Due novità di Android 15 per proteggere la vostra privacy e sicurezza

Android offre già delle impostazioni sulla privacy che consentono di scegliere quali app possono accedere alla vostra posizione. Lo strumento è importante, perché questo dato rivela alle app dove vivete, quali persone o aziende visitate e potenzialmente cosa state facendo.

Il vostro operatore di rete cellulare però è sempre in grado di ottenerla, e non avete modo di impedirlo. Almeno fino ad Android 15. Con l'ultima versione del robottino, infatti, Google avrebbe implementato un modo per scegliere se condividerla o meno. 

A scoprire la novità è stato Mishall Rahaman, che avrebbe trovato nel codice sorgente di Android 15 per la radio HAL (Hardware Abstraction Layer) una nuova API per attivare l'impostazione della privacy della posizione.

Un HAL collega le API del framework specifico di livello superiore al driver e all'hardware sottostanti, in questo caso della radio cellulare, e questa nuova API interviene sulla posizione. In che modo? Testualmente, da codice, "aggiorna l'attuale impostazione dell'utente di condivisione dei dati sulla posizione", che "deve essere utilizzata dalla radio prima di onorare una richiesta di localizzazione avviata dalla rete per casi d'uso non di emergenza". Tuttavia, "la radio deve ignorare questa impostazione durante le chiamate di emergenza, gli SMS di emergenza o le modalità di richiamata di emergenza e continuerà a fornire le informazioni sulla posizione alle richieste di localizzazione avviate dalla rete".

Questa API era apparsa in Android 14 QPR2, ma poi è stata rimossa e spostata in Android 15, ma c'è un problema. Le radio cellulari nei telefoni cellulari sono spesso realizzate da un'azienda diversa dal produttore del telefono, e sono dotate di firmware proprietario con cui Android può interagire attraverso l'API HAL.

La nuova funzione deve quindi essere implementata dal fornitore della radio, ed è quindi probabile che molti dispositivi che passano ad Android 15 non lo supporteranno (forse a esclusione dei Pixel). Inoltre tenete presente che gli operatori potrebbero sempre accedere alla vostra posizione approssimativa vedendo le celle a cui siete connessi. 

Inoltre questa funzione potrebbe mitigare gli attacchi chiamati "Stingray", che imitano le reti cellulari reali per ingannare il vostro dispositivo a connettersi e quindi inviare i dati a loro. Ma per questo Android 15 avrà anche un'altra funzione apposita: andiamo a scoprirla nel prossimo capitolo. 

Dicevamo degli attacchi "Stingray", che sfruttano il fatto che il vostro telefono non si connetta alla rete cellulare del vostro operatore, ma a una di terze parti creata appositamente per spiarvi. 

Queste reti raccolgono l'ID univoco del vostro dispositivo per scopi di tracciamento o fanno passare il vostro dispositivo a una connessione non sicura per intercettare SMS e chiamate. Per proteggere gli utenti da questo tipo di attacchi, Google sta aggiungendo nuove funzionalità di sicurezza in Android 15 che vi avvertiranno quando questo avverrà.

Le Stingray sono usate dalle forze dell'ordine perché consentono la raccolta segreta di dati da sospetti criminali, ma sono state utilizzate anche da Governi malintenzionati per spiare i giornalisti. Inoltre, mettono anche a rischio la privacy individuale perché ci sono poche salvaguardie contro di loro. Ecco perché Google ha lavorato per impedire ai dispositivi di inviare dati di testo o vocali su protocolli più vecchi o non crittografati.

Già da Android 12 la GrandeG sta lavorando a questa funzione, e con Android 14 è stato introdotto il supporto a livello di modem per disabilitare le connessioni che utilizzano cifrari nulli cellulari, una forma di comunicazione non crittografata. Il che secondo Google mette a rischio gli utenti perché espongono il traffico vocale e SMS a "banale intercettazione over-the-air".

La funzione però non è disponibile su tutti i dispositivi perché richiede il supporto del fornitore del modem.

Inoltre, l'utente deve essere consapevole dell'esistenza della funzione, che è sepolta sotto le impostazioni SIM sui dispositivi supportati.

Con Android 15 invece l'utente viene avvisato in modo proattivo quando una rete registra l'IMSI o l'IMEI del proprio dispositivo e quando tenta di modificare l'algoritmo di crittografia. La funzione è stata scoperta da Mishaal Rahman nell'ultima Developer Preview 2 di Android 15, dove sono comparse stringhe che riguardano proprio una notifica di questo tipo. 

Il problema è che questo sarà disponibile solo su dispositivi dotati di un modem che supporti le nuove API HAL (Cellular Identifier Disclosure Transparency hardware abstraction layer) di Android 15. Queste API hardware consentono infatti al modem di informare il sistema operativo quando la rete richiede l'IMEI o l'IMSI del dispositivo o quando la rete utilizza un nuovo algoritmo di crittografia per un tentativo di connessione voce, segnalazione o dati.

Rahman nota che questa funzione è disabilitata per impostazione predefinita in Android 15, ma il sistema operativo potrebbe inviare una notifica chiedendo all'utente di rivedere le impostazioni di "sicurezza della rete cellulare".

Toccando il pulsante si arriverà nella pagina delle impostazioni (Impostazioni > Sicurezza e privacy > Altre impostazioni di sicurezza) con l'interruttore per disabilitare o abilitare la notifica di sicurezza. Questa pagina potrebbe anche includere un interruttore per "richiedere la crittografia", che disabiliterà le connessioni crittografate nulle a livello di modem sui dispositivi supportati.