Fai la tua domanda a Vodafone

Dati a rischio anche nel telefonino

Dati a rischio anche nel telefonino

Nel 2014 i ricercatori della società di sicurezza informatica F-Secure, in collaborazione con l’Europol, realizzarono un esperimento social nelle strade di Londra offendo degli hotspot Wi-Fi gratuiti. Il fatto è che per poter utilizzare la connessione era necessario accettare un contratto d’uso, che veniva visualizzato automaticamente all’inizio della connessione tramite una pagina Web. E, in tale contratto, era necessario accettare esplicitamente una “clausola Erode”, secondo la quale in cambio della gratuità del Wi-Fi le persone avrebbero dovuto consegnare all’azienda il proprio figlio maggiore. L’esperimento è stato interrotto dopo poche ore, perché aveva già avuto successo: diverse persone avevano accettato la clausola perché non l’avevano letta. Tra l’altro, il contratto sarebbe stato legalmente vincolante, anche se l’azienda ha ovviamente dichiarato che non avrebbe fatto valere la clausola. Questo ci fa capire quanto gravi possano essere le conseguenze di sottoscrivere un contratto senza averlo letto.

In realtà, tutti sappiamo che non si dovrebbe mai firmare qualcosa senza aver letto con attenzione il contenuto: il problema è che si tratta di un’attività talmente noiosa che c’è il rischio di addormentarsi prima di raggiungere la fine del primo paragrafo! Questo linguaggio eccezionalmente lungo e formale ha costretto gli utenti ad abituarsi all’idea di accettare i contratti senza leggerli, per risparmiare tempo, tanto che nel corso degli anni ci siamo abituati talmente tanto che ormai si tende a non leggere nemmeno qualche breve e semplice nota, nemmeno un minuscolo popup con poche parole che ci mettono in guardia.

L’esempio più pericoloso è forse quello dei dispositivi mobili, gli smartphone e i tablet. Non ci pensiamo, ma ormai in questi dispositivi riponiamo dati estremamente importanti come fotografie private, elenchi di password e codici di carte di credito molto più frequentemente di quanto facciamo con un computer da scrivania. Un sistema operativo mobile come Android è costruito con una struttura a “scompartimenti”. Un’app non può infatti accedere automaticamente a qualsiasi informazione: deve richiedere dei permessi. Per esempio, un’app che vuole utilizzare il microfono deve essere autorizzata. La richiesta dei permessi avviene durante la fase di installazione: quando troviamo un’app su Google Play, al momento dell’installazione ci viene presentata con un piccolo popup la lista dei permessi da assegnarle e dobbiamo confermarla per procedere. Se i permessi ci sembrano troppi o ingiustificati, possiamo rifiutare l’installazione dell’app. Il problema, ovviamente, è che ormai siamo talmente abituati ad accettare tutto senza leggere che la maggioranza degli utenti accetta tutte le richieste di permessi da parte di qualsiasi app. Ed è un problema molto più grosso di quello che si potrebbe immaginare.

Ci siamo mai chiesti perché quella app gratuita per il meteo chieda l’accesso non solo alla nostra posizione GPS (cosa logica per le previsioni meteorologiche) ma anche all’account e-mail, al numero di telefono e a file e cartelle? Perché con queste informazioni è possibile scoprire le nostre abitudini e gli interessi personali. E quindi è più facile fornire pubblicità su misura per i nostri gusti. Queste app sono di fatto strumenti di spionaggio che controllano le nostre informazioni private per poi venderle alle aziende che si occupano di produrre e distribuire la pubblicità. È una violazione della nostra privacy, ma è perfettamente legale. Perché? Perché glielo abbiamo permesso: siamo stati noi a garantire all’app i vari permessi con cui può accedere alle informazioni personali, semplicemente cliccando OK senza nemmeno leggere durante l’installazione. Ma c’è di peggio. La sottrazione di informazioni personali per utilizzi pubblicitari è un problema molto affine a quello dei cookie dei siti Web, ma nel complesso non eccezionalmente grave: non ci sottraggono denaro e non minacciano la nostra vita, al massimo ci possono imbarazzare.

Recentemente, però, i ricercatori dell’università della California e del Georgia Institute of Technology hanno dimostrato, nel loro progetto chiamato Cloak&Dagger, che utilizzando alcuni particolari permessi è possibile fare molto di più. Si tratta dei permessi di accessibilità: in informatica quando si parla di accessibilità ci si riferisce a strumenti che semplificano l’utilizzo di un programma per persone con disturbi alla vista, udito, e tatto. Per esempio, una persona daltonica potrebbe non riuscire a distinguere scritte, immagini e pulsanti sullo schermo di uno smartphone perché i loro colori sono troppo simili: quindi è necessario poter cambiare i colori in modo da renderli più facili da distinguere. Esistono diversi strumenti che Android offre per inserire nelle proprie applicazioni un aiuto a persone con qualche tipo di disabilità.

Uno dei permessi di accessibilità più spesso richiesti dalle applicazioni Android si chiama in gergo tecnico SYSTEM_ALERT_WINDOW e permette la sovrapposizione di un livello trasparente sopra un’altra applicazione. Per fare un esempio pratico, si può creare un’applicazione che, una volta aperta di per sé stessa non fa nulla di speciale, se non fare comparire sopra all’interfaccia di altre app una tastiera numerica gigante semitrasparente, per aiutare gli utenti a digitare il PIN di una carta di credito, visto che con la piccola tastiera virtuale predefinita di Android potrebbero avere difficoltà. Oppure, si può semplicemente far comparire per qualche secondo a tutto schermo il numero o la lettera che si è appena digitati sulla normale tastiera, così si ha una conferma di ciò che si sta scrivendo. Come abbiamo intuito, questo significa che, sfruttando questo livello trasparente in sovrimpressione, una applicazione “cattiva” può interferire con altre applicazioni “buone” leggendo i dati che l’utente inserisce e magari, oltre a realizzare davvero un servizio come la visualizzazione a tutto schermo, può poi ovviamente tenere per sé stessa quei dati e magari mandarli al suo produttore. Insomma, si tratta di un perfetto keylogger: un utente ignaro installa un’applicazione senza rendersi conto di avere accettato (tra gli altri) questo particolare permesso.

Sfruttando tale keylogger, l’app crea un proprio livello trasparente sopra a tutte le altre app, così quando l’utente apre ad esempio l’app di PayPal e inserisce la propria password, l’app “cattiva” riesce a intercettare i tasti premuti dall’utente e quindi a scoprire la password. A quel punto l’app malevola non deve far altro che inviare al proprio autore la password PayPal dell’utente che si ritroverà col conto in banca svuotato! Altri permessi di accessibilità offrono ulteriori strumenti ai pirati, perché permettono di ottenere un vero e proprio controllo su altre app e addirittura su Google Play (quindi la possibilità di rimuovere o installare applicazioni a proprio piacere). E tutto questo può avvenire sul dispositivo di un utente che ha installato l’applicazione malevola con i permessi di accessibilità senza nemmeno averne davvero bisogno, perché magari non ha alcun disturbo ai sensi: soltanto perché nella fretta non si è preso due secondi per leggere l’elenco dei permessi richiesti dall’app e domandarsi se davvero tutte quelle autorizzazioni fossero necessarie.

I permessi di accessibilità per le app sono tuttavia una funzione fondamentale: esistono moltissime persone con disturbi alla vista o all’udito, oppure con difficoltà nell’uso delle dita. Le app che aiutano queste persone a usare il loro smartphone sono qualcosa di estremamente positivo, uno degli esempi di come la tecnologia possa migliorare la vita delle persone. Il problema si ha quando queste funzioni vengono abusate. È per questo motivo che Google si trova un po’ in difficoltà nel gestire questa particolare vulnerabilità: i vari servizi di accessibilità non possono essere interrotti, sono troppo importanti, ma è molto difficile inserire dei sistemi di controllo per riconoscere eventuali abusi di queste funzionalità. Per chi non ha bisogno dei servizi di accessibilità, la soluzione consiste nel non installare app che richiedono questo tipo di permessi.

Anche Vodafone si è sempre dimostrata sensibile all’argomento sicurezza in mobilità, tanto che ha ideato la soluzione SmartPass. Si tratta di una carta prepagata che si può ricaricare come una SIM e che si può utilizzare per tutti gli acquisti. La card è esclusiva per i clienti Vodafone ed è associata direttamente al proprio numero di telefono. Per quanto riguarda la sicurezza, il sistema gratuito anti-frode di MasterCard la garantisce ogni volta che viene usata la SmartPass online. Grazie al servizio gratuito SMS Alert, si riceve inoltre un SMS ogni volta che si effettua un acquisto o che il credito scende al di sotto della soglia indicata.

  Forum Ultimo messaggio Discussioni Messaggi
di mcllcu Ieri 20:04 Vai all'ultimo messaggio
4,159 61,086
Vodafone vi ascolta, partecipa alle conversazioni, raccoglie i vostri suggerimenti e risponde alle vostre richieste fornendo un servizio di assistenza dedicato.
1,386 13,754

Discussioni nel forum : Vodafone Italia Strumenti forum
Annuncio
Visite: 327,560 Annuncio: Regolamento del forum
08-12-2005 telefonino.net (Telefonino.net Staff)
  Valutazione Discussione / Autore discussione Ultimo messaggio Inverti ordinamento Risposte Visite
Discussione in rilievo In rilievo: Vodafone Exclusive (Discussione multi-pagina 1 2 3 ... Ultima pagina)
skapez
13-01-2018 12:04
di CBR900 Vai all'ultimo messaggio
2,180 265,025
Lightbulb
Classificazione discussione: 14 voti, 4.7143 media. Mnemonik
12-01-2018 13:53
di broncos Vai all'ultimo messaggio
6,477 1,408,619
Arrow
Classificazione discussione: 2 voti, 5.0000 media. Geoglobalfax
29-12-2017 19:49
di stuck_788 Vai all'ultimo messaggio
417 149,581
Arrow
Classificazione discussione: 14 voti, 4.2857 media. Rollins
16-11-2017 09:35
di djmarkb84 Vai all'ultimo messaggio
865 549,797