calda

sagitt

Ti rendi conto che ciò che scrivi non ha senso?

vince

Non è che è per la storia dei 23/64 bit?

vince

Guarda che questi buchi esistono pure su iOS...ma boh nessuno ne parla

Cioè queste app registravano le interazioni ed i dati inseriti dagli utenti e mandavano in chiaro i dati per l'analisi....ed Apple che ffffa??

https://appleinsider.com/articles/19/02/06/popular-ios-apps-use-glassbox-sdk-to-record-user-screens-without-permission

vince

Hai ragione

https://tecnologia.libero.it/le-app-per-iphone-spiano-gli-utenti-25694

vince
vince

Come avresti risolto la questione?
Cioè mantenere la funzionalità dell'accesso al registro chiamate senza avere problemi di privacy/sicurezza ?

ErCipolla

Ma quelle fuori store sono "ca**i tua" diciamo... non è responsabilità di Google controllare ciò che si carica su servizi di terze parti

Mario&Luigi

Non li fanno semplicemente per qui fanno giornalismo di bassa lega. Non sanno fare veri articoli seri, basti vedere cosa pubblicano. L’unico che si salva è Riccardo. Per il resto è tutto pessimo. Fare l’articolo che vuoi tu vorrebbe dire che dovrebbero documentarsi, leggere e capire prima di pubblicare. Troppo difficile per loro. Inoltre ricordiamo che tutti hanno scritto riguardo ai problemi dei Mac che si piegano e si rovina il display e che il problema non venga riconosciuto. Ma qui nulla, tutto tace da settimane. Più che una testa giornalistica mi sembra una testata di 3° grado

nicola

Io sono un piccolo sviluppatore di app. Google ultimamente ha rimosso una delle mie senza specificarne il motivo, se non con frasi generiche. La app non contiene nessun malware e in anni di permanenza nello store non mi ha fatto guadagnare un euro. È una vera caccia alle streghe!

Claudio

eset ne ha sgamate anche sul app store app che rubavano soldi

Claudio

anchio ho letto quell'articolo inquitante quanti Mac sono stati colpiti, qui fanno articoli di un vecchio rinbambito di apple che va in pensione

MasterBlatter

Strano però non ho visto i vostri articoli al riguardo dei "nuovi" keyloger per rubare su Mac criptomomete e il buco per cui MacOS non controlla i file .exe inclusi nei dmg con cui si può fare girare di tutto

Spam MAX-DEPAS

Stessa cosa successa l'anno scorso nell'app store, devono garantirci sicurezza

Desmond Hume

L'installazione deve rimanere libera anche a fini meramente didattici.

Lupo1

Eh sì, se lo fai sei consapevole, dopo non puoi lamentarti se subentrano dei problemi

sagitt

Sì togliere la spuna “origini sconosciute”

sagitt

Sono un pericolo entrambe

Desmond Hume

E invece viene fuori che spesso sono società terze a sgamare pattume pieno di malware bellamente caricate sullo store.
Dovrebbero girare i maroni anche agli sviluppatori stessi visto che una parte del "pizzo" incassato da google dovrebbe essere destinato al controllo qualitativo dello store stesso.

Moveon0783 (rhak)

Esatto. Google non può tutelarti riguarda a quello che installi fuori dallo store, lì è un problema tuo.
Ma DEVE garantirti qualità per quello che installi da Play Store.

Desmond Hume

io non mi preoccuperei della roba fuori store, quella la installi a tuo rischio e pericolo.

Mi preoccuperei della roba che fanno caricare sullo store pur di far numero.

Desmond Hume

"Google e la lotta alle app Android pericolose"

e niente... fa già ridere così.

virtual
[...] da qualche mese ha limitato pesantemente l'accesso a registro chiamate e SMS.

Sì grazie Google, così ora ogni volta che mando un Glympse mi tocca accettare uno per uno i destinatari del messaggio (dato che l'app non può più inviare SMS di suo) e con ACR non potrò catalogare le chiamate ricevute visto che sempre Google ha bloccato l'accesso al registro delle chiamate.
In sostanza, per bloccare queste "app malevole" installate da qualche persona e in nome della "privacy" (però Facebook e soci non avranno problemi immagino) ora abbiamo tolto funzionalità all'intero sistema.

[...] Google sfrutta il feedback e il coinvolgimento degli utenti [...]

Sì come no, il feedback, ma quale feedback? Che bloccano pure le app utili come quelle che ho citato sopra (o Join, Tasker e compagni)!
Vergogna.

Lupo1

Devi dare i permessi per installare fuori store

Bruce Wayne

Questi numeri sono come quando Salvini si vanta di aver fermano 50 migranti e di aver fatto la voce grossa in Europa.

Simone

OT: Annunciata la data di rilascio di Visual Studio 2019

sagitt

fin quando saranno permesse installazioni (più che giuste) fuori store e fin che lo store è controllato da sistemi automatici il problema persisterà

24 ore con Nokia 9 PureView: 5 fotocamere ma...

Huawei P30 e P30 Pro ufficiali: video anteprima

Recensione Samsung Galaxy S10e: ecco perchè lo preferisco ad altri

Android Q: tutte le novità in costante aggiornamento | VIDEO