Tecnologia, ignoranza e il Corriere del Veneto

articolo-ridicoloSarà, ma continuo a stupirmi nel vedere giornalisti che, prima di scrivere un articolo, non provano ad informarsi sull’argomento che vogliono trattare. Non pretendo certo di diventari degli esperti, ma almeno conoscere la basi di quello di cui si parla mi sembra il minimo sindacale.
Troppo spesso mi imbatto in articoli imbarazzanti, come quello del Corriere del Veneto, postato su Facebook qualche giorno fa dall’amica Betta, dal titolo “Allarme bomba sotto il ponte, ma è un dispositivo per i Pokemon“. Leggi tutto “Tecnologia, ignoranza e il Corriere del Veneto”

Twitter spia l’elenco delle APP installate

La storia di feature aggiunte e contrabbandate come miglioramento dell’esperienza dell’utente (user esperience) ha iniziato a diventare insopportabile tanto quanto la locuzione xxxxxx experience.

Alcune APP guardano l’elenco delle APP installate apparentemente per profilare l’utente, la qual cosa è, francamente, oltre il limite della tolleranza. Quella di Twitter si è aggiunta da poco a questo gruppo di simpatiche APP che non si fanno gli affaracci loro.

C’è un metodo a priori per bloccare questo comportamento di ogni APP. Dal momento che Twitter non ha ancora abilitato questa funzione, è il caso di agire subito. Leggi tutto “Twitter spia l’elenco delle APP installate”

CyanogenMod

CyanogenModCon eccessivo ritardo rispetto a quando avrei dovuto farlo, mi sono finalmente deciso ad installare CyanogenMod sul telefono che uso abitualmente (Samsung S4) e sul muletto per le prove (Google Nexus S).

Ho anche voluto documentare la procedura e scrivere un manualetto per chi vuole utilizzare CyanogenMod. Rimando a questa pagina per le procedure e le eventuali avvertenze.

CyanogenMod permette di assumere davvero il controllo del proprio dispositivo, con i privilegi e i rischi del caso.

Senza installare nulla in più c’è una funzione che da sola vale tutto CyanogenMod: PrivacyGuard. Questa funzione è accessibile dal menu di impostazioni sotto Privacy e permette di regolare i privilegi delle varie applicazioni. Con Privacy Guard si possono revocare o monitorare i privilegi che le vari applicazioni chiedono al sistema operativo. In questo modo potete impedire alle applicazioni di ficcanasare troppo nei vostri dati.

Potrebbe valere la pena fare una prova, magari utilizzando un telefono compatibile dismesso o acquistato di seconda mano per familiarizzare con l’ambiente prima di utilizzare CyanogenMod sul telefono principale.

Porta USB di Android

usb uartL’acceso fisico ad un computer equivale all’accesso di root.

Sebbene questo sia il mantra che viene ripetuto da chi si occupa di sicurezza, c’è la presunzione che cellulari e tablet siano meno attaccabili di un normale computer sotto questo aspetto. Illusi.

I sistemi di estrazione dei dati dai cellulari sono relegati alle apparecchiature per l’uso forense, che costano (quelle belle) oltre diecimila euro, escluso l’abbonamento annuale per gli aggiornamenti.

Michael Ossmann e Kyle Osborn hanno dimostrato {video} come sia possibile con costi contenuti e con materiali facilmente reperibili accedere alla console di debug di Android di molti dispositivi, anche se la funzione di debug è disabilitata. Il metodo utilizzato è semplicissimo, una volta che si conosce come funzionano le cose.

Leggi tutto “Porta USB di Android”

APP o browser?

link a facebookLo dico subito: non sono mai stato un fanatico del fenomeno delle APP, specialmente quando venivano spacciate come “evoluzione” del web.

Riconosco che quando è nato l’iPhone le reti cellulari non erano dei fulmini di guerra per la trasmissione dati, i siti non erano (più) ottimizzati per connessioni a bassa velocità e ovviamente non esisteva (ancora) il concetto di “versione mobile del sito”.

In sé la APP disaccoppia i dati dalla presentazione: la presentazione risiede staticamente sul telefono (client) e i dati vengono pescati dinamicamente dal server via http[s]. Questa tecnica riduce notevolmente il traffico dati perché la presentazione (la APP), che è la parte più cospicua dal punto di vista del traffico, viene trasmessa solo in fase di installazione/aggiornamento.

Ma c’è un pericoloso risvolto della medaglia: una APP è un vero e proprio programma che gira sul telefono a cui vengono concessi dei permessi di accesso da parte dell’utente (si spera in maniera consapevole). Senza contare il fatto che spesso una APP “presenta” dei contenuti del web, senza però offrire la possibilità di ricavare un riferimento ipertestuale (URL) a quei contenuti per trasmetterli o referenziarli altrove. In alte parole, rompe uno dei fondamenti del WWW.

Si può star qui a disquisire sull’opportunità di avere un sistema con più o meno granularità di permessi, ma alla fine la questione è una: le APP tendono a chiedere più privilegi di quelli che hanno bisogno, nel nome della oramai logora “migliore esperienza di utilizzo”.

Facebook è un chiaro esempio di questa espansione e trasformazione verso qualcosa che diventa onestamente eccessivo. Se si guarda l’applicazione per Android, i permessi richiesti sono poco giustificabili ad una prima analisi. Non sono, ovviamente, tirati a caso, ma l’applicazione di Facebook inizia a diventare onestamente troppo invasiva.

Leggi tutto “APP o browser?”

Seria vulnerabilità di alcuni Android

BT engineer at Covent GardenRavi Borgaonkar, un ricercatore presso il dipartimento delle telecomunicazioni della Technical University di Berlino, ha dimostrato alla conferenza sulla sicurezza argentina Ekoparty l’esistenza di una severa vulnerabilità di alcuni telefoni Android e altri telefoni Samsung basati su sistemi operativi differenti.

Il problema si basa sulla gestione dell’URI tel: e consentirebbe ad un attaccante di convincere la vittima a visitare una pagina web ad hoc per cancellare il contenuto del telefono attraverso un apposito codice USSD.

La pagina che sfrutta la vulnerabilità deve contenere questo codice HTML:

<iframe src="tel:..."></iframe>

Dove al posto dei tre puntini si mette il codice USSD per cancellare il telefono.

Per verificare se un telefono è vulnerabile si può visitare la pagina androidtest.siamogeek.com che contiene l’exploit descritto sopra per visualizzare il codice IMEI del telefono. Se la pagina mostra il codice IMEI del telefono, quella versione del software è vulnerabile.

Leggi tutto “Seria vulnerabilità di alcuni Android”

X-Ray for Android

X-Ray for Android è un’applicazione che analizza il sistema per verificare eventuali problemi noti di sicurezza.

L’applicazione non è disponibile sulla piattaforma di distribuzione ufficiale, ma va installata dal suo sito previa abilitazione di questa funzione nelle impostazioni di Android.

Leggi tutto “X-Ray for Android”

La virtualizzazione sugli Android

Conte Biancamano: telefoniVMware ha siglato due accordi con Verizon e Telefónica per la commercializzazione di dispositivi Android equipaggiati con Horizon Mobile.

L’hypervisor per Android ha dei bassi requisiti hardware (512 Mb di RAM e 700 Mhz di CPU) e consente, essenzialmente, di far girare due telefoni in un solo dispositivo mobile.

Questa soluzione è molto comoda per le aziende, che si stanno trovando a fronteggiare il problema dell’adozione di device privati da parte dei dipendenti privi delle caratteristiche di sicurezza necessarie per le comunicazioni aziendali.

Con Horizon Mobile l’azienda può lasciare al dipendente il suo dispositivo Android e permettere che l’utente installi ciò che desidera. Nel medesimo hardware viene avviato un secondo telefono con le policy e i servizi aziendali. I due sistemi operativi, quello personale e quello aziendale, sono separati senza possibilità di scambio dati, come avviene per tutte le VM gestite dall’hypervisor di VMware. (via Ars Technica, Programmazione.it)