Android e il bug che uccide la privacy

Un problema recente viene "armato" dalla realizzazione di un exploit pienamente funzionante. Un evento che fa scattare l'allarme per i rischi corsi dagli utenti su terminali dalla 4.2.1 in giù

Roma – Android cade vittima di un nuovo baco “apocalittico”, nelle sue conseguenze potenziali, anche se il nuovo caso non sembra riguardare un rischio di (in)sicurezza quanto piuttosto una minaccia diretta e pericolosa alla privacy dell’utente.

Il bug ( CVE-2014-6041 ) è presente su Android 4.2.1 (e versioni precedenti) e coinvolge una percentuale di gadget Android stimata nel 75 per cento del totale ; sfruttando la vulnerabilità, un sito Web appositamente creato potrebbe “spiare” sui contenuti di tutte le altre pagine Web attualmente aperte sul browser, un’eventualità che i tecnici che si occupano di sicurezza hanno già descritto come un “disastro” dal punto di vista della riservatezza.

Un listato JavaScript contenente codice opportunamente scritto sarebbe in grado di bypassare i meccanismi di Same-Origin Policy (SOP) del browser carpendo ogni genere di informazione, dai cookie di autenticazione al contenuto delle email aperte sulla pagina di una webmail, e così via.

A contribuire alla pericolosità del nuovo bug ci hanno pensato gli sviluppatori di Metasploit, toolkit usato per test di penetrazioni Web che è stato appunto aggiornato con un stumento funzionante in grado di trarre vantaggio dalla vulnerabilità. I ricercatori dicono di aver già verificato l’efficacia del codice (potenzialmente) malevolo su molti terminali inclusi Qmobile Noir A20 (Android browser 4.2.1), Sony Xperia, Samsung Galaxy, HTC e Motorola.

In tutto questo si innesta anche una curiosa polemica sulla paternità della scoperta: Rafay Baloch se la attribuisce, fornendo come prova una serie di email scambiate con i tecnici Google, ma l’azienda avrebbe dapprima negato la riproducibilità del bug e in seguito anche l’eventualità che Baloch si aggiudicasse una delle taglie che Big G pone sulla testa dei bug più perniciosi del suo software.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • user01 scrive:
    Paypal transazione duplicata
    Paypal dovrebbe tacere. Ha duplicato nei giorni scorsi una mia transazione con la quale ho comprato un software on-line. Tre giorni dopo e senza motivo mi sono trovato il doppio addebito.Un'anomalia riconosciuta anche dal tecnico del loro help desk. Sto ancora aspettando che mi diano spiegazione.Spero che Apple dia loro una lezione.
    • Pasta alla Pirateria scrive:
      Re: Paypal transazione duplicata
      - Scritto da: user01
      Spero che Apple dia loro una lezione.prima però devi comprarti l'iPhone
    • bradipao scrive:
      Re: Paypal transazione duplicata
      - Scritto da: user01
      Paypal dovrebbe tacere. Ha duplicato nei giorni
      scorsi una mia transazione con la quale ho
      comprato un software on-line.

      Spero che Apple dia loro una lezione.Stai già dando per scontato che Apple non farà mai errori del genere sulle transazioni. Potrebbe essere tranquillamente peggio.
      • user01 scrive:
        Re: Paypal transazione duplicata
        - Scritto da: bradipao
        - Scritto da: user01

        Paypal dovrebbe tacere. Ha duplicato nei giorni

        scorsi una mia transazione con la quale ho

        comprato un software on-line.



        Spero che Apple dia loro una lezione.

        Stai già dando per scontato che Apple non farà
        mai errori del genere sulle transazioni. Potrebbe
        essere tranquillamente
        peggio.hai ragione. Io dico solo che se un nuovo soggetto scende in campo nel commercio elettronico tutti noi utenti ne abbiamo giovamento. La concorrenza serve e costringera' chi si comporta in modo scorretto a fare maggiore attenzione.E mi sembra gia' di intravvedere un certo nervosismo nei comunicati di paypal e nei messaggi dei suoi portabandiera. O sbaglio?
        • Pasta alla Pirateria scrive:
          Re: Paypal transazione duplicata
          - Scritto da: user01
          hai ragione. Io dico solo che se un nuovo
          soggetto scende in campo nel commercio
          elettronico tutti noi utenti ne abbiamo
          giovamento. La concorrenza la concorrenza di un metodo di pagameto che gira su tutti i sistemi del pianeta, fissi o mobili dovrebbe come MINIMO fare altrettanto.
    • Fabrizio scrive:
      Re: Paypal transazione duplicata
      - Scritto da: user01
      Paypal dovrebbe tacere. Ha duplicato nei giorni
      scorsi una mia transazione con la quale ho
      comprato un software on-line. Tre giorni dopo e
      senza motivo mi sono trovato il doppio
      addebito.
      Un'anomalia riconosciuta anche dal tecnico del
      loro help desk. Sto ancora aspettando che mi
      diano
      spiegazione.

      Spero che Apple dia loro una lezione.Anche a me ieri paypal mi ha rubato 10'000.Anche un amico del cognato della sorella del nonno e hanno rubato 10'000lo ammetto sto trollando, in realtà PayPal in 15 anni di utilizzo non ho mai avuto un solo problema siede utente finale che da commerciante.
      • aphex_twin scrive:
        Re: Paypal transazione duplicata
        Mai avuto problemi ? toh guarda cosa é saltato fuori spendendo 20 secondi del mio tempo:http://www.scmagazineuk.com/bugs-hit-global-payment-company-paypal/article/321828/ :|Eppure sembravi cosí sicuro 8)
        • Jaguaro scrive:
          Re: Paypal transazione duplicata
          Quindi ricapitolando: se APPLE fa un servizio ALLORA gli altri fanno schifo ed Apple è meglio.Figo. Tipo il cloud, vero?
      • user01 scrive:
        Re: Paypal transazione duplicata
        Cosa vuoi che ti dica? Beato te. Ho sempre inviadiato chi ha tante sicurezze e fiducia negli altri.
        • user01 scrive:
          Re: Paypal transazione duplicata
          - Scritto da: user01
          Cosa vuoi che ti dica? Beato te. Ho sempre
          inviadiato chi ha tante sicurezze e fiducia negli
          altri.scusa, mi riferivo a Fabrizio.
  • ... scrive:
    ma perchè l'han fatto?
    Su questo forum tutti gli espertoni di Apple giuravano che era tutto a posto.Quindi perchè l'han fatto? (newbie)Mistero! :oE non venitemi a dire che l'han fatto perchè i clienti son scemi, eh (rotfl)
    • bradipao scrive:
      Re: ma perchè l'han fatto?
      - Scritto da: ...
      Su questo forum tutti gli espertoni di Apple
      giuravano che era tutto a posto.
      Quindi perchè l'han fatto? (newbie)Ad essere onesti, la 2-factor authentication serve ad evitare che il furto di username+password, ovunque sia avvenuto, non sia sufficiente ad accedere, ma che serva un ulteriore fattore (es: codice su telefono o per sms).Questo non vuol dire automaticamente iCloud colabrodo, vuol dire che sono tra gli ultimi a fornire una 2-factor authentication completa.
      • ... scrive:
        Re: ma perchè l'han fatto?
        - Scritto da: bradipao
        Ad essere onesti, la 2-factor authentication
        serve ad evitare che il furto di
        username+passwordEsatto.E qualsiasi azienda che tiene alla sicurezza la deve rendere obbligatoria.Se un'azienda non lo fa è un'azienda che guarda solo incrementare il numero di utenti a scapito della loro sicurezza.
        • NemoTizen scrive:
          Re: ma perchè l'han fatto?
          obbligatoria? no grazie, i dati sono miei e non voglio dover inserire 8 passaword per accederci...
          • ... scrive:
            Re: ma perchè l'han fatto?
            - Scritto da: NemoTizen
            obbligatoria? no grazieCVD
            i dati sono miei e non
            voglio dover inserire 8 passaword per
            accederci...I dati non sono tuoi. Nel momento in cui sono nel cloud e 'non vuoi dover inserire 8 passaword' diventano pubblici. altro che tuoi.
          • aphex_twin scrive:
            Re: ma perchè l'han fatto?
            Di CVD vedo solo la solita solfa che QUALSIASI cosa faccia Apple é sbagliata.Se obbliga é cattiva perché obbliga , dettano il verbo, Jobs dall'alto ha "unto" i suoi adepti , e scemenze varie.Se non obbliga é cattiva perché non obbliga.Il punto é che sta lasciando la scelta all'utente (come fanno tutti i servizi web che usano anche il 2nd factor), quella cosa per cui sono anni che la menate.E se obbliga non va bene, se invece lascia la scelta dovrebbe obbligare, se regala l'album degli U2 nessuno lo vuole (salvo poi scaricarselo dal mulo).Siete senza vergogna. :-o
          • NemoTizen scrive:
            Re: ma perchè l'han fatto?
            no mi lamento con condizione di causa essendo utente apple, altrimenti me ne sbatterei :D
          • ... scrive:
            Re: ma perchè l'han fatto?
            - Scritto da: aphex_twin
            Se obbliga é cattiva perché obbliga , dettano il
            verbo, Jobs dall'alto ha "unto" i suoi adepti , e
            scemenzese ti obbliga alla sicurezza, non è cattiva, casomai è pedante. Ma per il tuo bene.Detto ciò non c'è necessità di obbligare, basta proporre come soluzione di default quella sicura. Ed avvertire in poche righe ben scritte da controfirmare gli utenti che decidono di disabilitare l'impostazione più sicura.Questo non lo fa nessuno e il motivo è ovvio: non gliene frega nulla della sicurezza quando l'altro piatto della bilancia è il numero di utenti.
            Siete senza vergogna. :-osenza vergogna sonoi big che preferiscono avere 100 milioni di utenti in pericolo piuttosto che 10 milioni ma in sicurezza.E i fanboy che difendono addirittura queste cose senza peraltro averne ritorno.
          • aphex_twin scrive:
            Re: ma perchè l'han fatto?
            - Scritto da: ...
            Detto ciò non c'è necessità di obbligare, basta
            proporre come soluzione di default quella sicura.Dimmi un po' quali popolari servizi web offrono di default il 2nd factor.
            Questo non lo fa nessuno Ah ecco !!
            e il motivo è ovvio: non
            gliene frega nulla della sicurezza quando l'altro
            piatto della bilancia è il numero di
            utenti.E certo ! Nessuno si é mai preoccupato delle caselle gmail violate, perché lo sapete vero che anche le caselle gmail vengono violate ?! , solo che , primo non fa notizia, secondo non é Apple.
          • ... scrive:
            Re: ma perchè l'han fatto?
            - Scritto da: aphex_twin
            - Scritto da: ...
            Dimmi un po' quali popolari servizi web offrono
            di default il 2nd
            factor.nessuno che io sappia: se ne fregan otutti della privacy e della sicurezza degli utenti. Apple in primis. "think different... <b
            do the same (shit) </b
            ".
            E certo ! Nessuno si é mai preoccupato delle
            caselle gmail violateChi l'ha scritto che non me ne preoccupo?Guarda che parlare di altro non ti fa sembrare di avere ragione.Ti fa sembrare solo poco attento alla discussione.
          • aphex_twin scrive:
            Re: ma perchè l'han fatto?
            - Scritto da: ...

            E certo ! Nessuno si é mai preoccupato delle

            caselle gmail violate

            Chi l'ha scritto che non me ne preoccupo?Ah si ? E dove ?
          • ... scrive:
            Re: ma perchè l'han fatto?
            - Scritto da: aphex_twin
            - Scritto da: ...


            E certo ! Nessuno si é mai preoccupato
            delle


            caselle gmail violate



            Chi l'ha scritto che non me ne preoccupo?

            Ah si ? E dove ?Ho parlato di "tutti i BIG".Ma tu hai il coraggio di rispondere così saltando tutte le sezioni in cui demolisco le tue osservazioni ed ora cerchi nuovamente di cambiare discorso?Pensa che hai cercato di far passare il discorso da Apple a Google (che non c'entra una cippa, leggi almeno l'articolo e il messaggio che commenti).Ora non ti è rimasto che parlare di me!!! (rotfl)Se anche dimostrassi qualcosa su di me, credi che Apple ne uscirebbe meglio?Vogliamo modificare il discorso da consigliare a Tim Cook, dopo questo tuo tentativo?Bene, facciamolo." <i
            sì è vero, i nostri clienti non hanno la privacy e la sicurezza che potrebbero avere perchè preferiamo avere tanti clienti che rischiano puttosto che pochi ma che siano al sicuro... però il tal utente '...' sul forum di PI aveva torto!!! </i
            "Corri a consigliargli questo bel discorso, su, GENIO.
          • ... scrive:
            Re: ma perchè l'han fatto?
            Ho parlato di "tutti i BIG".Ma tu hai il coraggio di rispondere così saltando tutte le sezioni in cui demolisco le tue osservazioni ed ora cerchi nuovamente di cambiare discorso?Pensa che hai cercato di far passare il discorso da Apple a Google (che non c'entra una cippa, leggi almeno l'articolo e il messaggio che commenti).Ora non ti è rimasto che parlare di me!!! Rotola dal ridereSe anche dimostrassi qualcosa su di me, credi che Apple ne uscirebbe meglio?Vogliamo modificare il discorso da consigliare a Tim Cook, dopo questo tuo tentativo?Bene, facciamolo." sì è vero, i nostri clienti non hanno la privacy e la sicurezza che potrebbero avere perchè preferiamo avere tanti clienti che rischiano puttosto che pochi ma che siano al sicuro... però il tal utente '...' sul forum di PI aveva torto!!! "Corri a consigliargli questo bel discorso, su, GENIO.
          • ... scrive:
            Re: ma perchè l'han fatto?
            Ho parlato di "tutti i BIG".Ma tu hai il coraggio di rispondere così saltando tutte le sezioni in cui demolisco le tue osservazioni ed ora cerchi nuovamente di cambiare discorso?Pensa che hai cercato di far passare il discorso da Apple a Google (che non c'entra una cippa, leggi almeno l'articolo e il messaggio che commenti).Ora non ti è rimasto che parlare di me!!! Rotola dal ridereSe anche dimostrassi qualcosa su di me, credi che Apple ne uscirebbe meglio?Vogliamo modificare il discorso da consigliare a Tim Cook, dopo questo tuo tentativo?Bene, facciamolo." sì è vero, i nostri clienti non hanno la privacy e la sicurezza che potrebbero avere perchè preferiamo avere tanti clienti che rischiano puttosto che pochi ma che siano al sicuro... però il tal utente '...' sul forum di PI aveva torto!!! "Corri a consigliargli questo bel discorso, su, GENIO.p.s.è inutile che segnali alla redazione, io riposto questo messaggio CHE TI SXXXXX all'infinito
          • Funz scrive:
            Re: ma perchè l'han fatto?
            - Scritto da: aphex_twin
            Di CVD vedo solo la solita solfa che QUALSIASI
            cosa faccia Apple é
            sbagliata.verissimoè incredibile come ci riescano!
            Se obbliga é cattiva perché obbliga , dettano il
            verbo, Jobs dall'alto ha "unto" i suoi adepti , e
            scemenze
            varie.esatto, servo, obbedisci e taci.
            Se non obbliga é cattiva perché non obbliga.l'unica volta che sarebbe a favore dell'utente e della sua sicurezza. Ma ad Apple dell'utente cosa gliene fo**e?
            Il punto é che sta lasciando la scelta all'utente
            (come fanno tutti i servizi web che usano anche
            il 2nd factor), quella cosa per cui sono anni che
            la
            menate.il fatto che anche gli altri puzzano che c'entra col fatto che Apple fa schifo?
            E se obbliga non va bene, se invece lascia la
            scelta dovrebbe obbligare, se regala l'album
            degli U2 nessuno lo vuole (salvo poi scaricarselo
            dal
            mulo).servo, ciucciati l'album degli U2 e tutta la mer*a che Apple, nella sua immensa grandiosità, deciderà in futuro di caricarti sui tuoi aggeggi.E ringrazia che ti lasciano leccare lo stivale.
          • aphex_twin scrive:
            Re: ma perchè l'han fatto?
            - Scritto da: Funz
            il fatto che anche gli altri puzzano che c'entra
            col fatto che Apple fa
            schifo?Perché avete il senso dell'olfatto che funziona a vostro piacimento.
          • ... scrive:
            Re: ma perchè l'han fatto?
            - Scritto da: aphex_twin
            Perché avete il senso dell'olfatto che funziona a
            vostro
            piacimento.ma credi che Apple possa salvarsi la faccia dopo quello che è sucXXXXX solo perchè gli altri fanno le stesse XXXXXte?Davvero?Perchè non prepari un bel discorso per Tim Cook?" <i
            e' vero, gli account dei nostri utenti sono stati penetrati come la Moana dei bei tempi, ma anche google è così </i
            !"Vai, proponiglielo, genio.
          • Funz scrive:
            Re: ma perchè l'han fatto?
            - Scritto da: aphex_twin
            - Scritto da: Funz

            il fatto che anche gli altri puzzano che
            c'entra

            col fatto che Apple fa

            schifo?

            Perché avete il senso dell'olfatto che funziona a
            vostro
            piacimento.certo, siccome per noi la mer*a puzza di mer*a e non di cioccolata come per voi, siamo noi quelli ad avere problemi...
          • aphex_twin scrive:
            Re: ma perchè l'han fatto?
            - Scritto da: Funz
            - Scritto da: aphex_twin

            - Scritto da: Funz


            il fatto che anche gli altri puzzano che

            c'entra


            col fatto che Apple fa


            schifo?



            Perché avete il senso dell'olfatto che
            funziona
            a

            vostro

            piacimento.

            certo, siccome per noi la mer*a puzza di mer*a e
            non di cioccolata come per voi, siamo noi quelli
            ad avere
            problemi...Fintanto che riescono a carpire le credenziali per rubare 4 foto di patate é cioccolata per me se confrontata a fatti di mia conoscenza dove tramite le credenziali di gmail sono riusciti poi a sottrarre qualcosa come circa 1 milione di euro.Anche in questo caso hanno fatto l'acXXXXX a Gmail con nome utente e password carpite non si sa ancora come , e come nel caso di Apple , Google si é dichiarata non responsabile in quanto l'acXXXXX é avvenuto con credenziali valide.Chiaramente questa cosa non ha fatto scalpore quanto la patata di quattro carampane. 8)
          • NemoTizen scrive:
            Re: ma perchè l'han fatto?
            ripeto sono affari miei, non voglio digitare 8 password, gli altri servizi ti lasciano scegliere.La scelta è importante, sono consapevole di ciò che ho su icloud, e in base a ciò scelgo la protezione che ritengo più appropiata.
          • ... scrive:
            Re: ma perchè l'han fatto?
            - Scritto da: NemoTizen
            ripeto sono affari mieino. sono affari anche di chi ti sta attorno visto che i tuoi dati (n.b. tuoi in senso generico, non esattamente quelli che butti tu sul cloud) contengono verosimilmente informazioni anche su di loro.
            non voglio digitare 8
            password, gli altri servizi ti lasciano
            scegliere.Otto password è frutto di una tua creazione mentale. Non funziona così.
            La scelta è importante, sono consapevole di ciò
            che ho su icloud, e in base a ciò scelgo la
            protezione che ritengo più
            appropiata.ma di default i big devono imporre la più sicura, visto che il 99% delle persone 1) non è consapevole2) non cambia l'impostazione di default
          • NemoTizen scrive:
            Re: ma perchè l'han fatto?
            Otto password è un modo di dire a me gia rompe che google ogni volta che mi collego tramite vpn mi fa le domande segrete, scelgo password casuali di 20 caratteri o più non ho bisogno e dopo 1 mese le cambio da solo.Io non dico che non bisogna essere sicuri dico solo che i BIG devono lasciare liberta di scelta.E credimi la doppia conferma è una palla se usi il servizio tutti i giorni e i big lo sanno benissimo, in molti cambierebbero servizio se di default fai una cosa del genere.
          • cinese scrive:
            Re: ma perchè l'han fatto?
            - Scritto da: NemoTizen
            obbligatoria? no grazie, i dati sono miei e non
            voglio dover inserire 8 passaword per
            accederci...Perc.. perch... perché? Perché insulti, perché lo dici?
  • 44 bertucce in fila per 6 col resto di 2 scrive:
    oste
    com'è il vino?odio questa scontatissima frase ma è difficile dire altro con queste informazioni.
Chiudi i commenti