Sicurezza e privacy cellulari contro lo spionaggio

FONDAMENTALI PER ANDROID E IPHONE
a) BLOCCO SCHERMO. Variare la password blocca schermo in un luogo non a rischio di microcamere nascoste (sono l'escamotage più in voga per individuare le password vedi esempio). Non usare solo le protezioni biometriche (es. impronte digitali) perchè espongono al rischio di subire costrizioni fisiche per accedere al cellulare e sblocchi con destrezza durante il sonno. Impostare il blocco schermo automatico dopo 15 o max. 30 secondi di inattività del cellulare.
b) ACCOUNT. Entrare nelle impostazioni Sicurezza degli account Google/Apple, variare la password e attivare la verifica in due passaggi (o autenticazione a due fattori). Nell'AppleID attivare la protezione avanzata.
c) PASSWORD. Custodire con cura il cellulare e scegliere password non facili da indovinare. Non usare la stessa password per diversi servizi. Non digitare le password in ambienti a rischio microcamere nascoste o sotto l'occhio di telecamere per videosorveglianza, webcam e simili.

PROTEZIONI
a) Proteggere l'accesso alle App più sensibili (es. WhatsApp, Telegram, home banking, SPID, chat). In Android si possono usare Norton AppLock o Avast. Alcune App offrono la funzione blocco privacy (es. le Passkey di WhatsApp e Telegram).
b) In molti Android c'è un'interessante funzione per la privacy: il secondo spazio o modalità ospite. In pratica un secondo cellulare nascosto nel principale, che in molti casi può essere protetto con apposita password di accesso. In più va detto che le App SpyPhone di solito non riescono a spiare il secondo spazio. E' quindi un'opportunità molto interessante per chi sospetta controlli indesiderati. Per Iphone purtroppo ci si deve accontentare di Dual Space, che consente solo l'uso di diversi account (es. due WhatsApp).
c) c) Entrare in Impostazioni > Sicurezza > Crittografia (o crittografia e credenziali) e verificare che la memoria del telefono sia crittografata. Se non lo è, attivare la crittografia.

DATI E COMUNICAZIONI
a) Entrare nelle impostazioni privacy degli account Google/Apple, disattivare le raccolte dati e cancellare il regresso. Es. cronologie, spostamenti, luoghi preferiti e luoghi visitati, attività Web e App, ricerche in internet, Youtube, ricerche vocali, annunci personalizzati, sincronizzazioni, password salvate. Verificare anche le App e i servizi che possono accedere all'account. Particolare attenzione va dedicata al salvataggio contatti (inclusi i contatti suggeriti): per l'account Google l'accesso è qui. Questi dati restano memorizzati per anni e rappresentano una vasta fonte informativa, che può consentire la profilazione delle attività e delle abitudini dell'utente in controlli e indagini di qualsiasi tipo. Sono dati archiviati da Google e Apple e sono facilmente consultabili da chiunque abbia accesso al cellulare (o, in alcuni casi, anche solo all'account).
b) Evitare comunicazioni sensibili tramite normali telefonate, SMS e App Apple, WhatsApp, Google, Microsoft, Facebook, Instagram, Twitter, Tiktok, e WeChat. Quando possibile effettuare le comunicazioni più sensibili tramite Signal o Telegram.
c) In WhatsApp disattivare le spunte blu (conferme lettura) e lo stato online (ultimo accesso e online) per non evidenziare orari e abitudini a osservatori esterni. Verificare inoltre che non sia attiva la funzione dispositivi collegati (WhatsApp WEB). E' una funzione attivabile da chiunque conosca la password di accesso al cellulare. Dopodichè il controllo delle chat avviene a distanza. N.B. Una funzione simile esiste anche per Telegram. Nelle impostazioni della App WhatsApp verificare che tutte le notifiche siano attive. Nel menù Backup delle chat attivare il backup crittografato end to end. Nel menù Privacy attivare la Passkey.
d) Limitare l'uso del Google Drive e dell'iCloud per archiviare i dati più sensibili. Esistono ottimi cloud non integrati con Android e IoS: es. Mega, ProtonCloud, Kdrive.
e) Nella memoria del cellulare proteggere i documenti più sensibili (foto, video, appunti, allegati a email e chat, registrazioni, PDF, ecc.). Per Android sono disponibili valide App utili allo scopo, es. SSE Crypt.

ANTIVIRUS
a) In Android installare AccessDots per verificare eventuali accessi nascosti a fotocamera, microfono e geolocalizzazione da parte delle App installate nel cellulare (escluse alcune App native del sistema Android). In Iphone 14 o superiore c'è già qualcosa di simile.
b) In Android e Iphone installare Avast antivirus. In Android può essere utile anche Antispy Protectstar (scanner per App SpyPhone). Queste due App non interferiscono l'una con l'altra. N.B. Gli antivirus rilevano poche App Spyphone e non rilevano le altre minacce trattate in questo blog, ma per elevare la sicurezza del cellulare non è mai superfluo averli.

INTERNET E POSIZIONE
a) Nel caso di sospetti di spionaggio in ambito aziendale, in Android e iPhone è meglio installare una App VPN (es. ProtonVPN o Mega VPN). Mentre per i rischi di spionaggio domestico è un accorgimento non importante.
b) Disattivare il salvataggio automatico delle password in Google Password, nell'iCloud e nei gestori password dei browser (in particolare Chrome e Safari). Meglio cancellare anche le password più sensibili già memorizzate in questi servizi. Per gestire le password memorizzate nell'account Google l'accesso è qui.
c) Cancellare regolarmente le cronologie di navigazione dei browser e gli altri dati della navigazione (menù 'elimina dati navigazione' > 'avanzate' > 'dall'inizio'). Limitare l'uso di Chrome e Safari per le navigazioni sensibili (esistono browser più attenti alla privacy,  es. Brave). Usare la modalità navigazione in incognito per le navigazioni più delicate e sensibili. Cancellare le cronologie relative a dialoghi e ricerche con l'AI (es. cronologie dell'account ChatGPT). Non avviare dialoghi con le AI su questioni delicate e personali.
d) Mantenere disattivi il GPS e il WiFi quando non sono strettamente necessari (anche le reti WiFi consentono la localizzazione precisa e la tracciatura degli utenti).
e) Funzione cronologia spostamenti account Google. E' attivabile e consultabile anche dalle Google Maps (menù Spostamenti) da chiunque conosca la password di accesso al cellulare. Se è nota anche la password dell'account Google, il controllo di solito avviene a distanza. Altrimenti chi effettua il controllo accede fisicamente al cellulare per consultare gli spostamenti. La variazione delle password raccomandata all'inizio blocca questa possibilità di controllo. Ma conviene anche disattivare la funzione Spostamenti nell'account Google e cancellare il regresso. A conferma del fatto che non stiamo parlando di spionaggio da dilettanti, ci sono evidenze ufficiali che queste funzioni vengono sfruttate massicciamente anche dalle forze dell'ordine e dai servizi segreti di mezzo mondo (in questi casi accedono prevalentemente ai server di Google, ma la sostanza informativa non cambia).
f) Funzione condivisione posizione Google Maps. Nelle Google Maps verificare che non sia attiva la 'Condivisione della posizione', accessibile dall'omonimo menù. E' una funzione attivabile da chiunque conosca la password di accesso al cellulare. Dopodichè il controllo degli spostamenti avviene a distanza. E' una funzione insidiosa perchè può restare attiva a tempo indeterminato e con discrezione (in molti casi basta disattivare i corrispondenti gruppi di notifiche). Nelle impostazioni della App Maps (Google Maps) e della App Google Play Services verificare che le tutte le notifiche siano attive.
g) Funzione trova il mio dispositivo Android. Anche questa funzione, accessibile da https://android.com/find, può essere sfruttata per localizzare l'utente da chiunque conosca la password di accesso al cellulare e la password del Google Account. La variazione delle password raccomandata all'inizio blocca questa possibilità di controllo. Nelle impostazioni della App Google Play Services verificare che tutte le notifiche siano attive.
h) Spegnere e riaccendere il cellulare ogni giorno. Alcune App SpyPhone non vengono installate ma memorizzate nella memoria volatile RAM. Quindi possono essere eliminate riavviando il cellulare. Ci riferiamo in particolare (ma non solo) all'ambiente IoS.

PERMESSI E ACCOUNT
Verificare quali App utilizzano maggiormente la connessione ad internet (Utilizzo dati in Android o Dati cellulare in IoS) e il ricevitore GPS (Geolocalizzazione in Android o Localizzazione in IoS). In Android verificare anche quali App utilizzano i permessi microfono, SMS, fotocamera, geolocalizzazione, accessibilità, accesso ai dati di utilizzo, accesso a tutti i file, avvio automatico e amministrazione dispositivo. In iPhone verificare Impostazioni Privacy e sicurezza, Resoconto privacy app. Revocare i permessi sospetti. In ogni caso devono essere App note e lecite. Nel dubbio verificare che siano App installate dal Google Play Store, dall'App Store o legittimamente appartenenti al sistema operativo (rif. Info App) e che non richiedano un numero di permessi eccessivo per le loro funzioni. Ad. es. un'App denominata 'Orologio' non può avere permessi come Accessibilità o Amministrazione dispositivo. Può essere utile anche cercare la App in Google per verificarne la natura (per Android cercare il nome del pacchetto es. ch.protonmail.android, com.miui.guardprovider, ecc. visibile cliccando Info App). Nel menù Account e sincronizzazione rimuovere gli account superflui, duplicati, non usati o non riconosciuti.

CONSIGLI GENERALI
A) Non fidarsi di messaggi email, WhatsApp, SMS, Telegram, ecc. che invitano a cliccare un link, aprire una foto o video.
b) Non confermare richieste di permessi che appaiono senza apparente motivo.
c) Non installare App scaricate fuori dagli Store se non si conosce la fonte.
d) Mantenere aggiornate le App tramite Google Play Store (Android) o App Store (IoS) e installare gli aggiornamenti del sistema operativo.
e) In internet si leggono spesso dei consigli per scoprire se un telefono è spiato che parlano di 'interferenze durante le telefonate', 'telefono che si surriscalda', 'batteria che si scarica a vista d'occhio', 'segnale debole', ecc. Questo poteva in parte essere vero 20 anni fa. Oggi certamente non è così che si può scoprire se un moderno smartphone è spiato.
f) Dopo ogni operazione di pulizia della memoria del cellulare (cancellazione di documenti, foto, video, cache, chat, registrazioni, cronologie di navigazione, email, allegati, messaggi, chiamate, ecc.), può essere utile rendere definitivamente irrecuperabili i dati cancellati: per Android esistono delle App per sovrascrivere i dati cancellati, ad es. IShredder Data Eraser.