[Soci SLIP] spaventosa situazione con android

[Lucio Crusca]

In data venerdì 20 maggio 2011 10:39:08, loredana ha scritto:
> Il problema c'e', quello che dici qui sotto e' talmente diseducativo che
> bisogna ribattere non a te personalmente, ma alle affermazioni che fai.

diseducativo? Credevo di aver dato delle informazioni utili...

> Che non mi ero persa. Allora: conta quanti intorno a te sanno cosa
> succede quando usano una rete wifi, magari in un aeroporto, e quando se
> ne vanno in giro connettendosi a tutto quel che c'e' 

Ok, ma il problema non è Android o Linux. Il problema è l'utente, come ho 
sempre detto.

> Google ti manda un token, e quel token resta valido per 14 giorni. Se
> qualcuno prende il tuo token, ha 14 giorni di tempo per farci quel che
> vuole, cioe' comportarsi nei confronti di google come se fossi tu
> (questo e' classificato come "man-in-the-midlle-attack"). 

Premesso che il MITM è tutta un'altra cosa (l'attacco MITM si realizza quando 
ti sniffano il token, non quando lo usano e per essere precisi l'articolo parla 
di MITM a sproposito perché, nel caso di reti Wifi non protette, è un normale 
sniffing, non un MITM, dato che si realizza senza interposizione sulla 
comunicazione di rete), non ho mica detto che il problema non esiste. Volevo 
sottolineare che non ha nulla a che vedere con Android e con Linux, ma 
scrivere che Android e Linux sono insicuri fa molto più notizia. Lo stesso 
problema potrebbe esserci su iPhone o su normali PC. Il peccato originale è il 
fatto che i Google services (lato server) accettino di aprire una sessione 
HTTP e di inviare dati personali su quella connessione invece di costringere 
(come fanno giustamente le banche) ad usare una connessione HTTPS. Cosa 
c'entra Android in tutto questo? E cosa c'entrano le reti WiFi? E cosa c'entra 
il MITM?

> Il fatto che
> uno poi sia costretto a star sempre con il wifi aperto 

Non ho capito chi costringe chi a fare cosa. Per come la vedo io sono sempre 
scelte (spesso inconsapevoli per ignoranza in materia) dell'utente. Di nuovo, 
non vedo colpe di Android o Linux in questo.

> e connesso per
> far qualsiasi cosa da' certamente una mano a chi volesse metter su' un
> access point per farti connettere e poi far quel che vuole.

E che differenza fa se usi quell'access point da un notebook invece che da un 
dispositivo Android? 

> > Come al solito però, il vero problema di sicurezza è l'utente finale che
> > decide di mettere i propri dati su internet senza sapere cosa sta facendo
> > nè come andrebbe usato lo strumento.
> 
> Tutti ormai cercano di raccoglierne il piu' possibile, di questi utenti
> finali. Lo ha gia' fatto windows, con i risultati sotto gli occhi di
> tutti.

Qui non capisco il nesso. Sostieni che la grande diffusione di utenza di 
Windows sia una condizione che ne favorisce la scarsa sicurezza? Quel "Tutti" 
che scrivi secondo me in questo caso si riferisce a Google con i suoi servizi 
online. Un problema di sicurezza di un sistema operativo come Android e Linux 
è ben altra cosa.

> "Man in the middle" e' solo la classe di attacchi, l'attacco specifico
> e' quello poi che viene portato avanti a seconda delle pensate (di
> google, in questo caso). Quello che dici (protocollo http non sicuro,
> man in the middle, lo sanno tutti da sempre) e' cosi' vero che vien da
> chiedersi come abbiano fatto quelli di google a non saperlo. 

Sono d'accordo ma ripeto che il problema non è di Android, ma le app di 
Google. È ben diverso, confondere le due cose sarebbe come dire che Linux non 
è sicuro perché è stata trovata una falla nella versione per Linux di Skype.

> O lo
> sapevano? Sai qual e' la soluzione? Ci pensa google, entrando nei tuo
> cellulare, a risolverti il problema. E puoi star certo che non si
> occupera' di informare/formare l'utente.

Beh sono contento che ne sia sicura tu. Io ti farò sapere fra qualche giorno. 
Ho un cellulare Android con Android 2.1 e le app di Google con il problema di 
sicurezza descritto. Ad oggi sono ancora alla loro versione originale (tanto 
non le uso, quindi non mi interessa neppure aggiornarle). Questo è l'estratto 
del risultato di un ls -l nella cartella delle applicazioni del mio cellulare:

-rw-r--r-- root     root       396679 2010-07-26 18:51 GoogleApps.apk

$ md5sum GoogleApps.apk 
62dd903ed964a127250fcd57652dbdd6  GoogleApps.apk

Fra qualche giorno controllo se saranno state aggiornate automaticamente senza 
il mio consenso, nel qual caso sarà vero quello che hai scritto. Sospetto però 
che non accadrà.

> > Ah beh, dimenticavo che dire che lo si può fare anche con i dispositivi
> > Android oggi fa molto più notizia.
> 
> Non conosco quei ricercatori, ma mi pare semplicemente opportuno che
> qualcuno studi la sicurezza di android o altre classi di dispositivi che
> invadono/invaderanno la nostra vita in tutti i sui aspetti. E mi sembra
> opportuno che qualcuno pubblichi i risultati. Senza essere tacciato di
> andare in cerca di fama, senza essere sbeffeggiato senza ragione. Non e'
> forse un bene?

Io ho solo letto l'articolo, in effetti non so cosa abbiano veramente detto i 
ricercatori. La notiza falsa è che il problema di sicurezza riguardi Android, 
poi magari se l'è inventata di sana pianta il giornalista.

> Faccio notare che l'articolo non viene da un blog o da un quotidiano,
> viene da www.linuxfordevices.com, dove e' difficile che qualcuno non
> del mestiere scriva. E' anche difficile che qualcuno cerchi fama li'.
> Merita una lettura piu' attenta.

Faccio notare che chi segue la sicurezza sa che le sorgenti di informazioni 
più affidabili sono proprio i blog di alcuni hacker indipendenti molto in gamba 
e non soggetti a varie dinamiche di mercato (possono dire le cose come 
stanno). linuxfordevices è una proprietà di eWeek, che è una testata online 
che per sopravvivere deve attirare lettori. Inoltre la materia sicurezza non è 
una di quelle dove linuxfordevices eccelle o detiene qualche tipo di merito. 
Nulla contro il sito, anzi mi piace anche ed ha molte informazioni utili, ma 
non nel campo della sicurezza. È come leggere di finanza sulla gazzetta dello 
sport.

> Non siamo al livello delle guerre di parole. Puo' darsi che qualcuno ce
> l'abbia con google, ma questo non rende google un santo o perfetto. 

Ti prego, non mettermi in bocca parole che non ho detto. C'è un problema di 
sicurezza che riguarda le app ed i servizi di Google, nessuno lo nega.

> In
> questo caso specifico, il problema e' cosa google ha combinato con
> android 

Nooooooo. Con le sue app e con i suoi servizi online. Non con Android.

> e non si tratta di star da una parte o dall'altra. Si tratta,
> per l'utente, di capire, per potersi cautelare e agire.

Che poi è esattamente quello che dicevo io, il problema è che gli utenti usano 
la tecnologia senza capirla.

> 
> > > Percentuale dell'hardwrae coinvolta: piu' del 99%. Tutti i cellulari,
> > > insomma.
> > 
> > Anche tutti i PC, tutti i server, tutte le telecamere IP, tutti gli
> > impiandi di riscaldamento ideati per la domotica e connessi ad internet.
> > Probabilmente fra qualche anno anche tutti i telecomandi dei garage!
> 
> NO, se non usano android. 

Invece sì. Anche se non usano android. E ti dirò di più, è probabile che il 
problema sia presente anche in app non di google che accedono via HTTP a 
servizi di Google (tanto per dire ne ho scritta una io, che però gira su un 
server Linux e risente dello stesso identico problema di sicurezza). 

> NO, leggi con calma, senza pensare che siamo
> qui a far polemiche, 

Ma non faccio polemica! Cerco solo di dare informazioni corrette per la 
miseria! E non ce l'ho con te, ma con quel giornalista!

> ma cercando di capire di cosa si sta parlando ora,
> come si dovrebbe sempre fare. Stiamo parlando di una scelta talmente
> stupida che e' difficile pensare non sia stata fatta apposta, con altri
> fini.

E quali? Tanto Google i dati dei suoi utenti li ha già, cosa gli verrebbe in 
tasca a renderli facilmente accessibili da terzi attraverso la wireless aperta 
del bar di turno?

> attraverso la sua "correzione silenziosa" (che vuol dire, senza che
> l'utente lo sappia o se ne accorga, n.d.r)

Che è di nuovo qualcosa che ha scritto il giornalista. Stiamo a vedere se 
accadrà, tanto abbiamo il modo per verificarlo.

> Se non ci fosse stato android, non ci sarebbe stato il problema. 

Come dire che se non ci fosse Windows, Oulook sarebbe un software sicuro.

> Vedi
> sopra. Non si capisce il fix su android, se il problema sta altrove.

Il fix non è su Android, ma sulle App di Google (che nella maggior parte dei 
casi vengono distribuite assieme ad Android, ma sono cose diverse e gli 
aggiornamenti sono separati).

> Se poi vuoi dire che il problema e' stato concettuale, siamo daccordo,
> ma il fatto e' che e' implementato in android, non su tutti i pc o
> altrove.

Ok, ma limitatamente alle app di Google. Da lì a dire che avremo malware, 
trojan e chi più ne ha più ne metta su Android e Linux  ce ne passa un bel 
pezzo.

> 
> > > IL danno e' anch'esso globalizzato.
> > 
> > Sì, il danno ai neuroni di chi tira fuori certe *******.
> 
> Lucio, tu devi imparare una cosa semplice: non hai sempre ragione e gli
> altri non sono sempre e solo li' a tirar fuori certe ... A volte ti
> sbagli tu. 
> Bisogna ascoltare, far del proprio meglio per capire cosa
> stanno cercando di dirci (o, magari, di non dirci) e poi rispondere.
> Cosi' si imapara qualcosa in piu' ad ogni interazione e si va avanti,
> pian pianino.
> 

Ovviamente questo vale per me come per te e tutti gli altri.

> Adesso basta. E' maledettamente diseducativo sia il modo, sia quello che
> dici, E lo e' su un problema serissimo, 

Non vedo come dare informazioni errate possa essere più educativo.

> Leggi tutto. 

L'avevo già fatto.

> Juniper: Android malware increased by 400 percent
> "Juniper: il malware android e' cresciuto del 400%"

Ma sarà anche, ma non c'entra nulla questa vulnerabilità. Questa è l'ulteriore 
dimostrazione del fatto che il giornalista ha montato la notizia. Ha scritto 
un dato sul malware per android abbinandolo ad una pseudo-notizia su un buco 
di sicurezza di alcune app per Android, suggerendo che le due cose fossero in 
qualche modo correlate. Il malware esiste anche per Linux, ma, come dicevo, 
richiede l'intervento dell'utente o dell'attaccante per funzionare. Idem 
quello per Android. Il problema di sicurezza esposto invece è puramente dovuto 
alle app di Google ed al cattivo uso che gli utenti fanno dello strumento 
"internet" in generale.

> "Le notizie sulla vulnerabilita' wifi seguono un rapporto della Juniter
> Networks dell'11 maggio ..."

"seguono" in ordine cronologico. Non significa "conseguono da".

> che afferma che gli attaccanti cibernetici
> stiano concentrandosi su android perche' possono trarre vantaggio da una
> base utente che e' "inconsapevole, disinteressata o non istruita" sui
> problemi di sicurezza mobile"

Appunto quello che dicevo.

> "Circa il 17% di tutte le infezioni riportate sono dovute a SMS TROJANS
> che inviano messaggini a numeri di telefono a pagamento, come rilevato
> dal rapporto. Spyware capaci di monitorare chiamate telefoniche e
> messaggi di testo costituiscono il 61% delle infezioni rilevate.
> Tutte le infezioni dei dispositivi Android sono di questo tipo
> di spyware."

Questa è la parte che mi ha fatto sorridere di più. Sai cosa sono gli SMS 
Trojans? Non sono degli SMS che ricevi ed installano un Trojan, come forse 
Holliwood vorrebbe farci credere, ma sono dei programmi che l'utente installa 
consapevolmente, dopo essere stato avvisato da Android che quel programma per 
funzionare deve poter spedire SMS a chi vuole, e che si mettono a spedire SMS 
a numeri a pagamento. Quindi
1. Nulla a che vedere con la vulnerabilità di cui sopra
2. L'utente è stato avvisato ed ha accettato di autorizzare il programma

Dove sta quindi il vero problema? In Android o nell'utente?


> "Il trend corrente mostra che gli sviluppatori di malware stanno sempre
> di piu' usando android come obiettivo. Inoltre, il rapporto Juniper
> sostiene che gli attacchi probabilmente si faranno piu' sofisticati,
> trasformando i dispositivi mobili in zombies per botnets. 

Cosa certamente possibile, ma solo dopo che l'utente scarica un programma 
senza nemmeno leggere una recensione, lo installa, lo autorizza a ricevere e 
creare connessioni di ogni tipo in giro per il mondo e poi non si accorge che 
il programma parte da solo (altra cosa per cui lo ha esplicitamente 
autorizzato).

> Lo stesso
> rapporto cita uno studio del 2010 del SANS Institute che ha rilevato
> come solo il 17% degli utenti di smartphone stiano usando antivirus sui
> loro telefoni."

E per fortuna, se gli utenti si mettono a demandare la sicurezza agli 
antivirus anche per i cellulari allora è giusto che si becchino i virus, i 
trojan e l'antivirus pesantissimo che gli ammazza il cellulare e che chiede 50 
euro l'anno di abbonamento.

> "In modo quasi profetico, visto che il rapporto e' uscito una settimana
> prima del rapporto dell'universita' di Ulm, Juniper avverte anche che
> l'aumento di dispositivi con wifi potrebbe risultare in un incremento di
> attacchi del tipo "man-in-the-middle", soprattutto se le persone
> continuano a fidarsi di accessi wifi pubblici (che nel resto del mondo
> civile abbondano, n.d.r)."

Appunto, sembra una profezia. Cioè i rapporti di Juniper non hanno nulla a che 
vedere con la vulnerabilità in questione.

> 
> E la soluzione fa rabbridire piu' del problema:
> 
> a Google spokesperson reportedly told 
> Sembra che Google abbia cosi' risposto: 

Mi piace il riferimento certo alla sorgente della notizia. Questo giornalista 
sta guadagnando punti.

> Suggerirei di non dire che lo studio e' inutile o che diffonderlo non
> sia utile, questo e' un pessimo modo di aiutare gli altri a capire che
> c'e un rischio vero per cui prender le misure, per quanto si puo'. Anche
> solo sapendo che il rischio c'e'.

Ok, lo studio è utile dal punto di vista divulgativo (non scopre nulla di 
nuovo ma può servire a far sapere cose note da 20 anni), ma diffonderlo come ha 
fatto il giornalista è nella migliore delle ipotesi inutile, nella peggiore 
dannoso.

Lucio.