Android: AT USB

Nei telefoni Android la porta USB svolge molte funzioni, dalla ricarica all’accesso si dati del dispositivo. Se il produttore ha abilitato la funzione, la porta USB può diventare una porta seriale secondo le specifiche USB CDC (Communication Device Class) ACM (Abstract Control Model). Una volta abilitata la seriale, possiamo dialogare con il dispositivo usando i cari vecchi comandi AT, uno standard inventato nel 1981 da Dennis Heyes, fondatore dell’omonima società produttrice di modem. In questo studio di Dave Tian, Grant Hernandez, Joseph I. Choi, Vanessa Frost e altri è stato dimostrato che attraverso questa interfaccia alcuni dispositivi potrebbero rivelare informazioni sensibili. Leggi tutto “Android: AT USB”

SMS e autenticazione a due fattori

Error occurredL’autenticazione a due fattori si basa su due di queste tre caratteristiche:

  • quello che sei
  • quello che sai
  • quello che hai.

La prima delle tre (i dati biometrici in generale) è apparentemente la più pratica perché non si dimentica, non è copiabile (se la lettura è ben fatta) e non la si perde (a meno di mutilazioni, ovviamente). I dati biometrici espongono però una persona a rischi che in molti contesti sono giudicati troppo elevati per i dati da custodire: si pensi ad un malvivente che punta un’arma ad una persona per obbligarla a sbloccare qualcosa con l’impronta digitale. Si può ovviare il problema con il panic code usato come secondo fattore, ma c’è il concreto rischio che l’attaccante sappia del panic code e abbia reazioni spiacevoli.

Ecco perché l’autenticazione a due fattori più comune tra i servizi Internet si basa su una password (quello che sai) e un codice generato da un sistema terzo (quello che hai).

A parte soluzioni fatte in casa, uno dei primi metodi utilizzati è stato il token RSA: un piccolo dispositivo a forma di carta di credito (prima) o di portachiavi (poi) con un display a sei cifre il cui contenuto cambia ogni minuto. All’atto dell’accesso l’utente mette la propria password e il contenuto del display. Il sistema di RSA era considerato assolutamente sicuro fin quando la ditta non ha subito un attacco informatico.

Leggi tutto “SMS e autenticazione a due fattori”

Asymmetric Multilevel Outphasing

Lots Rd. Power Station (detail)Sembra una technobabble di Star Trek, invece è una tecnologia che potrebbe aiutare a ridurre i consumi dei cellulari e di altri apparecchi analoghi.

I trasmettitori radio devono bilanciare la linearità dello stadio di amplificazione e la sua efficienza.

Per risparmiare la batteria di un cellulare, l’amplificatore viene tenuto in standby; solamente quando è richiesta potenza di trasmissione l’amplificatore passa in modalità operativa e consuma più corrente.

Il problema è che il passaggio da uno stato all’altro provoca una distorsione del segnale: maggiore è la differenza di corrente tra i due stati e maggiore è la distorsione; perciò in modalità standby l’amplificatore viene alimentato con una quantità di corrente tale da ridurre la distorsione, ma non così elevata da consumare rapidamente la batteria.

Leggi tutto “Asymmetric Multilevel Outphasing”

Rubare un account di Google con il cellulare

Bormio: la gente dei PasqualiNegli USA ci sono campagne basate sul social engineering in cui si cerca di rubare gli account di Gmail utilizzando la funzione di conferma via SMS.

Una delle opzioni offerte da Gmail in caso di perdita della password è l’invio di un codice di verifica ad un numero cellulare fornito in precedenza, se un attaccante conosce l’account di Gmail e utilizza metodi di social engineering per carpire il codice inviato, il gioco è fatto.

Ecco un esempio di come sia possibile un sistema del genere.

L’attaccante invia ad un gruppo di destinatari un SMS con un testo tipo

Hai Vinto! Vai su xxxxxxx.com e inserisci il codice 12345!

Leggi tutto “Rubare un account di Google con il cellulare”

La virtualizzazione sugli Android

Conte Biancamano: telefoniVMware ha siglato due accordi con Verizon e Telefónica per la commercializzazione di dispositivi Android equipaggiati con Horizon Mobile.

L’hypervisor per Android ha dei bassi requisiti hardware (512 Mb di RAM e 700 Mhz di CPU) e consente, essenzialmente, di far girare due telefoni in un solo dispositivo mobile.

Questa soluzione è molto comoda per le aziende, che si stanno trovando a fronteggiare il problema dell’adozione di device privati da parte dei dipendenti privi delle caratteristiche di sicurezza necessarie per le comunicazioni aziendali.

Con Horizon Mobile l’azienda può lasciare al dipendente il suo dispositivo Android e permettere che l’utente installi ciò che desidera. Nel medesimo hardware viene avviato un secondo telefono con le policy e i servizi aziendali. I due sistemi operativi, quello personale e quello aziendale, sono separati senza possibilità di scambio dati, come avviene per tutte le VM gestite dall’hypervisor di VMware. (via Ars Technica, Programmazione.it)