Resettare il telefono prima di venderlo non basta a proteggere i dati personali. A scoprirlo (di nuovo) ci hanno pensato i ricercatori di Blancco Technology Group e Kroll Ontrack, che hanno comprato ed esaminato un gran numero di smartphone e hard disk usati in Gran Bretagna, USA e Germania. La ricerca sembra una replica di un'indagine fatta da Avast nel 2014.
Gli oggetti (102 tra HDD ed SSD, e 20 tra smartphone e tablet) sono stati esaminati con tecniche forensi di recupero dati, e si è così scoperto che sul 35% di essi è stato possibile recuperare dei dati, comprese 2.153 email e 10.838 SMS. In molti casi i dati estratti permettevano di identificare il proprietario originale. Ancora più preoccupante, però, è il fatto che almeno la metà degli ex proprietari avevano provato a cancellare tali dati tramite un reset alle impostazioni di fabbrica, con metodi evidentemente poco efficaci.
Un dettaglio che espone in particolar modo gli utenti Android. I ricercatori infatti hanno scoperto che il reset incluso nel sistema operativo non cancella efficacemente i dati, ma si limita a una formattazione "leggera", che lascia aperta la strada a un recupero con strumenti specifici.
Nel caso degli iPhone invece il recupero dati si è rivelato impossibile, se si esegue il reset. Questo perché iOS applica di default la crittografia a tutta la memoria, e con il ripristino viene cancellata la relativa chiave, come ha spiegato Paul Henry di Blancco Technology Group. "I dispositivi Android", aggiunge Henry, "D'altra parte non usano questo metodo e si affidano all'utente per la riscrittura dei dati per la loro cancellazione, affinché siano irrecuperabili".
Chi ha uno smartphone Android può attivare la crittografia dalle impostazioni, e con Android 5.1, poi, Google ha anche aggiunto un ulteriore livello di sicurezza. Il problema però resta pressoché lo stesso: se l'impostazione predefinita è debole, lo è anche la protezione in generale – vale a dire che contare sull'iniziativa dell'utente fa sì che i rischi restino alti. Sarebbe sicuramente preferibile che la crittografia fosse attivata di fabbrica, come accade sugli iPhone; in questo caso una volta configurato il PIN di accesso, il reset garantisce che i dati non siano recuperabili. Certo, ci sono delle controindicazioni (prestazioni, difficoltà di accesso ai dati), ma probabilmente ne vale la pena.
Leggi anche: Come abilitare la crittografia su Android e perché farlo
A qualche lettore sarà venuto in mente, comunque, che tutti e tre i principali sistemi operativi (Windows Phone, Android, iOS) offrono poi strumenti per la gestione remota del dispositivo. È senz'altro uno strumento utile ma in questo caso non molto, perché stiamo parlando di rivendere uno smartphone dopo che è stato resettato – e quindi non si ha più accesso in remoto. E comunque la cancellazione a distanza, senza crittografia, permetterebbe comunque l'estrazione forense dei dati.
Guardando agli hard disk, emerge che nel 75% dei casi era stata tentata la cancellazione dei dati, mentre il restante 25% era stato messo in vendita con tutti i dati perfettamente leggibili. Nel 48% dei casi è stato possibile recuperare dei file.
Un problema non da poco, perché generalmente le persone prima di rivendere un telefono si affidano al reset integrato, confidando nella sicurezza di tale operazione. I ricercatori affermano che "la maggior parte delle persone" tenta di cancellare i dati per proteggere la propria privacy, ma purtroppo i metodi disponibili non sono efficaci.
I rischi non sono affatto trascurabili, perché parliamo di oggetti che possono contenere dati davvero molto sensibili. Email ed SMS potrebbero contenere informazioni confidenziali, le fotografie potrebbero renderci ricattabili, potrebbe persino essere possibile recuperare password o numeri di carta di credito. Personalmente, non mi stupirebbe scoprire di criminali che basano la propria attività proprio sull'acquisto di dispositivi usati.
La cosa curiosa è che il problema è noto da molto tempo, almeno quindici anni. In tutto questo tempo è cambiato pochissimo, sia da parte dei produttori – il caso di Android è simbolico da questo punto di vista – ma soprattutto nelle abitudini di tutti noi. Sarebbe però fin troppo facile incolpare chi non è consapevole o non sa fare una cancellazione sicura: nessuno, in nessun momento, si è mai preoccupato di diffondere una vera cultura della sicurezza informatica – e invece dovremo parlare di questi temi già alle scuole elementari, perché sappiamo che le conseguenze sono potenzialmente disastrose.
 | iPhone 6 16GB | |
 | iPhone 6 64GB | |
 | iPhone 6 Plus 64GB |