Android: AT USB

Nei telefoni Android la porta USB svolge molte funzioni, dalla ricarica all’accesso si dati del dispositivo. Se il produttore ha abilitato la funzione, la porta USB può diventare una porta seriale secondo le specifiche USB CDC (Communication Device Class) ACM (Abstract Control Model). Una volta abilitata la seriale, possiamo dialogare con il dispositivo usando i cari vecchi comandi AT, uno standard inventato nel 1981 da Dennis Heyes, fondatore dell’omonima società produttrice di modem. In questo studio di Dave Tian, Grant Hernandez, Joseph I. Choi, Vanessa Frost e altri è stato dimostrato che attraverso questa interfaccia alcuni dispositivi potrebbero rivelare informazioni sensibili. Leggi tutto “Android: AT USB”

SMS e autenticazione a due fattori

L’autenticazione a due fattori si basa su due di queste tre caratteristiche:

  • quello che sei
  • quello che sai
  • quello che hai.

La prima delle tre (i dati biometrici in generale) è apparentemente la più pratica perché non si dimentica, non è copiabile (se la lettura è ben fatta) e non la si perde (a meno di mutilazioni, ovviamente). I dati biometrici espongono però una persona a rischi che in molti contesti sono giudicati troppo elevati per i dati da custodire: si pensi ad un malvivente che punta un’arma ad una persona per obbligarla a sbloccare qualcosa con l’impronta digitale. Si può ovviare il problema con il panic code usato come secondo fattore, ma c’è il concreto rischio che l’attaccante sappia del panic code e abbia reazioni spiacevoli.

Leggi tutto “SMS e autenticazione a due fattori”

Asymmetric Multilevel Outphasing

Sembra una technobabble di Star Trek, invece è una tecnologia che potrebbe aiutare a ridurre i consumi dei cellulari e di altri apparecchi analoghi.

I trasmettitori radio devono bilanciare la linearità dello stadio di amplificazione e la sua efficienza.

Leggi tutto “Asymmetric Multilevel Outphasing”

Rubare un account di Google con il cellulare

Negli USA ci sono campagne basate sul social engineering in cui si cerca di rubare gli account di Gmail utilizzando la funzione di conferma via SMS.

Una delle opzioni offerte da Gmail in caso di perdita della password è l’invio di un codice di verifica ad un numero cellulare fornito in precedenza, se un attaccante conosce l’account di Gmail e utilizza metodi di social engineering per carpire il codice inviato, il gioco è fatto.

Ecco un esempio di come sia possibile un sistema del genere.

Leggi tutto “Rubare un account di Google con il cellulare”

La virtualizzazione sugli Android

VMware ha siglato due accordi con Verizon e Telefónica per la commercializzazione di dispositivi Android equipaggiati con Horizon Mobile.

L’hypervisor per Android ha dei bassi requisiti hardware (512 Mb di RAM e 700 Mhz di CPU) e consente, essenzialmente, di far girare due telefoni in un solo dispositivo mobile.

Questa soluzione è molto comoda per le aziende, che si stanno trovando a fronteggiare il problema dell’adozione di device privati da parte dei dipendenti privi delle caratteristiche di sicurezza necessarie per le comunicazioni aziendali.

Con Horizon Mobile l’azienda può lasciare al dipendente il suo dispositivo Android e permettere che l’utente installi ciò che desidera. Nel medesimo hardware viene avviato un secondo telefono con le policy e i servizi aziendali. I due sistemi operativi, quello personale e quello aziendale, sono separati senza possibilità di scambio dati, come avviene per tutte le VM gestite dall’hypervisor di VMware. (via Ars Technica, Programmazione.it)