[Soci SLIP] spaventosa situazione con android

[loredana]

On Fri, 2011-05-20 at 06:21 +0000, Lucio Crusca wrote:
> > Qui c'e' un racconto da brivido sulla (mancanza di) sicurezza
> > di Android, con tanto di cause ed effetti  (ahime', in inglese):

http://www.linuxfordevices.com/c/a/News/Univesity-of-Ulm-study-on-Android-plus-Juniper-report/

Rimetto il link, per non far sparire il contesto. Anche perche'
inviterei chi legge in inglese a leggere l'articolo direttamente. 

> Non c'è problema, la parte importante te le traduco io:

Il problema c'e', quello che dici qui sotto e' talmente diseducativo che
bisogna ribattere non a te personalmente, ma alle affermazioni che fai.

> Le parole magiche sono le ultime due: se uso una rete wi-fi aperta, senza
> cifratura alcuna, dovrei sapere a priori (Android o meno) che i dati che
> invio sono liberamente visibili da chiunque. 

Che non mi ero persa. Allora: conta quanti intorno a te sanno cosa
succede quando usano una rete wifi, magari in un aeroporto, e quando se
ne vanno in giro connettendosi a tutto quel che c'e' perche' non
spengono la radio ...

> Inoltre penso che nessun
> cracker sano di mente si metterebbe ad intercettare il token di
> autenticazione su una rete del genere, quando può tranquillamente
> intercettare direttamente tutti i dati (agenda, contatti, etc...) che
> passano in chiaro, senza rischiare di essere beccato ad entrare
> nell'account di qualcun altro con un token "rubato".

Google ti manda un token, e quel token resta valido per 14 giorni. Se
qualcuno prende il tuo token, ha 14 giorni di tempo per farci quel che
vuole, cioe' comportarsi nei confronti di google come se fossi tu
(questo e' classificato come "man-in-the-midlle-attack"). Il fatto che
uno poi sia costretto a star sempre con il wifi aperto e connesso per
far qualsiasi cosa da' certamente una mano a chi volesse metter su' un
access point per farti connettere e poi far quel che vuole.

> Come al solito però, il vero problema di sicurezza è l'utente finale che
> decide di mettere i propri dati su internet senza sapere cosa sta facendo
> nè come andrebbe usato lo strumento. 

Tutti ormai cercano di raccoglierne il piu' possibile, di questi utenti
finali. Lo ha gia' fatto windows, con i risultati sotto gli occhi di
tutti. 

> A partire da lì, gli attacchi
> informatici di tipo MITM (abbr. "Man In The Middle", quello descritto
> dall'apocalittico articolo e noto da 20 anni), è, indovinate un po'?,
> tranquillamente attuabile anche senza Android, senza cellulari, senza
> Google e senza reti WiFi. Infatti lo si faceva già 20 anni fa. Basta che
> l'utente usi una connessione HTTP invece di HTTPS.

"Man in the middle" e' solo la classe di attacchi, l'attacco specifico
e' quello poi che viene portato avanti a seconda delle pensate (di
google, in questo caso). Quello che dici (protocollo http non sicuro,
man in the middle, lo sanno tutti da sempre) e' cosi' vero che vien da
chiedersi come abbiano fatto quelli di google a non saperlo. O lo
sapevano? Sai qual e' la soluzione? Ci pensa google, entrando nei tuo
cellulare, a risolverti il problema. E puoi star certo che non si
occupera' di informare/formare l'utente.
 
> Ah beh, dimenticavo che dire che lo si può fare anche con i dispositivi
> Android oggi fa molto più notizia.

Non conosco quei ricercatori, ma mi pare semplicemente opportuno che
qualcuno studi la sicurezza di android o altre classi di dispositivi che
invadono/invaderanno la nostra vita in tutti i sui aspetti. E mi sembra
opportuno che qualcuno pubblichi i risultati. Senza essere tacciato di
andare in cerca di fama, senza essere sbeffeggiato senza ragione. Non e'
forse un bene?

Faccio notare che l'articolo non viene da un blog o da un quotidiano, 
viene da www.linuxfordevices.com, dove e' difficile che qualcuno non
del mestiere scriva. E' anche difficile che qualcuno cerchi fama li'.
Merita una lettura piu' attenta.

Non siamo al livello delle guerre di parole. Puo' darsi che qualcuno ce
l'abbia con google, ma questo non rende google un santo o perfetto. In
questo caso specifico, il problema e' cosa google ha combinato con
android e non si tratta di star da una parte o dall'altra. Si tratta,
per l'utente, di capire, per potersi cautelare e agire.

> > Percentuale dell'hardwrae coinvolta: piu' del 99%. Tutti i cellulari,
> > insomma.
> 
> Anche tutti i PC, tutti i server, tutte le telecamere IP, tutti gli
> impiandi di riscaldamento ideati per la domotica e connessi ad internet.
> Probabilmente fra qualche anno anche tutti i telecomandi dei garage!

NO, se non usano android. NO, leggi con calma, senza pensare che siamo
qui a far polemiche, ma cercando di capire di cosa si sta parlando ora,
come si dovrebbe sempre fare. Stiamo parlando di una scelta talmente
stupida che e' difficile pensare non sia stata fatta apposta, con altri
fini. 

The problem exists in Android 2.3.3 and earlier, which includes 99.7
percent of current Android devices, according to Google's platform
statistics. The hole has been addressed in 2.3.4, and all the
applications now use the secure HTTPS connection to access Google
services, according to the researchers. Now, Google is apparently
back-porting this code to phones running other releases via its silent
fix.

"Il problema c'e' in android 2.3.3 e precedenti e include il 99.7% dei
dispositivi android in circolazione al momento, secondo le statistiche
fornite da google sulle piattaforme. Il baco e' stato risolto in 2.3.4 e
tutte le applicazioni ora usano, secondo i ricercatori, la connessione
sicura https per accedere ai servizi google. Ora, google sta facendo il
back-port di questo fix su telefoni che usano le versioni precedenti
attraverso la sua "correzione silenziosa" (che vuol dire, senza che
l'utente lo sappia o se ne accorga, n.d.r)

> > Il problema vero e' che l'uso del tutto scellerato dei mobiles, nel caso
> > di android, inquina direttamente google e chiunque usi i google
> > services.
> 
> Ahahaha! No, è esattamente il contrario. Qui sono i google services e le
> relative app che hanno inquinato Android quando invece sono incriminate
> solo le app di Google (vabbè tutto sommato hanno fatto tutto in casa loro,
> peccato solo che la cosa collateralmente ed inevitabilmente inquinerà
> anche il nome di Linux e di Java che nel caso specifico non hanno alcuna
> colpa).

Se non ci fosse stato android, non ci sarebbe stato il problema. Vedi
sopra. Non si capisce il fix su android, se il problema sta altrove. 
Se poi vuoi dire che il problema e' stato concettuale, siamo daccordo,
ma il fatto e' che e' implementato in android, non su tutti i pc o
altrove.

> > IL danno e' anch'esso globalizzato.
> 
> Sì, il danno ai neuroni di chi tira fuori certe *******.

Lucio, tu devi imparare una cosa semplice: non hai sempre ragione e gli
altri non sono sempre e solo li' a tirar fuori certe ... A volte ti
sbagli tu. Bisogna ascoltare, far del proprio meglio per capire cosa
stanno cercando di dirci (o, magari, di non dirci) e poi rispondere.
Cosi' si imapara qualcosa in piu' ad ogni interazione e si va avanti,
pian pianino.

> > malware, trojans ce n'e' per tutti i
> > gusti.
> No, non esiste nulla di tutto ciò. Esiste un gruppo di ricercatori che
> aveva bisogno di un po' di notorietà (o forse di giustificare la loro
> esistenza come tali) e di un giornalista che ha fatto il suo solito e
> fastidioso mestiere: montare la notizia.

Adesso basta. E' maledettamente diseducativo sia il modo, sia quello che
dici, E lo e' su un problema serissimo, che dovremmo tutti sforzarci di
sottolineare e in qualche modo arginare e, nel piccolo, contribuire a
risolvere, anche solo divenendone coscienti.

Leggi tutto. Se non leggi tutto, cerca nel testo la parola trojans,
malware e leggi almeno quello. Per tutti gli altri, lo
riporto e traduco qui sotto (ripeto, l'articolo e' di professionisti,
non arriva da un blog o da un giornalista che non sa di cosa  parla):

Juniper: Android malware increased by 400 percent
"Juniper: il malware android e' cresciuto del 400%"

The Wi-Fi vulnerability news follows a Juniper Networks report posted on
May 11 claiming that cyber-attackers are increasingly gunning for
Android as they take advantage of a user base that is "unaware,
disinterested or uneducated" in mobile security. Android malware has
surged 400 percent since summer 2010, according to the "Malicious Mobile
Threats Report 2010/2011." 

"Le notizie sulla vulnerabilita' wifi seguono un rapporto della Juniter
Networks dell'11 maggio che afferma che gli attaccanti cibernetici
stiano concentrandosi su android perche' possono trarre vantaggio da una
base utente che e' "inconsapevole, disinteressata o non istruita" sui
problemi di sicurezza mobile"

About 17 percent of all reported infections were due to SMS Trojans
sending text messages to premium rate numbers, the report found. Spyware
capable of monitoring phone calls and text messages from the device
accounted for 61 percent of reported infections. All reported infections
on Android devices were of this kind of spyware.

"Circa il 17% di tutte le infezioni riportate sono dovute a SMS TROJANS
che inviano messaggini a numeri di telefono a pagamento, come rilevato
dal rapporto. Spyware capaci di monitorare chiamate telefoniche e 
messaggi di testo costituiscono il 61% delle infezioni rilevate.
Tutte le infezioni dei dispositivi Android sono di questo tipo 
di spyware."

The current trend shows that malware developers are increasingly
targeting Android, In addition, the attacks are likely to get more
advanced, such as turning mobile devices into a zombie in a botnet, said
Juniper. The Juniper report cited a 2010 SANS Institute study that found
only 15 percent of smartphone users were employing antivirus on their
phones.

"Il trend corrente mostra che gli sviluppatori di malware stanno sempre
di piu' usando android come obiettivo. Inoltre, il rapporto Juniper
sostiene che gli attacchi probabilmente si faranno piu' sofisticati,
trasformando i dispositivi mobili in zombies per botnets. Lo stesso
rapporto cita uno studio del 2010 del SANS Institute che ha rilevato
come solo il 17% degli utenti di smartphone stiano usando antivirus sui
loro telefoni." 

Somewhat prophetically, since the report came out about a week before
the Univeristy of Ulm report, Juniper also warned that the increase in
Wi-Fi enabled devices could result in more man-in-the-middle attacks,
especially as people continue to trust public Wi-Fi hotspots.

"In modo quasi profetico, visto che il rapporto e' uscito una settimana
prima del rapporto dell'universita' di Ulm, Juniper avverte anche che
l'aumento di dispositivi con wifi potrebbe risultare in un incremento di
attacchi del tipo "man-in-the-middle", soprattutto se le persone
continuano a fidarsi di accessi wifi pubblici (che nel resto del mondo
civile abbondano, n.d.r)."

E la soluzione fa rabbridire piu' del problema:

a Google spokesperson reportedly told the publication. "This fix
requires no action from users and will roll out globally over the next
few days." According to the story, the "silent fix" will target all
phones, regardless of the Android release, although Google would not
offer further details. 

"Sembra che Google abbia cosi' risposto: la correzione del baco
non richiede alcuna azione da parte degli utenti e sara' applicata
globalmente nei prossimi giorni. Secondo l'articolo, "la correzione
silenziosa" varra' per tutti i telefoni, indipendentemente dalla
versione di Android, ANCHE SE GOOGLE NON OFFRIRA' ULTERIORI DETTAGLI".

> > Peggio delle peggiori previsioni un pessimista potesse fare.
> 
> Questo sì, perché speravo che almeno i ricercatori capissero qualcosa
> della materia su cui ricercano. Vedo che non è così. Ancora una volta, il
> problema di sicurezza è l'utente.

Questo e' vero. Il maggior problema e' l'utente. Per questo, l'approccio
con l'utente di GNU/linux e' stato per molto tempo diverso da quello di
windows: niente utente con privilegi senza password perche' cosi' 
"e' piu' facile" e cosi' via. Ma ora siamo allo sbando piu' totale:
l'utente ebete e felice piace a tutti, quando paga.

Lascia stare i ricercatori, sono come tutti gli altri, qualcuno capisce
quello che fa, qualcuno no. Qualcuno e' piu' serio, altri no. Metterli
tutti insieme e' ridicolo, come mettere in un sol mucchio tutti i
vigili, tutti gli uomini, tutte le donne. 

Suggerirei di non dire che lo studio e' inutile o che diffonderlo non
sia utile, questo e' un pessimo modo di aiutare gli altri a capire che
c'e un rischio vero per cui prender le misure, per quanto si puo'. Anche
solo sapendo che il rischio c'e'. 

Loredana