TLDR

  • Il telefono non è silenzioso solo perché lo schermo è spento: app di sistema, servizi push e componenti OEM possono generare traffico continuo.
  • PCAPdroid permette di osservare connessioni e destinazioni senza root, usando una VPN locale che processa i dati sul dispositivo.
  • La sezione Data Safety di Google Play è utile, ma resta dichiarativa: sviluppatori e SDK devono dichiarare bene cosa raccolgono.
  • La strategia migliore è misurare, disattivare con prudenza, verificare l'impatto e non confondere debloating con sicurezza automatica.

Il telefono non dorme mai davvero

Lo smartphone sembra fermo.

Schermo spento, nessuna notifica, nessuna app aperta. Eppure sotto la superficie può continuare a parlare: servizi push, sync, analytics, componenti del produttore, framework pubblicitari, controlli sicurezza, account cloud, app preinstallate e librerie di terze parti.

Hacker Journal lo racconta con un taglio molto pratico: prima di lamentarsi della privacy Android, bisogna guardare il traffico reale. Non quello immaginato, non quello scritto in una privacy policy, ma quello che esce dal telefono mentre lo usi e mentre non lo usi.

Questa è la differenza tra paranoia e metodo.

La paranoia dice: "Il telefono mi spia".

Il metodo chiede: "Chi sta comunicando, con chi, quando e perché?".

Prima misura, poi tocchi

PCAPdroid è uno strumento perfetto per iniziare perché non richiede root. Simula una VPN locale e usa quel punto di osservazione per mostrare le connessioni create dalle app. Il traffico viene processato sul dispositivo, non inviato a un server VPN remoto.

Questo dettaglio è importante: stai aggiungendo visibilità, non delegando tutto a un altro intermediario.

Con un audit semplice puoi scoprire:

  • quali app generano traffico a schermo spento;
  • quali domini vengono contattati;
  • se il traffico è DNS, HTTPS o altro;
  • quali app di sistema sono più rumorose;
  • se una connessione si ripete ogni pochi secondi;
  • quali servizi compaiono solo dopo una notifica o un unlock;
  • quali app non avevi mai aperto ma parlano lo stesso.

Mappa visuale di un audit telemetria Android

La cosa più utile non è trovare un dominio "cattivo".

È costruire una baseline.

Lascia il telefono fermo per 20 minuti. Poi usalo normalmente per altri 20. Poi confronta. Se non hai una baseline, ogni modifica successiva diventa una sensazione.

Il problema delle app OEM

Samsung, Xiaomi, Oppo, Vivo, Google, operatori, app store alternativi, servizi duplicati: Android non è un solo Android.

Ogni telefono arriva con un ecosistema. Alcune componenti sono necessarie. Altre sono comode. Altre sono marketing travestito da servizio. Altre ancora sono legate a funzioni che non userai mai.

L'errore classico è aprire una lista di pacchetti, copiare comandi da un forum e disattivare tutto.

È un modo rapido per rompere notifiche, pagamenti, backup, fotocamera, sblocco, servizi bancari o aggiornamenti.

La strada migliore è più lenta:

  • osserva il traffico;
  • identifica l'app o il pacchetto;
  • cerca cosa fa;
  • valuta se usi davvero quella funzione;
  • disattiva una cosa alla volta;
  • riavvia se serve;
  • misura di nuovo;
  • tieni nota delle modifiche.

Se il telefono diventa più silenzioso e resta stabile, hai guadagnato controllo.

Se disattivi a caso, hai solo fatto manutenzione emotiva.

Data Safety: utile, ma non onnisciente

Google Play chiede agli sviluppatori di dichiarare raccolta, condivisione e protezione dei dati nella sezione Data Safety. È un passo utile perché mette l'informazione prima dell'installazione e obbliga anche a considerare SDK e librerie di terze parti.

Ma non è una radiografia perfetta.

La documentazione Google chiarisce che gli sviluppatori sono responsabili di dichiarazioni complete e accurate. Ed è proprio qui che nasce il problema: molte app moderne sono catene di librerie, SDK, servizi cloud, analytics, crash reporting, notifiche e moduli pubblicitari.

Sapere davvero cosa viene raccolto non è banale nemmeno per chi sviluppa.

La ricerca 2026 sui log Android va nella stessa direzione: i log possono contenere informazioni sensibili e spesso gli sviluppatori sottovalutano quanto finisce in diagnostica, monitoraggio o messaggi di debug. Un altro studio del 2026 sulle policy e i log mostra un disallineamento forte tra ciò che viene dichiarato e ciò che si osserva nei log.

Morale pratica: la privacy dichiarata è un indizio.

La privacy osservata è un'altra cosa.

Play Protect non è il nemico

Quando si parla di privacy Android, molti finiscono per buttare tutto nello stesso secchio: Google, Play Services, Play Protect, notifiche, sicurezza, tracciamento.

È più utile separare.

Google Play Protect controlla app all'installazione, scansiona periodicamente il dispositivo e può revocare permessi alle app inutilizzate. Queste funzioni possono proteggere utenti normali da software dannoso e permessi dimenticati.

Allo stesso tempo, protezione e telemetria vivono spesso nello stesso quartiere tecnico: per difenderti da app pericolose, un sistema deve sapere qualcosa del dispositivo, delle app installate, dei link e del comportamento.

La domanda non è "tutto acceso o tutto spento".

La domanda è: quale rischio sto riducendo, e quale controllo sto cedendo?

La checklist sana

Per un audit personale:

  • fai una baseline con PCAPdroid;
  • annota le app più rumorose;
  • controlla permessi e Data Safety;
  • disattiva notifiche e sync inutili prima di toccare pacchetti di sistema;
  • rimuovi app che non usi;
  • lascia Play Protect attivo se non hai un motivo forte per cambiare;
  • evita APK casuali da siti SEO-poisoned;
  • aggiorna il sistema;
  • misura di nuovo dopo ogni modifica.

Per un telefono di lavoro:

  • non improvvisare debloating;
  • rispetta MDM e policy aziendali;
  • segnala app rumorose al team IT;
  • separa account personali e aziendali;
  • non esportare PCAP con dati sensibili senza sapere dove finiscono.

Per chi ama sperimentare:

  • usa un telefono secondario;
  • tieni note;
  • cambia una variabile alla volta;
  • non confondere "meno connessioni" con "più sicurezza" in assoluto.

La frase da ricordare

Android non va trattato come una scatola magica.

Va trattato come una piccola città: ci sono strade, servizi pubblici, corrieri, negozi, telecamere, manutentori e quartieri rumorosi.

PCAPdroid ti dà una mappa.

Poi sta a te decidere quali strade hanno davvero bisogno di restare aperte.

FAQ

PCAPdroid richiede root?

No. Usa una VPN locale per osservare il traffico del dispositivo. Su telefoni con root può fare di più, ma l'audit base è già utile senza modifiche profonde.

Posso disinstallare tutte le app OEM?

No. Alcune sono inutili, altre reggono funzioni di sistema. Conviene procedere per piccoli passi, misurando prima e dopo ogni modifica.

La Data Safety del Play Store basta per capire la privacy di un'app?

Aiuta, ma non basta. È basata sulle dichiarazioni degli sviluppatori e sulle librerie incluse; va incrociata con permessi, traffico osservato e comportamento reale.

Il traffico verso Google è sempre male?

No. Push, sicurezza, sincronizzazione e Play Protect hanno funzioni legittime. Il punto è sapere cosa serve davvero e cosa è solo rumore.

Qual è il primo esperimento sicuro?

Lascia PCAPdroid acceso per 20 minuti a schermo spento, poi guarda quali app hanno parlato, verso quali domini e con quale frequenza. Non cambiare nulla prima di avere una baseline.

Fonti