Sicurezza e privacy cellulari contro lo spionaggio

FONDAMENTALI
a) Da anni si discute su quale sia la soluzione migliore per proteggere l'accesso al cellulare: protezione biometrica (es. l'impronta digitale) o password blocca schermo? Probabilmente il livello di sicurezza delle due soluzioni è simile. Quindi la scelta va fatta considerando che ogni soluzione mitiga rischi diversi in contesti diversi. Ad esempio per impedire controlli da parte di persone vicine la protezione biometrica è sconsigliata, perchè espone al rischio di subire costrizioni fisiche per sbloccare il cellulare oppure al rischio di sblocchi quando si dorme o non si ha piena coscienza. Invece la password blocca schermo può essere variata infinite volte e risiede nella mente. Se hai scelto di proteggere l'accesso al tuo cellulare con la password blocca schermo, ovviamente il primo accorgimento è variarla. Raccomandiamo in ogni caso di impostare il blocco schermo automatico dopo max. 30 secondi di inattività del cellulare.
b) Ora entra nelle impostazioni Sicurezza degli account Google/AppleID, varia la password degli account e attiva la verifica in due passaggi (detta anche autenticazione 2FA a due fattori). Nell'AppleID attiva la protezione avanzata (crittografia end-to-end).
c) Un ulteriore accorgimento fondamentale è variare le password di accesso ai siti internet più sensibili (social, servizi aziendali, banking, SPID, siti di incontri, cloud, ecc.). Finchè permangono sospetti di spionaggio ti consigliamo di sospendere la sincronizzazione delle password e di non confermare il salvataggio delle nuove password in Google Password, nell'iCloud e nei gestori password dei browser. Per gestire le password salvate nell'account Google l'accesso diretto è qui. Mentre in Iphone puoi trovare le password salvate tramite i menù 'Salvato su Icloud' o 'Password e portachiavi'.
d) Custodisci con cura il cellulare e le nuove password. Scegli delle nuove password non facili da indovinare e non usare la stessa password per diversi servizi. Non digitare le password in ambienti a rischio microcamere nascoste (è l'escamotage più in voga per individuare le password, vedi esempio) oppure sotto telecamere per videosorveglianza.

PROTEZIONI
a) Quando si sospettano controlli indesiderati è opportuno proteggere l'accesso alle App più sensibili con un'ulteriore password (messaggistica, social, mailing, ecc.). Questa sarà davvero una brutta sorpresa per chi accede di nascosto al tuo cellulare. In Android puoi usare Norton AppLock o Avast. Ma varie App hanno già questa funzione integrata (es. il Blocco App di WhatsApp e il Passcode di Telegram). E' sufficiente attivarla.
b) In molti cellulari Android c'è una potente funzione per proteggere la privacy: il secondo spazio (detto anche modalità ospite o spazio privato). E' quasi un secondo cellulare nascosto, che in molti casi può essere protetto con una password blocca schermo diversa dalla principale. Aggiungiamo che le App spyphone di solito non riescono a spiare il secondo spazio. E' quindi di un'opportunità interessante se ritieni che il tuo cellulare sia in qualche modo controllato. Per Iphone ci si deve accontentare di Dual Space, che consente solo l'uso di diversi account (es. due WhatsApp).

DATI E COMUNICAZIONI
a) Entra nelle impostazioni privacy degli account Google/Apple, sospendi le numerose raccolte dati e cancella il regresso. Es. per Google: cronologie, spostamenti (timeline), luoghi preferiti e luoghi visitati, attività Web e App, ricerche in internet, Youtube, ricerche vocali, annunci personalizzati, personalizzazioni ricerche. A conferma del fatto che non stiamo parlando di spionaggio da dilettanti, ci sono evidenze ufficiali che questi dati sono molto ricercati anche dalle forze dell'ordine di mezzo mondo (in questi casi accedono prevalentemente ai server di Google, ma la sostanza informativa non cambia). Nei menù 'Sicurezza' e 'Dati e privacy' dell'account Google verifica numeri telefonici, dispositivi, App e servizi autorizzati ad accedere all'account: è molto importante che siano da te riconosciuti. Dedica attenzione anche al salvataggio automatico dei contatti: per l'account Google l'accesso è qui, mentre per l'ICloud l'accesso è qui.
b) Nel menù 'Impostazioni' > 'Account e sincronizzazione' di Android cancella gli account che non riconosci e sospendi le sincronizzazioni non indispensabili (es. Contatti, Google Drive, Dettagli persone). Per Iphone invece gli account e le sincronizzazioni si gestiscono prevalentemente entrando nelle impostazioni delle App interessate.
c) Evita di parlare di questioni sensibili tramite normali telefonate, SMS e le App più comuni. Cerca di preferire Signal o al limite Telegram.
d) In WhatsApp disattiva le spunte blu (conferme lettura) e lo stato online (ultimo accesso) per non evidenziare i tuoi orari e le tue abitudini a osservatori esterni. Verifica inoltre che non sia attiva la funzione Dispositivi collegati (nota anche come WhatsApp WEB): se non hai protetto l'accesso a WhatsApp con la funzione 'Blocco App', 'Dispositivi collegati' è attivabile in pochi istanti da chiunque riesca ad accedere al cellulare. Dopodichè il controllo nascosto delle chat avviene a distanza senza limiti di tempo. Nelle impostazioni della App WhatsApp verifica che tutte le notifiche siano attive: questo ti metterà al riparo anche da eventuali attivazioni nascoste della funzione 'Condivisione della posizione in tempo reale' offerta da WhatsApp. Nel menù Backup delle chat verifica che il backup crittogratato end-to-end sia attivo. Alcune funzioni simili ci sono anche per Telegram.
e) Finchè permangono sospetti di controlli indesiderati, è meglio sospendere o limitare l'uso dei cloud integrati con Android e Ios (Google Drive e iCloud) per archiviare i files più sensibili. Questi files sono infatti visibili a chiunque riesca ad accedere al cellulare. E' opportuno spostare i files in Cloud alternativi come Mega, ProtonCloud o Kdrive. Mentre i files archiviati nella memoria del cellulare possono essere protetti con SSE Crypt per Android o AxCrypt per Iphone.

ANTIVIRUS
a) In Android installa AccessDots per individuare eventuali accessi nascosti a fotocamera, microfono e geolocalizzazione da parte delle App installate nel cellulare (escluse alcune App native del sistema Android). In Iphone 14 o superiore c'è già qualcosa di simile.
b) In Android e Iphone installa Avast o AVG antivirus. In Android aggiungi anche Antispy Protectstar (specifico per spyphone e spyware). Gli antivirus rilevano raramente le migliori App spyphone, ma per elevare la sicurezza generale di un cellulare non è mai superfluo averli.

INTERNET E POSIZIONE
a) Se sospetti di essere vittima di spionaggio aziendale o professionale installa una App VPN (es. ProtonVPN o Mega VPN). Mentre per i rischi di spionaggio domestico la VPN di solito è superflua.
b) Cancella regolarmente le cronologie di navigazione dei browser (menù 'elimina dati navigazione' > 'avanzate' > 'dall'inizio'). Per le navigazioni più riservate usa un browser come Brave (disponibile anche per iPhone) e la 'navigazione in incognito'. Ricordati di cancellare le cronologie di dialoghi e ricerche con l'AI (es. account ChatGPT).
c) Mantieni disattivi il GPS e il WiFi quando non sono indispensabili (anche i WiFi consentono la localizzazione degli utenti).
d) Funzione cronologia spostamenti account Google. E' attivabile e consultabile dalla App Maps (vedi Google Maps > Spostamenti) da chiunque riesca ad accedere al cellulare. Se è nota anche la password dell'account Google, il controllo di solito avviene a distanza. La variazione delle password raccomandata all'inizio inibisce questa possibilità di controllo. Ma, come già visto nel capitolo Dati e comunicazioni, è meglio sospendere anche la funzione Spostamenti nell'account Google e cancellare il regresso.
e) Funzione condivisione posizione. Nella App Maps verifica che non sia attiva la 'Condivisione della posizione', accessibile dall'omonimo menù. E' una funzione attivabile in pochi istanti da chiunque riesca ad accedere al cellulare. Dopodichè il controllo degli spostamenti avviene a distanza senza limiti di tempo. Nelle impostazioni della App Maps e della App Google Play Services di Android verifica che le tutte le notifiche siano attive.
f) Funzione trova il mio dispositivo Android. Anche questa funzione viene sfruttata spesso per localizzare l'utente di nascosto. La variazione delle password raccomandata all'inizio inibisce questa possibilità di controllo. Nelle impostazioni della App Google Play Services di Android verifica che tutte le notifiche siano attive.
g) Finchè permangono concreti sospetti di spionaggio è meglio spegnere e riaccendere il cellulare ogni giorno. Alcune App malevole non vengono installate ma solo memorizzate nella memoria volatile RAM. Quindi possono essere eliminate riavviando il cellulare. Ci riferiamo in particolare, ma non solo, ai dispositivi Apple.

PERMESSI
Verifica quali App utilizzano maggiormente la connessione ad internet (vedi 'Utilizzo dati' in Android o 'Dati cellulare' in IoS) e la posizione (vedi 'Geolocalizzazione' in Android o 'Localizzazione' in IoS). In Android verifica quali App utilizzano i permessi microfono, SMS, fotocamera, accessibilità, accesso ai dati di utilizzo, accesso a tutti i file, avvio in background e amministrazione dispositivo. Mentre in iPhone verifica 'Impostazioni Privacy e sicurezza' > 'Resoconto privacy app'. Non esitare a sospendere i permessi sospetti. In ogni caso devono essere App che conosci. Nel dubbio verifica che siano App installate dal Google Play (Android), dall'App Store (iPhone) o appartenenti al sistema operativo. Le App non devono richiedere dei permessi eccessivi per le loro funzioni: ad es. in Android un'App denominata Orologio non può richiedere permessi di alto livello come l'Accessibilità. Può essere utile anche cercare la App in Google per verificarne la natura (per Android cerca il nome del pacchetto es. ch.protonmail.android, com.miui.guardprovider, ecc. visibile cliccando Informazioni App).

CONSIGLI GENERALI
a) Non fidarti di messaggi che invitano a cliccare un link, aprire una foto o video.
b) Non confermare richieste di permessi che appaiono senza apparente motivo.
c) Non installare App scaricate fuori dagli Store se non conosci la fonte.
d) Mantieni aggiornate le App tramite Google Play (Android) o App Store (Apple) e installa gli aggiornamenti del sistema operativo.
e) Online si leggono dei consigli per scoprire se un telefono è spiato che parlano di 'interferenze durante le telefonate', 'telefono che si surriscalda', 'batteria che si scarica a vista d'occhio', 'segnale debole', ecc. Questo poteva (in parte) essere vero 20 anni fa. Oggi non è così che si può scoprire se un moderno smartphone è spiato.
f) Tieni presente che i files cancellati dalla memoria del cellulare (o spostati altrove) in realtà restano recuperabili finchè non vengono sovrascritti. Questo può avvenire anche dopo settimane o mesi. Se temi accessi indesiderati al tuo cellulare, dopo ogni pulizia della memoria (cancellazione o spostamento di documenti, foto, video, cache, registrazioni audio, cronologie, email, allegati, messaggi, chiamate, ecc.) ti consigliamo di rendere definitivamente irrecuperabile ciò che hai cancellato: ad es. per Android puoi usare IShredder Data Eraser, mentre per Iphone puoi usare Stellar Eraser.

Le questioni connesse alla sicurezza informatica sono molto vaste e complesse. In questo blog abbiamo fornito alcuni cenni basilari contro i rischi più comuni.