Da circa un decennio le App spyphone sono il sistema più usato per controllare di nascosto un cellulare. Per installarle bisogna accedere fisicamente al cellulare da controllare.
Le App spyphone sono molto invasive negli ecosistemi dei cellulari, che diventano ogni giorno più protetti. Quindi hanno buone possibilità di restare nascoste solo all'utente comune. In pratica a chi usa il cellulare per chiamate, messaggistica, navigazioni in internet e poco altro. Mentre possono essere scoperte da utenti più esperti. Per quanto riguarda iPhone, dopo IoS 13 Apple è riuscita a limitare la possibilità di installare le App spyphone nei suoi prodotti. Al punto che i controlli nascosti si sono spostati principalmente sui dati che vengono archiviati nell'iCloud (ma sono controlli facilmente ostacolabili proteggendo adeguatamente il proprio AppleID). A volte le App spyphone non vengono installate ma 'parcheggiate' nella memoria volatile RAM: ne consegue che bisogna ripristinarle ogni volta che il cellulare viene spento e riacceso. Va detto che il mercato delle App spyphone è stato limitato anche da alcuni venditori, che agiscono con metodi poco seri come in questo video delle Iene.
Da qualche tempo si sta affermando una modalità alternativa di controllo dei cellulari, dove si ottengono meno informazioni ma in modo più sicuro ed economico. In questo caso vengono sfruttate le funzioni di App diffuse e non nascoste, i servizi di Google o Apple e trucchi vari detti 'social engineering'. Anche questa modalità alternativa richiede un breve accesso fisico al cellulare da controllare.
I suggerimenti che seguono sono formulati per chi ha concreti sospetti di avere il cellulare sotto controllo, non per chi usa il cellulare in normali circostanze. Ci limiteremo alle contromisure basilari, attuabili da tutti in modo facile. Daremo la precedenza ad Android perchè si presta maggiormente all'installazione di App spyphone ed è presente in quasi l'80% dei cellulari in circolazione.
b) Ora entra nelle impostazioni Sicurezza degli account Google/AppleID, varia la password degli account e attiva la verifica in due passaggi (detta anche autenticazione 2FA a due fattori). Nell'AppleID attiva la protezione avanzata (crittografia end-to-end).
d) Custodisci con cura il cellulare e le nuove password. Scegli delle password non facili da indovinare e non usare la stessa password per diversi servizi. Non digitare le password in ambienti a rischio microcamere nascoste (è l'escamotage più in voga per individuare le password, vedi esempio) oppure sotto telecamere per videosorveglianza.
b) In molti Android c'è una potente funzione per proteggere la privacy: il secondo spazio (detto anche modalità ospite o spazio privato). E' quasi un secondo cellulare nascosto, che in molti casi può essere protetto con una password blocca schermo diversa dalla principale. Aggiungiamo che le App spyphone di solito non riescono a spiare il secondo spazio. Per Iphone ci si deve accontentare di Dual Space, che consente solo l'uso di diversi account (es. due WhatsApp).
a) Entra nelle impostazioni privacy degli account Google/Apple, sospendi le raccolte di dati personali e cancella il regresso. Es. per Google: cronologie, spostamenti (timeline), luoghi preferiti e luoghi visitati, attività Web e App, ricerche in internet, Youtube, ricerche vocali, annunci personalizzati, personalizzazioni ricerche. A conferma del fatto che non stiamo parlando di rischi marginali, ci sono evidenze ufficiali che questi dati vengono acquisiti anche dalle forze dell'ordine di mezzo mondo (in questi casi accedono prevalentemente ai server di Google, ma la sostanza informativa non cambia). Nei menù 'Sicurezza' e 'Dati e privacy' dell'account Google verifica i numeri telefonici, i dispositivi (es. PC o altri cellulari), le App e i servizi autorizzati ad accedere all'account: è importante che siano da te riconosciuti. Disconnetti i PC e i cellulari sospetti. Se usi il browser internet Chrome su PC, scegli la modalità 'Utilizza Chrome senza account'. Cerca di limitare anche il salvataggio automatico dei contatti: per l'account Google l'accesso è qui, per l'ICloud l'accesso è qui.
b) Nel menù 'Impostazioni' > 'Account e sincronizzazione' di Android cancella gli account che non riconosci e sospendi le sincronizzazioni non indispensabili (es. Contatti, Google Drive, Dettagli persone). Per Iphone invece le sincronizzazioni si gestiscono prevalentemente entrando nelle impostazioni delle App interessate.
c) Evita di parlare di questioni sensibili tramite normali telefonate, SMS e le App più comuni. Cerca di preferire Signal o al limite Telegram. In queste App la criptazione end-to-end è attiva per default (non c'è nulla da attivare), ma non può difenderti se il tuo cellulare contiene qualsiasi spyphone: in questo caso i testi dei messaggi e l'audio delle chiamate vengono intercettati all'interno del cellulare stesso. Se invece l'intercettazione avviene all'esterno del cellulare, Signal e Telegram offrono un ottimo livello di sicurezza.
d) In WhatsApp disattiva le spunte blu (conferme lettura) e lo stato online (ultimo accesso e online), per non evidenziare i tuoi orari e le tue abitudini a osservatori esterni. Verifica inoltre che non sia attiva la funzione Dispositivi collegati (nota anche come WhatsApp WEB): se l'accesso a WhatsApp non è protetto con la funzione 'Blocco App', 'Dispositivi collegati' può essere attivato da chiunque riesca ad accedere al cellulare. Dopodiché il controllo nascosto delle chat avviene a distanza. Nelle impostazioni della App WhatsApp verifica che tutte le notifiche siano attive: questo ti metterà al riparo anche da eventuali attivazioni nascoste della funzione 'Condivisione della posizione in tempo reale' offerta da WhatsApp. Nel menù Backup delle chat verifica che il backup crittografato end-to-end sia attivo. Funzioni simili ci sono anche per Telegram.
e) Quando usi il Google Drive o l'iCloud, i tuoi files sono accessibili a chiunque riesca ad accedere al tuo cellulare. Finchè permangono sospetti di controlli indesiderati, sospendi o limita l'uso di questi cloud per archiviare i files più sensibili. E' opportuno spostare i files in cloud alternativi come Mega, ProtonCloud o Kdrive. Mentre i files archiviati nella memoria del cellulare possono essere protetti con SSE Crypt per Android o AxCrypt per Iphone.
b) Gli antivirus sono spesso inutili per difendersi dalle App spyphone. Ma per elevare la sicurezza generale di un cellulare è meglio averli. In Android e Iphone installa Avast o AVG antivirus. In Android puoi aggiungere anche Antispy Protectstar (specifico per spyware).
b) Cancella regolarmente le cronologie di navigazione dei browser (menù 'elimina dati navigazione' > 'avanzate' > 'dall'inizio'). Per le navigazioni più riservate è meglio usare un browser come Brave (disponibile anche per Iphone) e la 'navigazione in incognito'. Ricordati di cancellare anche le cronologie di dialoghi con l'AI (es. account ChatGPT).
c) Mantieni disattivi il GPS e il WiFi quando non sono indispensabili (anche i WiFi consentono la localizzazione degli utenti).
d) Funzione cronologia spostamenti account Google. E' attivabile e consultabile nella App Maps (vedi Google Maps > Spostamenti) da chiunque riesca ad accedere al cellulare. Se è nota anche la password dell'account Google, il controllo di solito avviene a distanza. La variazione delle password raccomandata all'inizio inibisce questa possibilità di controllo. Ma, come già visto nel capitolo Dati e comunicazioni, quando si hanno concreti sospetti di controlli indesiderati è opportuno sospendere anche la funzione Spostamenti nell'account Google e cancellare il regresso.
e) Funzione condivisione posizione Google Maps. Nella App Maps verifica che non sia attiva la 'Condivisione della posizione', accessibile dall'omonimo menù. E' una funzione attivabile in pochi istanti da chiunque riesca ad accedere al cellulare. Dopodichè il controllo degli spostamenti avviene a distanza. Nelle impostazioni della App Maps e della App Google Play Services di Android è importante verificare che le tutte le notifiche siano attive.
f) Funzione trova il mio dispositivo Android. Anche questa funzione viene sfruttata per localizzare l'utente di nascosto tramite il servizio Find Hub di Google. La variazione delle password raccomandata all'inizio inibisce questa possibilità di controllo. Nelle impostazioni della App Google Play Services di Android è importante verificare che tutte le notifiche siano attive.
g) Finchè permangono concreti sospetti di spionaggio è meglio spegnere e riaccendere il cellulare ogni giorno. Alcune App spy non vengono installate ma solo memorizzate nella memoria volatile RAM. Quindi possono essere eliminate riavviando il cellulare. Ci riferiamo in particolare ai dispositivi Apple.