Il Progetto Open Source di Androd è un sistema operativo mobile sicuro, che dispone di una forte modalità sandbox delle app, Avvio Verificato (AVB) e di un robusto sistema di controllo delle autorizzazioni.
Protezioni di Sicurezza¶
Key components of the Android security model include verified boot, firmware updates, and a robust permission system. These important security features form the baseline of the minimum criteria for our mobile phone and custom Android OS recommendations.
Avvio Verificato¶
Verified Boot is an important part of the Android security model. Fornisce protezione dagli attacchi di evil maid, la persistenza del malware e assicura che gli aggiornamenti di sicurezza non siano rimuovibili con la protezione da rollback.
Android 10 e superiori si sono allontanati dalla crittografia dell'intero disco, verso una crittografia basata sui file più sicura. I tuoi dati sono crittografati utilizzando chiavi crittografiche univoche e il file del sistema operativo sono lasciati non crittografati.
L'Avvio Verificato assicura l'integrità dei file del sistema operativo, dunque impedendo a un avversario con l'accesso fisico, di manomettere o installare malware sul dispositivo. Nell'improbabile caso in cui il malware possa sfruttare altre parti del sistema e ottenere accesso privilegiato superiore, l'Avvio Verificato impedirà e ripristinerà le modifiche alla partizione di sistema, al riavvio del dispositivo.
Sfortunatamente, gli OEM devono supportare l'Avvio Verificato sulla propria distribuzione Android stock. Solo alcuni OEM, come Google, supportano la registrazione di chiavi AVB personalizzate sui propri dispositivi. Inoltre, alcuni AOSP derivati come LineageOS o /e/ OS, non supportano l'Avvio Verificato anche su hardware che lo supporta, per i sistemi operativi di terze parti. Ti consigliamo di verificare il supporto prima di acquistare un nuovo dispositivo. I derivati AOSP che non supportano l'Avvio Verificato non sono consigliati.
Inoltre, molti OEM dispongono di un'implementazione corrotta dell'Avvio Verificato, di cui devi essere consapevole, al di là del loro marketing. Ad esempio, i Fairphone 3 e 4 non sono sicuri di default, poiché il bootloader di fabbrica si fida della chiave di firma AVB pubblica. This breaks verified boot on a stock Fairphone device, as the system will boot alternative Android operating systems (such as /e/) without any warning about custom operating system usage.
Aggiornamenti del firmware¶
Firmware updates are critical for maintaining security and without them your device cannot be secure. Gli OEM stipulano accordi di supporto coi propri partner per fornire i componenti closed source per un periodo di supporto limitato. Questi sono mensilmente riportati nei Bollettini di Sicurezza di Android.
Poiché i componenti del telefono, come il processore e le tecnologie radio, si affidano a componenti closed source, gli aggiornamenti devono essere forniti dai rispettivi produttori. Dunque, è importante che tu acquisti un dispositivo entro un ciclo di supporto attivo. Qualcomm e Samsung supportano i loro dispositivi per 4 anni, mentre i prodotti più economici hanno spesso cicli di supporto più brevi. Con l'introduzione del Pixel 6, Google produce ora il proprio SoC e fornirà un supporto di almeno 5 anni. Con l'introduzione della serie Pixel 8, Google ha aumentato la finestra di supporto a 7 anni.
I dispositivi EOL, non più supportati dal produttore del SoC, non possono ricevere aggiornamenti del firmware dai fornitori OEM o dai distributori di ricambi per Android. Ciò significa che i problemi di sicurezza di questi dispositivi non saranno risolti.
Fairphone, ad esempio, commercializza il proprio dispositivo Fairphone 4 con 6 anni di assistenza. Tuttavia, il SoC (Qualcomm Snapdragon 750G sul Fairphone 4), ha una data di scadenza considerevolmente più breve. Ciò significa che gli aggiornamenti di sicurezza di quel firmware da Qualcomm per il Fairphone 4 termineranno a settembre 2023, indipendentemente dal fatto che Fairphone continui a rilasciare aggiornamenti di sicurezza del software.
Autorizzazioni di Android¶
Permissions on Android grant you control over what apps are allowed to access. Google apporta miglioramenti regolari al sistema di autorizzazioni, in ogni nuova versione. Tutte le app che installi sono rigorosamente testate, dunque, non è necessario installare alcuna app di antivirus.
Uno smartphone con la versione più recente di Android sarà sempre più sicuro di un vecchio smartphone con un antivirus a pagamento. It's better not to pay for antivirus software and to save money to buy a new smartphone such as a Google Pixel.
Android 10:
- L'Archiviazione Esaminata ti conferisce maggiore controllo sui file e può limitare ciò che può accedere all'archiviazione esterna. Le app possono avere una cartella specifica nell'archiviazione esterna, nonché l'abilità di memorizzarvi tipi specifici di file multimediali.
- Accesso più ristretto alla posizione del dispositivo, introducendo l'autorizzazione
ACCESS_BACKGROUND_LOCATION. Questa impedisce alle app di accedere alla posizione quando in esecuzione in background, senza l'espressa autorizzazione dall'utente.
Android 11:
- Autorizzazioni una tantum, che ti consentono di concedere un'autorizzazione a un'app, una singola volta.
- Ripristino automatico delle autorizzazioni, che ripristina i permessi in esecuzione, concessi all'apertura dell'app.
- Autorizzazioni granulari per accedere alle funzioni relative al numero di telefono.
Android 12:
- Un'autorizzazione per concedere soltanto la posizione approssimativa.
- Ripristino automatico delle app ibernate.
- Controllo dell'accesso ai dati, che semplifica la determinazione di quale parte di un'app sta eseguendo un certo tipo di accesso ai dati.
Android 13:
- Un'autorizzazione per l'accesso alle Wi-Fi nelle vicinanze. The MAC addresses of nearby Wi-Fi access points were a popular way for apps to track a user's location.
- Ulteriori autorizzazioni multimediali granulari, a significare che puoi concedere l'accesso ai soli file immagine, video o audio.
- L'utilizzo in background dei sensori richiede adesso l'autorizzazione
BODY_SENSORS.
Un'app potrebbe richiedere un'autorizzazione per una sua funzionalità specifica. Ad esempio, ogni app capace di scansionare i codici QR, richiederà l'autorizzazione all'utilizzo della fotocamera. Alcune app possono richiedere più autorizzazioni di quelle necessarie.
Exodus può essere utile per confrontare applicazioni con scopi simili. Se un'app richiede molte autorizzazioni e contiene molti annunci e analisi, è probabilmente un brutto segno. Consigliamo di esaminare i singoli tracker e di leggerne le descrizioni piuttosto che limitarsi a contarne il totale e supporre che tutte le voci elencate siano uguali.
Avviso
Se un'app è prevalentemente un servizio basato su web, il tracciamento potrebbe verificarsi dal lato del server. Facebook mostra "nessun tracker", ma sicuramente traccia gli interessi e il comportamento degli utenti sul sito. Le app potrebbero eludere il rilevamento non utilizzando le librerie di codice standard prodotte dall'industria pubblicitaria, sebbene sia improbabile.
Nota
Le applicazioni che rispettano la privacy come Bitwarden possono mostrare alcuni tracker come Google Firebase Analytics. Questa libreria include Firebase Cloud Messaging che può fornire notifiche push nelle app. Questo [è il caso] (https://fosstodon.org/@bitwarden/109636825700482007) di Bitwarden. Ciò non significa che Bitwarden sta utilizzando tutte le funzionalità analitiche fornite da Google Firebase Analytics.
Funzionalità per la Privacy¶
Profili Utente¶
I profili utente multipli si trovano in Impostazioni → Sistema → Utenti multipli e sono il metodo più semplice per isolare in Android.
Con i profili utente, puoi imporre limitazioni a un profilo specifico, come: effettuare chiamate, utilizzare gli SMS o installare app sul dispositivo. Ogni profilo è crittografato con la sua chiave crittografica e non può accedere ai dati di qualsiasi altro profilo. Anche il proprietario del dispositivo non può visualizzare i dati di altri profili, senza conoscerne la password. I profili utente multipli sono un metodo di isolamento più sicuro.
Profilo di lavoro¶
I Profili di Lavoro sono un altro metodo per isolare le singole app e potrebbe essere più comodo dei profili utente separati.
A device controller app such as Shelter is required to create a Work Profile without an enterprise MDM, unless you're using a custom Android OS which includes one.
Il profilo di lavoro dipende da un controllore del dispositivo per funzionare. Le funzionalità come File Shuttle e blocco della ricerca dei contatti o qualsiasi tipo di funzionalità d'isolamento, devono essere implementate dal controllore. È inoltre necessario fidarsi completamente dell'app di controllo del dispositivo, che ha pieno accesso ai dati dell'utente all'interno del profilo di lavoro.
Questo metodo, generalmente, è meno sicuro di un profilo utente secondario; tuttavia, ti consente la comodità di eseguire le app nei profili lavorativi e personali, simultaneamente.
Killswitch per VPN¶
Android 7 e successivi supporta un kill switch VPN, disponibile senza la necessità d'installare applicazioni di terze parti. Questa funzionalità può prevenire fughe, se la VPN è disconnessa. Si trova in 
Impostazioni → Rete e Internet → VPN → → Blocca connessioni senza VPN.
Interruttori globali¶
I dispositivi Android moderni dispongono di interruttori globali per disabilitare i servizi Bluetooth e della posizione. Android 12 ha introdotto gli interruttori per la fotocamera e il microfono. Quando non sono in uso, consigliamo di disabilitare queste funzionalità. Apps cannot use disabled features (even if granted individual permissions) until re-enabled.
Servizi di Google¶
If you are using a device with Google services—whether with the stock operating system or an operating system that safely sandboxes Google Play Services like GrapheneOS—there are a number of additional changes you can make to improve your privacy. Comunque, consigliamo di evitare interamente i servizi di Google, o di limitare Google Play Services a un profilo dell'utente/di lavoro specifico, combinando un controllore del dispositivo come Shelter, con il Google Play di GrapheneOS.
Programma di protezione avanzata¶
Se hai un account Google, ti suggeriamo di iscriverti al Programma di protezione avanzata. È disponibile gratuitamente a costo zero per chiunque possieda due o più chiavi di sicurezza hardware con supporto a FIDO. Alternatively, you can use passkeys.
Il Programma di Protezione Avanzata fornisce un migliore monitoraggio delle minacce, e consente:
- Autenticazione a due fattori più rigida; ad esempio, FIDO deve essere utilizzato e non è consentito l'uso di SMS OTP, TOTP e OAuth
- L'accesso ai dati del profilo soltanto a Google e alle app verificate di terze parti
- Scansione delle email in entrata sui profili Gmail, in cerca di tentativi di phishing
- Stricter safe browser scanning with Google Chrome
- Processo di recupero più rigido per i profili con credenziali perdute
If you use non-sandboxed Google Play Services (common on stock operating systems), the Advanced Protection Program also comes with additional benefits such as:
- Non permette l'installazione di app al di fuori del Google Play Store, dell'app store del fornitore del sistema operativo o tramite
adb - Scansione automatica obbligatoria del dispositivo con Play Protect
- Avviso sulle applicazioni non verificate
Aggiornamenti di Sistema di Google Play¶
In passato, gli aggiornamenti di sicurezza di Android dovevano essere forniti dal fornitore del sistema operativo. Android è divenuto più modulare a partire da Android 10, e Google può inviare gli aggiornamenti di sicurezza push per alcuni componenti di sistema, tramite i Play Services privilegiati.
Se possiedi un dispositivo al termine della vita, distribuito con Android 10 o superiori e non riesci a eseguirvi nessuno dei nostri sistemi operativi, è probabile che sia meglio che ti attenga all'installazione di Android del tuo OEM (rispetto a un sistema operativo non elencato qui, come LineageOS o /e/ OS). Ciò ti consentirà di ricevere alcune correzioni di sicurezza da Google, senza però violare il modello di sicurezza di Android, utilizzando un derivato di Android non sicuro e incrementando la tua superficie di attacco. Consigliamo comunque di passare a un dispositivo supportato il prima possibile.
ID pubblicitario¶
All devices with Google Play Services installed automatically generate an advertising ID used for targeted advertising. Disabilita questa funzionalità per limitare i dati raccolti su di te.
Sulle distribuzioni Android con Google Play in modalità sandbox, vai su Impostazioni → App → Sandboxed Google Play → Impostazioni di Google → Pubblicità e seleziona Elimina ID pubblicitario.
Sulle distribuzioni di Android con Google Play Services privilegiati (come gli OS di fabbrica), l'impostazione potrebbe trovarsi in una delle seguenti, svariate posizioni. Controlla
- Impostazioni → Google → Pubblicità
- Impostazioni → Privacy → Pubblicità
You will either be given the option to delete your advertising ID or to Opt out of interest-based ads (this varies between OEM distributions of Android). If presented with the option to delete the advertising ID, that is preferred. Altrimenti, assicurati di rinunciare e di ripristinare il tuo ID pubblicitario.
SafetyNet e API di Play Integrity¶
SafetyNet e le API di Play Integrity sono generalmente utilizzati per le app bancarie. Molte app bancarie funzioneranno bene su GrapheneOS con i servizi Play in modalità sandbox, tuttavia, alcune app non finanziarie dispongono di meccanismi anti-manomissione che potrebbero fallire. GrapheneOS supera il controllo basicIntegrity, ma non il controllo del certificato ctsProfileMatch. I dispositivi con Android 8 o successive, dispongono di supporto dell'attestazione del hardware, non superabile con chiavi trapelate o gravi vulnerabilità.
Per quanto riguarda Google Wallet, lo sconsigliamo a causa della loro informativa sulla privacy, che prevede che l'utente debba rinunciare se non vuole che il suo rating creditizio e le sue informazioni personali siano condivise con i servizi di marketing affiliati.