Sicurezza e privacy sui dispositivi Android

Sicurezza e privacy sui dispositivi Android

È ormai storia vecchia… i più attenti avranno capito che sicurezza e privacy non vanno d’accordo con i dispositivi elettronici dotati di tecnologia wireless, come non esiste un PC, notebook, smartphone, ecc, sicuro al 100% (molto probabilmente non lo sarà “mai”). Anzi la situazione va peggiorando, oggi un’utente esperto e malintenzionato è in grado di controllare i tuoi elettrodomestici dotati di tale tecnologia (wireless).

A dir la verità la parola privacy è una stupidata assurda giacché non è mai esistita. È un po’ come la favola del debito pubblico, non si potrà mai arrivare a pari, mi stupisco come qualcuno ci creda… Nasciamo e moriamo indebitati, funziona in questo modo dal giorno che inventarono le tasse.

Mi torna in mente una frase di qualche giorno fa su Facebook, sì ho un’account su faceBuk ma lo uso esclusivamente per condividere articoli/post e nient’altro. Tuttavia, di rado, mi trovo a chattare (anche se per 1-2 minuti contati) con qualcuno, e come accenavo, mi è stato detto da una persona che le sue esperienze personali non le condividerebbe mai in rete. 😉

Concordo con questa persona, ma in quel momento mi stava raccontando qualcosa di personale probabilmente pensando che i mesaggi privati, lo siano davvero…

Wow! Quanta ingenuità, non sanno che un volta inviato un MMS, SMS, e-mail, e scritto qualsiasi cosa su uno dei social, la tua privacy è andata a farsi benedire. Questi sono veramente convinti di ciò che dicono, potrei elencare una marea di esempi, ma credo sia tempo perso. Ad ogni modo giusto per accennarne una, sappi (caro utente di “Faccia-Da-Libro” molto aperto) che ogni volta che invii una mail, quest’ultima viene archiviata (salvata) in un grosso hard disk (sono tanti, ma sto semplificando) e rimane a disposizione dell’impiccione esperto di turno, il quale può anche non esserlo, basta avere i privilegi di accesso al database in questione. E questi mi vengono a parlare di privacy personale.

Mettevelo in testa una volta per tutte, “la privacy non esiste!” anche se molte persone non comprendono appieno il significato di questa cosa, …dicono di non aver nulla da nascondere. 😉

Ma passiamo ad altro…

Ho letto un’interessante articolo scritto da Lorenzo Franceschi-Bicchierai di motherboard.vice.com che racconta la sua esperienza con Android.

Android e i suoi infiniti bug, in realtà non credo che i dispositivi Apple siano impenetrabili, ad ogni modo saranno sicuramente più affidabili della concorrenza.

Addio, Android

La settimana scorsa mi trovavo con un paio di hacker ed esperti di sicurezza a una conferenza a Brooklyn, quando ho tirato fuori il mio telefono Sony.

“Oh! Il giornalista usa Android. Molto sicuro!” ha detto un tizio vicino a me, con un tono sarcastico.

Ho ignorato il suo sarcasmo, anche se, scrivendo di sicurezza informatica, sapevo che in fondo aveva ragione. A distanza di qualche giorno, la sua battuta sembra essere stata in qualche modo una premonizione.

Come forse avete già saputo, un ricercatore che si occupa di sicurezza ha rivelato lunedì scorso che una serie di bug dentro il codice sorgente di Android hanno permesso ad alcuni hacker di spiare alcuni utenti tramite un semplice messaggio multimediale.

Se avete paura che il vostro dispositivo Android possa essere vulnerabile a questi bug, conosciuti come Stagefright, bé, ho brutte notizie per voi. È molto probabile che lo sia. In effetti, qualcosa come 950 milioni di telefoni rischiano di esserlo.

“È bene considerare tutti i dispositivi vulnerabili,” ha detto Joshua Drake, il ricercatore che ha trovato i bug.

[divider]

Questo bug espone il 95% dei dispositivi Android, si stimano circa 950 milioni di dispositivi. Il codice eseguibile agisce in remoto e può sfruttare vari metodi, e la cosa peggiore è che non richiede alcuna interazione da parte dell’utente.

Gli aggressori hanno solo bisogno del vostro numero di cellulare, tramite il quale possono eseguire codice da remoto per mezzo di un file multimediale appositamente creato fornito tramite MMS. Il malintenzionato è in grado anche di eliminare il messaggio prima che venga visualizzato dalla vittima. Si vedrà solo la notifica. Queste vulnerabilità sono estremamente pericolose perché, come detto prima, non richiedono che la vittima intraprenda alcuna azione. A differenza di spear-phishing, dove la vittima ha bisogno di aprire un file PDF o un link inviato dall’attaccante, questa vulnerabilità può essere attivata anche durante la notte, mentre dormite. Prima che vi svegliate, il malintenzionato avrà già rimosso tutte le tracce dal dispositivo e voi continuerete ad utilizzare il vostro smartphone come se niente fosse, ma con un trojan all’interno.

Questi screenshot sono stati scattati su un Nexus 5 con sistema Lollipop 5.1.1. mentre avviene l’infezione…

Per leggere l’articolo completo (in inglese) – http://blog.zimperium.com/experts-found-a-unicorn-in-the-heart-of-android/

[divider]

Sapevo che la sicurezza di Android non era il massimo.

Non sapevo niente di Stagefright la settimana scorsa, ovviamente, ma sapevo che la sicurezza di Android non era una favola. Ho ignorato lo stesso quel tizio e il suo sarcasmo perché, onestamente, sono un fanboy e un bastian contrario.

Mi sono opposto ai prodotti Apple fin da adolescente, quando Apple cercava di propinarmi con la forza le sue app (ah, iTunes) ogni volta che volevo solo guardarmi il trailer di un film su Quicktime. Non mi è mai piaciuto il giardino recintato di Apple e il loro approccio da “teniamo-tutto-sotto-controllo-noi” e provo un certo disprezzo per la stupida venerazione isterica da “mio dio c’è una nuova iCosa in uscita” dei fanboy di Apple.

Quando è uscito il primo iPhone, qualche anno fa, ho giurato in innumerevoli discussioni infuocate con amici e sconosciuti che non avrei mai comprato un iPhone. Da allora, ho posseduto soltanto telefoni Android. Prima un paio di HTC, ora un telefono Sony.

Bene, mi sono stufato. E sono pronto a passare al lato oscuro.

Google ha pochissimo controllo sugli aggiornamenti dei programmi, e gli utenti Android sono in balia dei gestori

Non fraintendetemi. Per molti aspetti, Android è fantastico. Amo la sua etica open source e la libertà di personalizzazione che lascia. Ma non ne posso più per una sola semplice, ma fondamentale, ragione.

Google ha pochissimo controllo sugli aggiornamenti dei programmi, e gli utenti Android sono in balia dei gestori e dei produttori telefonici quando si tratta di ricevere aggiornamenti o nuove versioni del sistema operativo. Per esempio, ci sono voluti più di sei mesi perché Sony mettesse Android 5.0 Lollipop sui telefoni Xperia Z, nonostante avesse promesso un rinnovo molto più rapido quando Google ha reso disponibile Lollipop. Tanto per fare un paragone, quando Apple ha rilasciato iOS 8 a settembre dell’anno scorso, l’aggiornamento è stato immediatamente disponibile per tutti gli utenti, persino quelli che avevano un iPhone 4S del 2011.

Come dice l’esperto di sicurezza Cem Paya, è stata una scelta cosciente che Google ha fatto quando ha creato Android. Paya lo definisce un patto alla Faust: “cedere il controllo su Android per ottenere un pezzo di mercato contro iPhone.” In altre parole, Google è stata felice di lasciare che i gestori infilassero i loro bloatware sui loro telefoni Android in cambio di una possibilità per sfidare Apple sul mercato della telefonia mobile. Il patto dava ai gestori e ai produttori il controlo sulle loro uscite di Android, rendendo per Google impossibile imporre dall’alto gli aggiornamenti di sistema.

Alcuni gestori e produttori sono migliori di altri, va detto, ma in linea di massima fanno tutti schifo quando si tratta di aggiornamenti. Non c’è altro modo per dirlo, davvero.

Citando il tweet (ora cancellato) di Nicholas Weaver, altro ricercatore che si occupa di sicurezza, “Vi immaginate come sarebbe se le patch di Windows dovessero passare attraverso Dell e il vostro ISP prima di arrivare a voi? E per di più a nessuno dei due frega qualcosa? Ecco, questo è Android.”

Nel 2013, la American Civil Liberties Union ha sporto denuncia alla Federal Trade Commission sostenendo che i maggiori gestori wireless mettessero gli utenti in una condizione di vulnerabilità davanti a hacker e cyber-criminali, perché non imponevano gli aggiornamenti di sicurezza fondamentali sui telefoni dei loro clienti.

Le cose sono un po’ cambiate da allora. Google ora ha un po’ più di controllo su certi aggiornamenti grazie ai Google Play Services, un insieme di API che vivono all’esterno dell’OS, e che si aggiornano automaticamente in sordina. Ma la sicurezza non è migliorata granché. Ad esempio, Google stessa si è rifiutata di aggiustare un problema di sicurezza che riguardava il 60 percento degli utenti di Android, che usavano le versioni più vecchie dell’OS, qualche mese fa. (Quel bug non è stato sistemato per quella fascia di utenti, ed è probabile che non lo sarà mai.)

Come ha detto una delle persone dietro la denuncia alla FTC, dopo due anni gli aggiornamenti di Android “fanno ancora schifo.”

E qui comincia la parte peggiore della storia. Drake ha informato Google di alcuni dei bug Stagefright per la prima volta il 9 aprile (ne ha poi segnalati altri all’inizio di maggio). Google, dal canto suo, ha risposto velocemente e ha inviato patch ai produttori quasi immediatamente.

Allora tutto ok, no? Invece no, perché, come ho detto prima, ora dipende dai gestori e dai produttori consegnare quelle patch a voi.

Lasciatemelo dire di nuovo: le patch sono pronte a partire. Sono state approvate da Google mesi fa. Ma non le vedrete ancora per settimane (se tutto va bene) o mesi (più probabilmente) o mai (una possibilità drammaticamente concreta) a seconda di quanto è vecchio il vostro telefono – se è troppo vecchio i produttori smettono semplicemente di tenerlo in considerazione – e di quanto apatici e svogliati siano i vostri produttori e gestori telefonici nei confronti degli aggiornamenti. Data la natura open di Android, mettere a disposizione gli aggiornamenti, come ha comunicato Android Central, è “una faccenda imprevedibile e caotica” che richiede il “contributo di un sacco di parti.”

Quando c’è un bug su iOS, Apple fornisce una patch e può imporre un aggiornamento per tutti gli utenti iPhone appena questo è pronto, senza cerimonie.

Ecco qual è la differenza fondamentale tra Android e iPhone. Quando c’è un bug su iOS, Apple fornisce una patch e può imporre un aggiornamento per tutti gli utenti iPhone appena questo è pronto, senza domande.

Quando succede la stessa cosa con Android, Google fornisce la patch e poi… solo dio sa quando le AT&T, Verizon, HTC e Sony del mondo decideranno che la cosa è seria abbastanza da essere presa in considerazione, magari solo perché avere un OS aggiornato è considerato un vantaggio sulla competizione). Che cavolo, persino i telefoni Nexus che sono proprietà di Google e su cui la compagnia ha pieno controllo, non hanno ancora avuto le patch per Stagefright.

Che cosa dovreste fare allora, se avete un telefono Android? Solo voi potete deciderlo. Non posso dirvi cosa fare della vostra vita, ma posso elencarvi le alternative.

Potete tenere il vostro telefono Android con la versione di Android che il vostro gestore o produttore ha deciso di mettere sul telefono, e ricevere gli aggiornamenti di sicurezza con settimane di ritardo, se non mai (se avete un Nexus la situazione è migliore, ma chi può dire se Google continuerà a produrre i Nexus in futuro).

O potete mettere mano al vostro telefono e installarci sopra l’eccellente e più veloce sistema operativo basato su Android che si chiama CyanogenMod. È una buona alternativa, ma non è facile installare CyanogenMod, e gli aggiornamenti per certi telefoni dipendono dal lavoro di volontari, quindi, anche in questo caso, potrebbe darsi che non arrivino tanto presto.

O, come ultima opzione, potete rinunciare, scegliere Apple e comprarvi un iPhone.

Con buona pace del vecchio me stesso, che mi odierebbe, ho intenzione di scegliere quest’ultima possibilità.

di Lorenzo Franceschi-Bicchierai

Fonte: http://motherboard.vice.com