[Soci SLIP] spaventosa situazione con android

[Lucio Crusca]

Sono felice che la discussione sia su un piano civile e di utile
confronto. Rispondo quindi volentieri con il mio punto di vista.

Parto dal fondo, ovvero dalla tua osservazione più che richiede la
risposta più semplice:

> Molto piu' utile concentrarsi sul giornalista che sul problema in se'?
> Onestamente, a me del giornalista non potrebbe fregar meno che niente.
> Non e' quello il problema.

Non interesserebbe neache a me il giornalista, se non avesse dato
informazioni scorrette e non avesse indotto i lettori (fra cui per esempio
te) a credere che sia scoccata l'ora dei virus per Linux.

> Per esempio, chi non fornisce neppure la scelta di lavorare offline con
> i suoi servizi (persino windows lo fa) puo' essere elencato, a mio
> parere, tra chi ti  costringe a star con il wifi aperto (mica nessuno si
> sogna piu' di star attaccato ad un cavo, vuoi metter com'e' piu' bello
> andare a zonzo attaccati a chissa' cosa qui e la'?)

Forse qui c'è un malinteso sulla terminologia. Per me una rete Wifi aperta
non è una rete Wifi accesa, ma una rete Wifi non protetta e non cifrata.
Il problema descritto si applica solo alle reti non cifrate, non a
qualsiasi Wifi (poi è vero, gli hotspot liberi normalmente sono non
cifrati, ma non siamo mica obbligati ad usarli).
Inoltre io non mi sento assolutamente costretto ad usare nemmeno i servizi
online di Google o altri. Vivo benissimo con la mia agenda sul mio
cellulare sincronizzata con quella sul pc. E ringrazio Android che essendo
Linux alla base mi permette di installare il software di agenda che
preferisco e sincronizzarmelo col pc nel modo che preferisco, senza dover
installare software proprietari di terze parti sul pc.

>> E che differenza fa se usi quell'access point da un notebook invece che
>> da un dispositivo Android?
>
> Il problema, questo problema, non l'unico problema, e' con i dispositivi
> android.

No, è proprio questo che intendevo dire. Questo problema è stato
presentato dal giornalista relativamente ai dispositivi Android perché
faceva notizia, ma questo problema, esattamente lo stesso problema, è
presente in tutte le applicazioni che parlano con i servizi google via
HTTP invece che HTTPS, inclusa quella che ho scritto io di cui ti facevo
l'esempio e che gira su un server Linux, ma che potrebbe tranquillamente
funzionare anche su un notebook (solo che nel caso specifico ne avevo
bisogno su un server). La colpa è di chi scrive le app (quindi
nell'esempio anche mia), di Google che offre un servizio non sicuro per
far passare dati personali e di chi usa la app consapevole del problema
oppure non consapevole di cosa sta facendo. Nota per chi se lo chiede: la
mia app legge i dati di un'agenda pubblica che è comunque anche condivisa
attraverso un feed rss su un sito, quindi il problema sicurezza nel caso
specifico non è rilevante, ma teoricamente esiste. In generale le app che
si connettono a google via HTTP e non HTTPS sono molte, funzionano anche
sui normali pc non Android e non sono tutte fatte da google.

> Ok, questo e' un buon modo per verificare quel che succederea'. Lascialo
> acceso e collegato :) Pero' io controllerei non le applicazioni,
> controllerei android.

Se vuoi posso controllarlo, ma quello che Google aggiornerà (se mai questo
aggiornamento dovesse veramente esserci) sono le sue app, non il sistema
Android. Android è solo un kernel linux, qualche comando GNU ed una
macchina virtuale Java. Non mi stupirei se nel codice di Android non ci
fosse scritto "google" nemmeno una volta, a parte nel file di copyright
della macchina virtuale java.

> Non intendevo consigliare www.linuxfordevices come sorgente primaria per
> problemi di sicurezza, solo far notare che forse non sono i piu'
> sprovveduti, non e' il giornalista de La Stampa, insomma. Non possono
> neppure esagerare con le castronerie, di conseguenza.

La definizione di "castroneria" è soggettiva. Quello che per i lettori di
eWeek è una notizia, per qualcun altro può essere una castroneria.
Relativamente al loro target quello che hanno scritto, trattandosi di
sicurezza che non è il loro campo, può essere vista come una notizia dai
lettori. Per me è disinformazione.

>> Ti prego, non mettermi in bocca parole che non ho detto. C'è un
>> problema di sicurezza che riguarda le app ed i servizi di Google,
>> nessuno lo nega.
>
> Ok, se fin qui siamo daccordo, allora possiamo anche dire che non c'e'
> mai stato un problema di sicurezza con windows, visto che il problema
> erano gli utenti, le applicazioni etc?

Nel caso di Windows, oltre ai problemi delle applicazioni e degli utenti,
ci sono anche problemi di sicurezza del sistema in sè, presenti anche se
non installi nulla oltre al sistema e lo dai in mano ad un utente
coscienzioso, quindi no, non possiamo dirlo. Nel caso di Android (che
ricordo, è un kernel, qualche comando GNU ed una VM Java), per ora non
sono noti problemi di sicurezza che possano giustificare un fenomeno virus
o che possano condurre all'insicurezza dei dati personali messi su Google
o altro servizio online.

> Vedi sopra. Credo pero' che il fatto che debbano fare un fix su android
> e non le applicazioni non ce lo hai ancora spiegato.

Credo di sì invece, ma se non sono stato chiaro lo rispiego volentieri con
altre parole. Il punto è che è solo il giornalista a dire che faranno un
fix su Android (notizia che arriva da un "Sembra che google abbia
risposto..."). Tutte le altre informazioni suggeriscono (razionalmente
parlando) che se un fix ci sarà, non sarà automatico e riguarderà le app
di google, non il sistema operativo. Del resto, per i tecnici come me e
te, anche il buon senso lo suggerisce: il problema riguarda una
connessione HTTP che doveva essere HTTPS e che serve ad accedere
all'agenda, rubrica, etc... questi sono compiti tipicamente implementati a
livello applicativo, non a livello di sistema operativo. Gli stessi
protocolli HTTP ed HTTPS, in ISO/OSI sono a livello 7, detto appunto
livello applicativo. Il kernel non sa neppure cosa siano HTTP ed HTTPS.
Non sarebbe possibile correggere una cosa del genere a livello di kernel
neanche volendo.

>E' una svista del
> giornalista? Compreso l'elenco delle versioni di Android che hanno quel
> problema? Dove sta il modo di collegarsi ai servizi di google? In ognuna
> delle singole applicazioni? Dubito...

E invece sta proprio nelle singole applicazioni. Poi la "distro" ufficiale
di Android fatta da Google include anche le app di Google, e quindi Google
metterà le app corrette a partire dalla versione 2.3.4, mentre pubblicherà
una fix (per le app, non per Android) per chi ha una versione precedente
di Android e quindi delle app bacate. Per semplicità degli utenti, che
sanno che versione di Android hanno ma non sanno che versione delle Google
Apps hanno, Google pubblica la fix per chi ha Android 2.3.3 o precedenti,
ma non significa che la fix corregge il sistema operativo.

> Fara' mica per caso parte di
> android?

No, non ne fanno parte, è proprio il punto che sto cercando di far capire.
Io ho a casa un tablet che ha Android ma non ha le app di Google,
semplicemente perché è una distribuzione diversa di Android, non è quella
ufficiale di Google. È il bello del software libero. E non ce l'ho messa
io quella distro, ma è arrivata così con il tablet che viene venduto come
tablet Android, quale in effetti è.

Capisco che dire "Android ha un problema" sia più semplice che dire "La
versione ufficiale di Android distribuita da Google contiene delle
applicazioni di Google che hanno un problema", ma questo modo di
semplificare ha portato anche te a dedurre che quindi Linux avesse lo
stesso problema e questo è completamente sbagliato.

> Facciamo un'ipotesi, solo un'ipotesi. [...]
> Oppure sono davvero talmente idiota da fare una cosa che non dovrebbe
> mai essere fatta, [...]
> In entrambi i casi, e chissa' quanti altri se ne possono pensare, io, se
> fossi un utente dei servizi google costretto ad essere sempre online per
> poterli usare, mi sentirei molto molto mal messo, in pessime mani,
> certamente non in mani migliori di quelle criticatissime di microsoft.

Sono pienamente d'accordo, ed è il motivo per cui i miei dati li tengo sui
miei computer ed esorto tutti a fare lo stesso, uscendo così da quello che
tu chiami "obbligo" di essere sempre connessi.

>> Come dire che se non ci fosse Windows, Oulook sarebbe un software
>> sicuro.
>
> Appunto. Questo e' gia' stato discusso sopra. Se tu ritieni windows e
> android non colpevoli, allora NON la pensiamo allo stesso modo.

Windows sì, Android no (in questo caso ovviamente, in futuro chissà cosa
potrà capitare).

> rilevi o meno, che ne si sia consapevoli o no. Io mi sento in dovere
> di segnalarlo. Tutto qui.

Va bene segnalarlo, io infatti non ce l'avevo con te, sei semplicemente
caduta vittima della disinformazione data dal solito giornalista che come
vedi assume un'importanza non trascurabile.

>
>> Cosa certamente possibile, ma solo dopo che l'utente scarica un
>> programma
>> senza nemmeno leggere una recensione, lo installa, lo autorizza a
>> ricevere e
>> creare connessioni di ogni tipo in giro per il mondo e poi non si
>> accorge che
>> il programma parte da solo (altra cosa per cui lo ha esplicitamente
>> autorizzato).
>
> Cioe' quello che fanno se non proprio tutti, tutti? E tu, google, non lo
> sai?

E certo che lo sa, ma cosa può fare oltre ad avvisare l'utente e
chiedergli conferma? (nota che qui si parla degli SMS Trojan che non hanno
nulla a che vedere con il problema HTTP/HTTPS/MITM/agenda/rubrica nè con
le colpe di Google, sono solo stati messi lì dal giornalista per infarcire
un po' l'allarmismo).

> Ora spiegaglielo tu come devono fare, invece. Tieni pero' conto che
> quello che gli utenti non hanno fatto per windows o per altri
> snartphones, difficilmente faranno per android.

Il punto è che non esiste antivirus che metta al riparo l'utente da sè
stesso. Vogliono mettere l'antivirus? Facciano pure, ma se poi installano
ogni sorta di porcheria senza verificarne la provenienza ed autorizzando
qualsiasi cosa senza leggere, non c'è antivirus che tenga.