[Soci SLIP] spaventosa situazione con android

[Lucio Crusca]

> Qui c'e' un racconto da brivido sulla (mancanza di) sicurezza
> di Android, con tanto di cause ed effetti  (ahime', in inglese):

Non c'è problema, la parte importante te le traduco io:

"Malicious individuals can intercept authentication tokens from Android
users running applications over an unsecured Wi-Fi network"

"Persone malintenzionate possono intercettare le chiavi di autenticazione
degli utenti Android che eseguono applicazioni su reti Wi-Fi NON SICURE".

Le parole magiche sono le ultime due: se uso una rete wi-fi aperta, senza
cifratura alcuna, dovrei sapere a priori (Android o meno) che i dati che
invio sono liberamente visibili da chiunque. Inoltre penso che nessun
cracker sano di mente si metterebbe ad intercettare il token di
autenticazione su una rete del genere, quando può tranquillamente
intercettare direttamente tutti i dati (agenda, contatti, etc...) che
passano in chiaro, senza rischiare di essere beccato ad entrare
nell'account di qualcun altro con un token "rubato".

Il problema comunque non è di Android o del fatto che alla base ci sia
Linux, ma delle applicazioni di Google che usano una connessione HTTP non
sicura invece di una connessione HTTPS (per intendersi, quella
dell'internet banking identificata da un lucchetto chiuso nell'angolino
del browser).

E vorrei aggiungere che, tanto i sedicenti ricercatori universitari che
hanno "scoperto" questa apocalittica falla di sicurezza (il fatto che il
protocollo HTTP non sia sicuro), quanto il giornalista che l'ha riportata,
di sicurezza capiscono ben poco, perché è una cosa nota da talmente tanto
tempo (tipo 20 anni) che non dovrebbe nemmeno più fare notizia o essere
chiamata una "scoperta". Tant'è, quello è il lavoro dei giornalisti, ma mi
stupiscono i ricercatori!

Come al solito però, il vero problema di sicurezza è l'utente finale che
decide di mettere i propri dati su internet senza sapere cosa sta facendo
nè come andrebbe usato lo strumento. A partire da lì, gli attacchi
informatici di tipo MITM (abbr. "Man In The Middle", quello descritto
dall'apocalittico articolo e noto da 20 anni), è, indovinate un po'?,
tranquillamente attuabile anche senza Android, senza cellulari, senza
Google e senza reti WiFi. Infatti lo si faceva già 20 anni fa. Basta che
l'utente usi una connessione HTTP invece di HTTPS.

Ah beh, dimenticavo che dire che lo si può fare anche con i dispositivi
Android oggi fa molto più notizia.

> Percentuale dell'hardwrae coinvolta: piu' del 99%. Tutti i cellulari,
> insomma.

Anche tutti i PC, tutti i server, tutte le telecamere IP, tutti gli
impiandi di riscaldamento ideati per la domotica e connessi ad internet.
Probabilmente fra qualche anno anche tutti i telecomandi dei garage!

> Il problema vero e' che l'uso del tutto scellerato dei mobiles, nel caso
> di android, inquina direttamente google e chiunque usi i google
> services.

Ahahaha! No, è esattamente il contrario. Qui sono i google services e le
relative app che hanno inquinato Android quando invece sono incriminate
solo le app di Google (vabbè tutto sommato hanno fatto tutto in casa loro,
peccato solo che la cosa collateralmente ed inevitabilmente inquinerà
anche il nome di Linux e di Java che nel caso specifico non hanno alcuna
colpa).

> IL danno e' anch'esso globalizzato.

Sì, il danno ai neuroni di chi tira fuori certe *******.

> C'era qualcuno, su questa lista, che aspettava il primo virus per linux,

Eccomi, sono presente.

> ora ne ha da toglersi la voglia,

No, non ancora, ma poi non è che io ne abbia voglia, cerco solo di restare
obiettivo e quindi evito di credere che Linux sia sicuro a priori, solo
perché si chiama Linux. Ad oggi però non esiste ancora un virus per Linux
(o per Java, o per Android) inteso come programma che ti entra nel sistema
client (desktop o mobile che sia) e ti sbrana i dati in modo automatico,
senza l'azione di un cracker malintenzionato. Qualche malware esiste, ma
richiede l'intervento umano per funzionare, quindi difficilmente scala a
livello globale e mette in ginocchio tutti i sistemi in 24 ore come
succede con i virus per Windows.

> malware, trojans ce n'e' per tutti i
> gusti.

No, non esiste nulla di tutto ciò. Esiste un gruppo di ricercatori che
aveva bisogno di un po' di notorietà (o forse di giustificare la loro
esistenza come tali) e di un giornalista che ha fatto il suo solito e
fastidioso mestiere: montare la notizia.

> Peggio delle peggiori previsioni un pessimista potesse fare.

Questo sì, perché speravo che almeno i ricercatori capissero qualcosa
della materia su cui ricercano. Vedo che non è così. Ancora una volta, il
problema di sicurezza è l'utente.

Lucio.