Cellulari e PDA

27 febbraio 2012

Facebook, Youtube, le app e la nostra privacy

Un articolo del Sunday Times di Londra, ripreso da Fox News, riporta che l'app di Facebook per smartphone Android avrebbe accesso agli SMS che inviamo e riceviamo.

" Facebook admitted reading text messages belonging to smartphone users who downloaded the social-networking app [...] "

Inoltre, l'app di Youtube per smartphone e tablet Android avrebbe i permessi per accedere alla fotocamera del dispositivo per scattare fotografie e prendere video "in qualsiasi momento".

" [...] others, such as YouTube, are capable of remotely accessing and operating users' smartphone cameras to take photographs or videos at any time. " 

Facebook ha risposto a un articolo simile di Business Insider spiegando che la possibilità in lettura e scrittura degli SMS è necessaria solo per alcuni test che l'azienda ha eseguito (non con il pubblico).

" The reason it is on there is because we have done some testing (not with the general public) of products that require the SMS part of the phone to talk to the Facebook App. "

Al Sunday Times Facebook ha dichiarato che, in sostanza, il permesso di leggere e scrivere SMS l'app se lo è preso ma che non lo userà.

" However, other than some very limited testing, we haven't launched anything yet so we're not using the permission. "

Il problema se queste aziende usino o meno i permessi accordati alle loro applicazioni è importante ma non è l'unico. Quante altre app, installate sui dispositivi mobili, hanno accesso a telefonate, SMS, fotocamera e microfono senza chiamarsi Youtube o Facebook, e quindi senza dover rendere conto al Sunday Times e agli altri organi di stampa?

Credo anzitutto che il "furto" di immagini, video e audio da parte di tablet e smartphone apra degli scenari molto preoccupanti. Una qualsiasi app che abbia il controllo della fotocamera potrebbe catturare immagini e conversazioni (il microfono viene attivato durante i video) a insaputa dell'utente.

Spesso si danno molte responsabilità agli utenti, come ad esempio quella di controllare bene i permessi richiesti da un'app prima di installarla. Benché questa sia una buona pratica, non è sempre possibile per un utente prevedere comportamenti malevoli nelle applicazioni. Del resto per molti è normale che l'app di Youtube chieda accesso alla fotocamera, quindi non ci si fa troppi problemi a concedergliela. Come fare per proteggersi in questi casi?

Io vedo tre soluzioni che l'industria dovrebbe adottare, dove l'una non esclude l'altra:

  1. Il produttori di dispositivi mobili dovrebbero trovare delle soluzioni hardware per "allertare" gli utenti quando un'app prende il controllo di elementi sensibili come la fotocamera, ad esempio con una spia luminosa - non intercettabile dal software - posta vicino all'obiettivo che si accende non appena quest'ultimo viene attivato.
  2. Il sistema dei permessi dovrebbe essere più granulare, dove con un segno di spunta l'utente abbia la facoltà di consentire o negare specifici accessi dell'app. Facebook ha dichiarato che l'accesso agli SMS è lì solo per questioni di test? Bene, allora in quel caso l'utente che installa l'app dovrebbe avere la facoltà di autorizzare Facebook ad avere solo gli accessi che necessita, negandogli invece l'accesso agli SMS che tanto non usa. Oggi invece è o tutto o niente.
  3. Vorrei vedere più applicazioni di sicurezza che eseguano un "audit" del sistema e che monitorino determinate risorse del dispositivo, allertando l'utente quando una qualsiasi di queste risorse viene attivata. Mettiamo ad esempio che il microfono si attivi quando l'utente non sta utilizzando il dispositivo. La nostra ipotetica app di sicurezza dovrebbe essere abbastanza intelligente da "capire" che un'altra applicazione sta accedendo al microfono in maniera "sospetta" e dovrebbe quindi allertare l'utente. Lo stesso vale ovviamente per la fotocamera, per gli SMS, e per qualsiasi altra area del dispositivo che l'utente considera "sensibile".

Smartphone e tablet sono entrati nelle nostre vite e nelle nostre case. Hanno accesso diretto alla nostra privacy, anche quando non ce ne rendiamo conto. Il sistema che regola la pubblicazione e l'uso delle app è ancora acerbo, e in questo "far west" è normale che si nasconda qualche bandito. Tenere gli occhi aperti purtroppo non basta più, c'è bisogno di più sicurezza e questa deve provenire dall'industria.

Scritto il 27 febbraio 2012 alle 14:04 nella Cellulari e PDA, Legge e policy, Privacy e spam, Wireless | | Commenti (0) | TrackBack (0)

| | |

05 gennaio 2012

Un bug di iOS5 mette a rischio la privacy delle immagini

In determinate circostanze è possibile, con l'iPhone bloccato, accedere alle immagini contenute nello smartphone.

Per prevenire indesiderati accessi alla galleria che contiene le immagini scattate dalla fotocamera è possibile utilizzare un codice di blocco che impedisce di visualizzare gli scatti e richiede di sbloccare il device inserendo il codice numerico. Il sistema appena descritto funziona bene, ma in determinate circostanze potrebbe rivelare alcune debolezze. 

La nuova falla nella sicurezza di iOS 5 spiegherebbe i suoi effetti tutte le volte in cui la data dello smartphone è portata ad un periodo precedente. Tale evento può verificarsi per impostazioni errate dell’utente o quando si cambia fuso orario. 

Maggiori informazioni su Apple.HDblog.

Scritto il 05 gennaio 2012 alle 13:03 nella Cellulari e PDA, Nuove vulnerabilità | | Commenti (0) | TrackBack (0)

| | |

01 dicembre 2011

Il vostro smartphone è sotto controllo?

Trevor Eckhart, un sysadmin e programmatore statunitense, ha trovato nel suo smartphone Android un rootkit (un programma che tenta di nascondere la sua presenza nel sistema) chiamato Carrier IQ. Questo software, stando alla ricerca di Eckhart, arriva già preinstallato sui telefoni e tiene sotto controllo un gran numero di attività, incluse le chiamate, la pressione dei tasti, gli sms (compreso il testo dei messaggi).

L'omonima azienda produttrice del software afferma che esso è installato su oltre 150 milioni di dispositivi in tutto il mondo. Scopo dichiarato del programma è quello di consentire alle aziende di telefonia di analizzare le cause di problemi come l'interruzione delle chiamate, problemi alle connessioni dati, ecc.

In questo video è possibile vedere Carrier IQ all'opera:

 

 

 

Scritto il 01 dicembre 2011 alle 13:56 nella Cellulari e PDA, Hacking, Privacy e spam | | Commenti (0) | TrackBack (0)

| | |

23 novembre 2011

Serve un antivirus per cellulari?

Oggi che vediamo le prime soluzioni di sicurezza per dispositivi mobili affacciarsi sul mercato, noto il tipico scetticismo che ha sempre accompagnato il lancio dei prodotti di sicurezza in un nuovo settore. Ricordo come già alla fine degli anni '80 e all'inizio dei '90 fosse ancora diffusa la convinzione che i virus del PC non esistessero, o che colpissero solo i computer degli altri.

Purtroppo, venti anni dopo, questo errore si sta ripetendo nel mondo degli smartphone. Solo perché pochissimi di noi hanno avuto a che fare con il malware per cellulari, non vuol dire che il problema non esista o non sia destinato a espandersi.

Un antivirus da solo non serve, è ovvio, perché il malware per cellulari non ha ancora una diffusione preoccupante. Serve quindi un programma di sicurezza a tutto tondo, con molteplici funzionalità, compresa la protezione dei dati in caso di smarrimento o furto dello smartphone.

A inizio mese sono stato intervistato da Wired su questo argomento: Antivirus per smartphone, servono davvero?

Mentre ieri un articolo su Lifehacker sostiene le ragioni di chi, come me, crede che le app di sicurezza siano utili: Do Android Antivirus Apps Actually Do Anything?

L'articolo chiude con un monito che sottoscrivo in pieno e che ricordo a ogni occasione: "Still, keep in mind that no mobile security app is a replacement for common sense."

Scritto il 23 novembre 2011 alle 14:02 nella Cellulari e PDA, Malware | | Commenti (0) | TrackBack (0)

| | |

21 aprile 2011

iPhone e iPad registrano i dati GPS a insaputa dell'utente

A partire da Giugno 2010 gli iPhone e iPad con la versione 4 del sistema iOS registrerebbero i dati GPS a insaputa dei loro utilizzatori. Lo ha riportato ieri il Guardian e la notizia sta rapidamente facendo il giro del mondo.

I dispositivi terrebbero dunque traccia degli spostamenti degli utenti, a loro insaputa, registrando i dati sul telefono e trasferendoli al computer durante la sincronizzazione.

Scrive il Guardian:

The file contains the latitude and longitude of the phone's recorded coordinates along with a timestamp, meaning that anyone who stole the phone or the computer could discover details about the owner's movements using a simple program.

 

Scritto il 21 aprile 2011 alle 13:37 nella Cellulari e PDA | | Commenti (0) | TrackBack (0)

| | |

20 aprile 2011

Michigan, la polizia stradale copia i dati privati dagli smartphone

In Michigan, negli Stati Uniti, la polizia stradale avrebbe iniziato a fermare gli autoveicoli e a scaricare i dati contenuti nello smartphone di chi era alla guida, anche senza sentire la necessità di contestare alcun reato.

Come riportato da Cnet la polizia utilizza un dispositivo che, collegato allo smartphone, esegue il download di SMS, fotografie, video, dati GPS, numeri della rubrica, anche superando PIN e password.

Ogni commento è superfluo, ma c'è un buon motivo se ho inserito questo post nella sezione Crittografia.

 

Scritto il 20 aprile 2011 alle 16:44 nella Cellulari e PDA, Crittografia, Legge e policy | | Commenti (0) | TrackBack (0)

| | |

04 gennaio 2011

Pagheremo col cellulare

Notate come il titolo non abbia alcun punto interrogativo alla fine.

Usare il proprio smartphone come metodo di pagamento alternativo alla carta di credito, al bancomat ecc. sarà sempre più comune in futuro. Oggi TechCrunch spiega come molti big (Google, Paypal, Apple) si stiano già preparando.

E perché menzionarlo in un blog di sicurezza? Perché il collegamento diretto fra il nostro cellulare e il nostro portafogli (oggi già esistente per via del credito telefonico, ma un domani sempre più presente grazie anche a queste tecnologie) è una delle condizioni essenziali per rendere redditizia la creazione di malware per smartphone.

Inoltre, la concentrazione dei sistemi operativi per cellulari si sta ormai consolidando. Aspettiamoci sempre più worm e rogue apps all'attacco dei nostri smartphone.

 

Scritto il 04 gennaio 2011 alle 20:27 nella Cellulari e PDA, Malware | | Commenti (0) | TrackBack (0)

| | |

29 novembre 2010

Arriva il "jailbreak" per Windows Phone 7

Era inevitabile. Appena uscito, ecco già un hack che consente di installare ciò che si vuole sul proprio Windows Phone 7.

Windows Phone 7 gets user-friendly hack for bypassing the Marketplace, loading your own apps (Endgadget.com)

 

Scritto il 29 novembre 2010 alle 11:48 nella Cellulari e PDA | | Commenti (0) | TrackBack (0)

| | |

02 agosto 2010

Un'applicazione per Android ruba alcuni dati riservati

Un wallpaper per i cellulari Android, ospitato sul Market ufficiale, catturerebbe informazioni riservate come il numero di telefono, l'id dell'abbonato e il numero della segreteria telefonica, inviandole poi a un server in Cina. L'applicazione è stata scaricata da un minimo di 1,1 milioni a un massimo di 4,6 milioni di volte.

Lo hanno affermato il CEO e il CTO dell'azienda di sicurezza Lookout alla conferenza Black Hat in corso a Las Vegas.

Benché il sistema Android elenchi il tipo di informazioni a cui avrà accesso ogni software che viene installato, generalmente questa schermata viene approvata dagli utenti senza porsi troppe domande.

Ne parla Venturebeat.

Scritto il 02 agosto 2010 alle 17:24 nella Cellulari e PDA, Privacy e spam | | Commenti (1) | TrackBack (0)

| | |

24 novembre 2009

Secondo worm per l'iPhone

IStock_000009958407XSmall

Stanno arrivando le prime minacce concrete all'iPhone di Apple. Dopo il primo worm di qualche settimana fa - praticamente innocuo - ora i telefoni "jailbroken" con la password di default sono vulnerabili a un nuovo malware.

Da BBC News:

A second worm to hit the iPhone has been unearthed by security company F-Secure.

It is specifically targeting people in the Netherlands who are using their iPhones for internet banking with Dutch online bank ING.

It redirects the bank's customers to a lookalike site with a log-in screen.

The worm attacks "jail-broken" phones - a modification which enables the user to run non-Apple approved software on their handset.

The handsets at risk also have SSH (secure shell) installed.

Many people use SSH so other programs can remotely connect to an iPhone and, among other things, transfer files. It comes with a default password, "alpine" which should be changed.

Only users who have installed SSH and not changed the password are at risk.

The new worm is more serious than the first because it can behave like a botnet, warns F-Secure.

This enables the phone to be accessed or controlled remotely without the permission of its owner.

Scritto il 24 novembre 2009 alle 09:17 nella Cellulari e PDA, Malware | | Commenti (0) | TrackBack (0)

| | |

Successivo »

Il Curatore

Iscriviti a questo sito (XML)

Cerca

Categorie

Archivi

Altro...

Creative Commons Attribution 3.0 Unported
Luca Sambucci

Crea il tuo badge