spaventosa situazione con android,
Re: [Soci SLIP] Il rapporto Juniper [Era: spaventosa situazione con
android]
Lucio Crusca
lucio a sulweb.org
Lun 23 Maggio 2011 10:28:25 CEST
> E fare un passettino avanti?
Facciamo così, di passi avanti facciamone due, o meglio, facciamo tutti quelli
che servono per arrivare al traguardo. Credo che la nostra reciproca posizione
sia stata ben rappresentata con tutti questi messaggi, quindi non sto più a
risponderti sulle parti che non condivido.
Ti rispondo solo alle cose che mi hai chiesto e che richiedono una spiegazione
tecnica, il resto credo che sia inutile ripeterlo.
> No, scusa. Fammi capire. Se io non uso le applicazioni disponibili
> tramite il market, non ho il kill switch NE' google ha alcun modo di
> mettersi a far qualcosa sul mio dispositivo? In nessun modo, per nessuna
> ragione? Uhm...
Non deve esserci l'applicazione Market installata e a quel punto sì, non hai
il kill switch (almeno questo è quanto ho capito stando alla documentazione
che ho trovato, personalmente non ho fatto la prova perché non ho tempo di
disinstallare il market, sniffarmi il traffico di rete, etc... etc... mi sembra
comunque ragionevole che sia così, visto che, Market ed altre app di Google a
parte, il resto di Android come distribuito da Google è software libero,
ovvero Linux e Java).
> Ma un utente potrebbe rinunciare al market? Ha senso? Chiedo perche' non
> so.
Pensa al Market come ad un repository di software. Se preferisci puoi usare un
repo diverso (che non è un mirror del Market, ma ha proprio contenuti
diversi). Io per esempio ho anche le app per accedere al repo di Samsung ed
al repo di 3, che non so più come si chiamano perché non le ho mai usate.
Resta ovviamente da chiedersi se non si stia cadendo dalla padella alla brace.
> Se l'utente e' comunque costretto ad usare il market per far
> qualsiasi cosa sensata, perche' e' li' che ci sono le applicazioni,
Dipende dalla tipologia di utente. Il telefono può fare il telefono anche
senza Market. Se però vuoi sincronizzare l'agenda con quella online di Google
sei costretto ad usare il Market. Se invece vuoi installare software di terze
parti (non Google intendo), beh, dipende se tale software viene distribuito
anche fuori dal Market oppure no. In ogni caso per chiamare, ricevere e usare
SMS/MMS il Market non serve.
> E poi, ripeto, se non e' il kill switch (e ci mancherebbe ancora che
> google avesse il diritto di disattivare le applicazioni di altri, magari
> la mia, che mi faccio da me) siamo sicuri che non ci siano altri
> meccanismi di penetrazione indebita?
Come dicevo, Android alla base è software libero, quindi direi che non ha
altre backdoors. Di app non libere che aprono backdoors ce ne possono essere a
migliaia, ma sono da installare a parte. Può essere che il kill switch sia
implementato in una qualche altra app di Google distribuita di default da
Google oltre al Market, ma una volta tolte tutte le app di Google direi che si
può stare ragionevolmente tranquilli.
> Comunque, io non discuto se e' piu' pericoloso un virus o un trojan, so
> solo che con un virus e il corrispondente antivirus che lo rileva su un
> pc su cui sono sicura non ci sia un trojan mi sento relativamente
> tranquilla, con un trojan no, raso tutto a zero e riinstallo.
Non dovresti sentirti tranquilla, il virus può fare tutto quello che può fare
un trojan, compreso agire come root, installare altri malware, aprire
backdoors, sostituire le form di login etc...
> A me pare che ci si arrampichi un pochino sui vetri. Il virus, come ci
> arriva sul pc? Magari perche' l'utente clicca su quel bel video
> craccato?
Non necessariamente. Ci sono vari altri modi, Phrack Magazine
(http://www.phrack.com) in questo caso è una lettura molto istruttiva.
> Resta comunque il fatto che un trojan, se vuole, apre la porta
> del retro a tutti i virus di questo mondo.
Sì, ma anche il contrario, ovvero anche un virus può tranquillamente aprire la
porta a tutti i malware di questo mondo.
Forse però non ci stiamo solo capendo sulla terminologia, perché a seconda di
dove lo leggi, alcuni classificano i "virus" come quelli che si riproducono ma
non comunicano in rete mentre altri li classificano come quelli che sono in
grado di autoriprodursi ed infettare altri sistemi con vari mezzi, fra cui
anche la rete.
> Se richiede solo la registrazione e' in pubblico dominio.
In generale questa assunzione è pericolosa. Nel caso specifico al fondo di ogni
pagina c'è scritto "Copyright © 2011, Juniper Networks, Inc.".
> Mandarlo a me in privato, poi, non mi pare che equivalga a diffonderlo.
> Ci sta con il fair use.
No non ci sta. Con il fair use ci sta qualche citazione come ho fatto.
> Vorrei leggerlo tutto. Scusa, ma mi fido solo di quel che leggo con i
> miei occhietti seppur malandati. Tu magari non ci dici tutto, ma solo
> quello che piace a te e serve alla tua causa, che maligna :) Me lo
> mandi? Che ti costa?
Infrangere il copyright! A te cosa costa registrarti e scaricartelo? Non puoi
mettere un filtro sulla tua casella di email così qualsiasi cosa ti arrivi da
loro va direttamente nel cestino?
>> > Io lo trovo allucinante. I certificati, che per buona norma dovrebbero
>> > essere autenticati da una certification authority, vengono invece
>> usati
>> > solo per distinguere un autore dall'altro. Piu' diseducativo di cosi'
>> > non so cosa si possa inventare. Cosi' se c'era ancora un utente in
>> giro
>> > e un browser configurato come si deve per avvertire che ci si trovava
>> di
>> > fronte a qualcosa di potenzialmente insicuro e da verificare,
>> > quell'ultimo saggio ce lo perdiamo. E adesso non mi dire che questo e'
>> > necessario per il bene dell'open source. Ci sono altre vie, senza
>> > togliere significato ai certificati di sicurezza.
>>
>> Con tutto l'impegno, non capisco di cosa stai parlando.
>
> Fammi una domanda piu' precisa. Non capisci cosa, in particolare? A me
> sembra chiaro, quello che ho scritto, ma forse non lo e'.
Non capisco in che senso dici che i certificati non sono autenticati. È Google
che li autentica. È vero che gli sviluppatori creano un certificato digitale
autofirmato, ma poi pubblicando la app abbinano quel certificato al loro account
Google, quindi è solo un modo tecnicamente diverso dal PKI per Google di
autenticare i certificati.
> Non mi spieghi cos'e', percio' non capisco. La backdoor e' installata
> dove? Non da chi, dove? E cos'e'? E perche' non potrebbe essere violata?
Nel caso specifico la backdoor non è una porta di rete aperta. È l'applicazione
Market che, attraverso il protocollo GTalk, chiede periodicamente al server
Google, via HTTPS, se deve installare o rimuovere qualcosa in modo automatico,
ovvero senza chiedere conferma all'utente. Se il server Google risponde "Sì,
rimuovi DroidDream", l'applicazione Market lo fa.
> E perche' non potrebbe essere craccato il server di google? Hanno
> craccato quello di debian, per dirne una, lasciamo pure stare i 77
> milioni di utenti sony, se vuoi. E da dove ci dovrebbero venire queste
> certezze infinite?
Certo che è possibile, non metto mica in dubbio. Dico solo che è diversa da
una backdoor che ti installa un trojan, la quale è aperta per chiunque.
>
> Sto dicendo che se il meccanismo c'e', e' un problema per la privacy e
> per la sicurezza. Tu vuoi proprio insistere che non lo e', disquisendo
> se spaccare il capello in due oppure in quattro? (cosa peraltro
> anch'essa utile, a modo suo)
Veramente no, stavo solo spiegando la differenza fra le due backdoor. Pura
spiegazione tecnica che mi hai chiesto tu ("Non credo di confondermi ma, se e'
cosi', correggi").
> come farebbe mai a proteggersi da se'? Corre dietro a tutti gli
> sviluppatori di tutte le applicazioni sperando che sappiano cosa sia la
> sicurezza e se ne occupino al posto suo, per il suo specifico
> dispositivo? Se volessi esser pestifera, ti ricorderei che ci hai appena
> detto di averla sviluppata tu, un'applicazione non sicura. E tu non sei
> certo il peggiore che abbiamo.
Dicevo anche che la mia app legge un'agenda pubblica (nessun dato personale)
che è disponibile anche attraverso RSS. L'avevo solo portata come esempio per
dire è possibile e semplice per terzi fare app non sicure con il protocollo di
comunicazione Google.
> Io non sono un tecnico, parla per te :)
>
> Non c'e' nulla di male, ad aver le idee confuse.
Di ciò non davo mica la colpa ai curiosi, la davo a me stesso!
Maggiori informazioni sulla lista
Soci