Windows RT, il jailbreak fa proseliti

Microsoft parla della falla recentemente scoperta nel kernel di Windows RT (ARM) ma ne sottovaluta i potenziali effetti per la pirateria e la sicurezza. In tutta risposta, uno sviluppatore rilascia un tool che automatizza il processo

Roma – Il meccanismo di jailbreaking recentemente scoperto per il sistema operativo Windows RT? Nient’altro che un refolo di vento che non avrà alcun effetto sull’ecosistema di app dei nuovi dispositivi ARM a piastrelle, dice Microsoft, che ha l’ardire di fare i complimenti a chi ha scoperto la vulnerabilità.

In realtà non si tratta di una vulnerabilità, sostiene Microsoft, e anche se è davvero capace di disabilitare il controllo della firma digitale delle applicazioni compilate per processori ARM – controllo che in condizioni normali impedisce l’uso di software non cifrato o autorizzato da Microsoft – le complicazioni necessarie all’uso del meccanismo sono tali da non porre alcun tipo di rischio.

“Applaudiamo l’inventiva delle persone che hanno scovato il meccanismo e il duro lavoro che hanno fatto per documentarlo”, conclude Microsoft, anche se “non garantiamo che questo tipo di approcci sarà disponibile nelle future release” di Windows RT.

A Redmond ostentano sicurezza circa la supposta “inviolabilità” dell’ecosistema di Windows RT, ma gli sviluppatori e gli smanettoni che vivono per “penetrare” questo genere di ecosistemi rispondono pan per focaccia rilasciando un tool capace di automatizzare la disabilitazione del controllo della firma digitale di app Metro/Modern UI e software da eseguire in modalità desktop.

Diversamente dal metodo indicato in origine (con tanto di uso del debugger ufficiale Microsoft), il nuovo tool richiede la semplice esecuzione di uno script e poco altro per permettere l’impiego di software non approvato da Microsoft.

Una volta eseguito lo script, l’utente avrà la possibilità di usare il proprio gadget ARM come un vero computer installando e utilizzando le ( invero pochine ) applicazioni software convertite su RT dall’ecosistema x86.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Krumiro scrive:
    La cosa più divertente dei commenti...
    ...è che tutti quelli che demonizzano Nokia sono probabilmente utenti Android (o meditano di diventarlo) ovvero regalano tutti i loro dati di navigazione (e non solo) a Google, e sono felici di farlo credendosi liberi.Mi ricorda quella di un mio amico programmatore che ha flashato il suo Galaxy per installare App piratate, e poi si lamenta che nessuno compra le sue App... ROTFL
    • krane scrive:
      Re: La cosa più divertente dei commenti...
      - Scritto da: Krumiro
      ...è che tutti quelli che demonizzano Nokia sono
      probabilmente utenti Android (o meditano di
      diventarlo) ovvero regalano tutti i loro dati di
      navigazione (e non solo) a Google, e sono felici
      di farlo credendosi liberi.Qua si parla di spionaggio industriale transnazionale, hai idea di quanti soldi potrebbe muovere una cosa del genere ?
      Mi ricorda quella di un mio amico programmatore
      che ha flashato il suo Galaxy per installare App
      piratate, e poi si lamenta che nessuno compra le
      sue App...
      ROTFL
    • panda rossa scrive:
      Re: La cosa più divertente dei commenti...
      - Scritto da: Krumiro
      ...è che tutti quelli che demonizzano Nokia sono
      probabilmente utenti Android (o meditano di
      diventarlo) ovvero regalano tutti i loro dati di
      navigazione (e non solo) a Google, e sono felici
      di farlo credendosi liberi.In base a quale sfera di cristallo hai determinato quel "probabilmente" o "sperano di..." ?E poi sempre in base a quale sfera di cristallo determini che vengono regalati i dati?
      Mi ricorda quella di un mio amico programmatore
      che ha flashato il suo Galaxy per installare App
      piratate, e poi si lamenta che nessuno compra le
      sue App...
      ROTFLNessuno compra le app.
    • lol scrive:
      Re: La cosa più divertente dei commenti...

      Mi ricorda quella di un mio amico programmatore
      che ha flashato il suo Galaxy per installare App
      piratatete l'ha detto tuo cugggino?mio cuggino mio cuggino
  • attonito scrive:
    Nokia: ora so qual'e' mio prox cellulare
    sicuramente NON un nokia.Andate all'inferno, brutti XXXXXXXX!
    • Jacopo scrive:
      Re: Nokia: ora so qual'e' mio prox cellulare
      - Scritto da: attonito
      sicuramente NON un nokia.
      Andate all'inferno, brutti XXXXXXXX!E XXXXXXX! ti hanno investito il cane?Non serve mica essere così astiosi :)
      • krane scrive:
        Re: Nokia: ora so qual'e' mio prox cellulare
        - Scritto da: Jacopo
        - Scritto da: attonito

        sicuramente NON un nokia.

        Andate all'inferno, brutti XXXXXXXX!
        E XXXXXXX! ti hanno investito il cane?
        Non serve mica essere così astiosi :)Dipende da quanto e per cosa usi https...
        • Jacopo scrive:
          Re: Nokia: ora so qual'e' mio prox cellulare
          Basta non utilizzare Nokia e si è apposto :)Non serve mica prendersela così, ci sono migliaia di prodotti in giro :)
          • krane scrive:
            Re: Nokia: ora so qual'e' mio prox cellulare
            - Scritto da: Jacopo
            Basta non utilizzare Nokia e si è apposto :)
            Non serve mica prendersela così, ci sono migliaia
            di prodotti in giro
            :)Ok, ma il problema non e' che non lo si usi io o te, il problema e' che non deve usarlo il responsabile dei server della tua banca e della mia per collegarsi alle macchine. Tu lo sai se usa Nokya o no ?
          • Jacopo scrive:
            Re: Nokia: ora so qual'e' mio prox cellulare
            - Scritto da: krane
            Ok, ma il problema non e' che non lo si usi io o
            te, il problema e' che non deve usarlo il
            responsabile dei server della tua banca e della
            mia per collegarsi alle macchine. Tu lo sai se
            usa Nokya o no
            ?no loro usano Iphone xDScusa non ho resistito :)
  • prova123 scrive:
    Molto bene.
    Nokia dopo aver fatto il telefono che non può essere ricaricato se tenuto spento adesso intercetta le comunicazioni dei clienti senza che questi siano al corrente. Ha vinto un posto nella lista dei marchi "Banned Forever" ... :) Apple Nokia Sony
  • Quelo scrive:
    Ma non è la stessa tecnica di Opera ?
    Opera Mini passava il traffico cifrato sui loro proxy, Opera Browser mi pare abbia l'opzione per farlo e proprio per lo stesso motivo dichiarato, cioè aumentare la velocità di navigazione.Ciò avveniva con diverse tecniche, tipo quelle di ricampionare le jpg ad una risoluzione inferiore e comprimere il testo.Lo dico perché il Mini era uno dei browser più usati ai tempi di J2ME , l'ho usato ampiamente per i giornali e simili però non l'ho mai fatto per i siti importanti proprio per quel motivo.
    • Joliet Jake scrive:
      Re: Ma non è la stessa tecnica di Opera ?
      Anche a me sembra la stessa identica cosa che Opera Mini fa da anni (che è usato da milioni e milioni di persone, in quanto uno dei browser mobili più diffusi).
      • Mario Rossi scrive:
        Re: Ma non è la stessa tecnica di Opera ?
        - Scritto da: Joliet Jake
        Anche a me sembra la stessa identica cosa che
        Opera Mini fa da anni (che è usato da milioni e
        milioni di persone, in quanto uno dei browser
        mobili più
        diffusi).Ma state parlando di Opera Turbo?
  • mr patata scrive:
    MITM & capitalismo...
    Riguardo i fatti, non c'è molto da dire...Si tratta di un classico attacco <b
    MIDM </b
    su SSL: le richieste https fatte dal browser (le pagine da visualizzare) sono chiuse con un proxy di nokia (il MIDM) che ha un suo certificato valido (firmato da una CA riconosciuta) per cui il browser non genera alcun allarme, dopodichè è il proxy a inoltrare e restituire la richiesta... siccome però il browser ha chiuso le richieste sul proxy nokia, allora questo (ovvero nokia) può vedere in chiaro tutto il nostro traffico ssl/tls.Ovviamente la cosa salta fuori subito facendo una analisi di dettaglio del flusso dati e/o controllando il certificato (che, "stranamente", è sempre lo stesso per qualsiasi pagina https visitata...).Riguardo le conseguenze, c'è invece qualcosa da dire...Chi, per esempio, indicizza dei semplicissimi link o esegue un download massivo di file liberamente accessibili o richiede ripetutamente per un certo tempo una determinata pagina web, viene facilmente a trovarsi con polizia/servizi dentro casa e con un giudice che vuole sbatterlo in galera per 35 anni, salvo finire dritto a guantanamo... chi invece esegue un MIDM su SLL spiando illecitamente migliaia e migliaia di persone, beh non mi pare rischi proprio nulla, neanche di dover chiedere scusa...Riguardo il perché questo accada, c'è pure da dire qualcosa...L'attuale implementazione e applicazione di TLS/SSL (https) è assurda: si basa su una struttura di chiavi pubbliche di crittografia che poggia la catena di fiducia su delle CA ("autorità" -sic!- di certificazione) <b
    private </b
    a livello internazionale, che operano più o meno come ca##o pare a loro, senza un serio controllo pubblico e senza alcuna vera "investitura" pubblica, e che hanno un potere enorme del tutto autoproclamato e quindi ingiustificato (alla faccia della sedicente/cosiddetta democrazia)...Il tutto ovviamente NON FUNZIONA (come ampiamente dimostrato da questo caso e da svariati altri fatti "sporchi" che, anche di recente, hanno coinvolto molte di queste CA) e ciò è ben noto da almeno un decennio... ma non se ne parla, se non sottovoce e nell'ombra...Perché? Questo sistema è tenuto in piedi solo perché tutto il commercio elettronico si basa sul protocollo https: ovvero viene mantenuto soltanto per ragioni puramente <b
    commerciali </b
    , ovvero per gli <b
    interessi capitalistici </b
    di pochi (e a danno dei molti)... Come sempre, però, a noi viene detto che è tutto nel nostro stesso interesse e per la nostra sicurezza...
    • vuoto scrive:
      Re: MITM & capitalismo...
      Hai perfettamente ragione sulla ridicolaggine delle certificate authorities. Andate a vedere nel vostro browser tutti gli enti a cui date assoluta autorita' di decidere quali siti sono sicuri... Sbagli a inquadrare il tutto in puri interessi commerciali, visto che scambi un mezzo con il fine. Non si tratta di capitalismo o comunismo o fascismo, la tecnologia e' stata sviluppata per favorire il Controllo dagli inizi della rivoluzione industriale almeno. Si potrebbe sviluppare la tecnologia per ampliare le facolta' del singolo ma questo capita solo nelle fasi in cui bisogna favorire la adozione di nuovi aggeggi, ad esempio con il primo PC, o le automobili e gli apparecchi elettronici che tu potevi portare a far riparare da chi volevi visto che ti davano manualistica dettagliata.E non si tratta di teorie complottiste, non importa che ideologie ci siano alla base, chi ottiene denaro e non si accontenta vuole ricchezza concreta, case, oro. Chi ottiene ricchezza vuole potere, chi ottiene potere vuole esercitarlo sempre, ovvero vuole controllo, chi ottiene controllo vuole l'adorazione esplicita. Queste sono le tappe, dai faraoni o se ci credete da Matteo 4 versetto 9, ad oggi.ehi, MIDM, Man In De Middle?
  • Diego scrive:
    A me sembra una cosa estremamente grave
    Se la notizia è vera, che le intenzioni siano buone o meno poco importa. Se la cosa non è resa più che chiara agli utenti (vedi ad esempio Opera che ti avvisa per bene che stai passando per i loro proxy se usi l'opzione turbo) è a mio avviso da equiparare ad una intercettazione abusiva di comunicazioni o intrusione in sistemi informatici.Non ci andrei tanto per il leggero, secondo me siamo in zona "codice penale"Diciamo che Nokia ce la sta mettendo proprio tutta per sXXXXXXXrsi...Personalmente in passato avevo sempre apprezzato molto i cellulari Nokia tant'è che ancora oggi uso come telefono personale un E61i che tutto sommato mi consente di fare tutto quello che mi serve anche se la velocità di connessione non è il massimo.Oggi come oggi però non prenderei mai e poi mai più un Nokia. E vedendo i telefoni che hanno colleghi, amici, gente in treno e chi più ne ha più ne metta direi che non sono l'unico a pensarla così.Avere oggi un Nokia oggi è un po' avere un Siemens o un Alcatel qualche anno fa. Insommma cellulari da quattro soldi da battaglia e da spender poco (*).Dopo questa, direi che forse è meglio rivolgersi ad altri anche per i cellulari da battaglia.(*) tralasciando la serie lumia che comunque, oltre al prezzo alto non mi sembrano nemmeno un gran chè
    • MacGeek scrive:
      Re: A me sembra una cosa estremamente grave
      - Scritto da: Diego
      Se la notizia è vera, che le intenzioni siano
      buone o meno poco importa. Se la cosa non è resa
      più che chiara agli utenti (vedi ad esempio Opera
      che ti avvisa per bene che stai passando per i
      loro proxy se usi l'opzione turbo) è a mio avviso
      da equiparare ad una intercettazione abusiva di
      comunicazioni o intrusione in sistemi
      informatici.
      Non ci andrei tanto per il leggero, secondo me
      siamo in zona "codice
      penale"
      Diciamo che Nokia ce la sta mettendo proprio
      tutta per
      sXXXXXXXrsi...Concordo. Una cosa del genere è veramente grave.Felice di aver abbandonato Nokia, per sempre a questo punto.I segnali già si erano visti pochi mesi fa quando nelle pubblicità aveva falsificato filmati e foto del suo ultimo smarphone pureview. Ma adesso ha davvero esagerato
  • Fabrizio scrive:
    Nokia segue solo apple
    L'azienda Nokia ha imparato benissimo le scuse fasulle di Apple,il fatto che rischiamo e solo per migliorare la vostra esperienza,mi sembra di sentire Apple con i suoi prodotti.darsi che adesso Apple faccia causaalla Nokia per aver rubato la sua idea di creare i suoi utenti
  • Seppur scrive:
    Non angeli, ne' diavoli
    Non demonizzerei Nokia.Rispetto a lupi come Microsoft, Apple, Google, Samsung, Sony, e il resto della cricca, tutti plurisanzionati per comportamenti dallo scorretto al quasi-delinquenziale, alla Nokia sono degli agnellini.
    • P.Inquino scrive:
      Re: Non angeli, ne' diavoli
      - Scritto da: Seppur
      Non demonizzerei Nokia.
      Rispetto a lupi come Microsoft, Apple, Google,
      Samsung, Sony, e il resto della cricca, tutti
      plurisanzionati per comportamenti dallo scorretto
      al quasi-delinquenziale, alla Nokia sono degli
      agnellini.ti ricordo che nokia == m$
    • Izio01 scrive:
      Re: Non angeli, ne' diavoli
      - Scritto da: Seppur
      Non demonizzerei Nokia.
      Rispetto a lupi come Microsoft, Apple, Google,
      Samsung, Sony, e il resto della cricca, tutti
      plurisanzionati per comportamenti dallo scorretto
      al quasi-delinquenziale, alla Nokia sono degli
      agnellini.Spiare il traffico cifrato mediante redirezione sui loro server a me sembra estremamente grave, sempre che abbia capito correttamente il problema. Quando vado su un sito con https e vedo che il certificato è valido, assumo che il traffico lo possa leggere solo il sito di destinazione, grazie alla crittografia asimmetrica.Ora, bisognerebbe capire se i dati vengono trasmessi a Nokia cifrati con il suo certificato, in modo tale che sia lei a decifrarli e poi ricifrarli con il certificato del sito di destinazione, accedendo intanto liberamente al contenuto, oppure se a Nokia arriva comunque un blob inaccessibile, che lei semplicemente ritrasmette alla destinazione. Credo proprio che sia vera la seconda ipotesi perché non credo affatto che Nokia sia talmente idiota da esporsi alle conseguenze legali derivanti dalla prima.
      • krane scrive:
        Re: Non angeli, ne' diavoli
        - Scritto da: Izio01
        - Scritto da: Seppur

        Non demonizzerei Nokia.

        Rispetto a lupi come Microsoft, Apple,
        Google,

        Samsung, Sony, e il resto della cricca, tutti

        plurisanzionati per comportamenti dallo
        scorretto

        al quasi-delinquenziale, alla Nokia sono
        degli

        agnellini.

        Spiare il traffico cifrato mediante redirezione
        sui loro server a me sembra estremamente grave,
        sempre che abbia capito correttamente il
        problema. Quando vado su un sito con https e vedo
        che il certificato è valido, assumo che il
        traffico lo possa leggere solo il sito di
        destinazione, grazie alla crittografia
        asimmetrica.
        Ora, bisognerebbe capire se i dati vengono
        trasmessi a Nokia cifrati con il suo certificato,
        in modo tale che sia lei a decifrarli e poi
        ricifrarli con il certificato del sito di
        destinazione, accedendo intanto liberamente al
        contenuto, oppure se a Nokia arriva comunque un
        blob inaccessibile, che lei semplicemente
        ritrasmette alla destinazione. Credo proprio che
        sia vera la seconda ipotesi perché non credo
        affatto che Nokia sia talmente idiota da esporsi
        alle conseguenze legali derivanti dalla
        prima.Nockia e' nella posizione di mettersi ad utilizzare la tecnica del man in the middle.
        • Izio01 scrive:
          Re: Non angeli, ne' diavoli
          - Scritto da: krane

          Nockia e' nella posizione di mettersi ad
          utilizzare la tecnica del man in the
          middle.Bè, se l'ha fatto, immagino che verrà duramente sanzionata - e giustamente:probabilmente gli stessi utenti si renderanno conto della gravità di un simile approccio.
          • daniele_dll _rosica scrive:
            Re: Non angeli, ne' diavoli
            in realtà, già asserendo che usa dei proxy per ridirezionare il traffico, sta asserendo di decifrare il trafficoinfatti un proxy https può operare SOLO decifrando e poi recifrando perché il dove connettersi (quale hostname e quindi quale virtual-host) è scritto cifrato all'interno della richiesta :)- Scritto da: Izio01
            - Scritto da: krane



            Nockia e' nella posizione di mettersi ad

            utilizzare la tecnica del man in the

            middle.

            Bè, se l'ha fatto, immagino che verrà duramente
            sanzionata - e
            giustamente:
            probabilmente gli stessi utenti si renderanno
            conto della gravità di un simile
            approccio.
          • Izio01 scrive:
            Re: Non angeli, ne' diavoli
            - Scritto da: daniele_dll _rosica
            in realtà, già asserendo che usa dei proxy per
            ridirezionare il traffico, sta asserendo di
            decifrare il
            traffico

            infatti un proxy https può operare SOLO
            decifrando e poi recifrando perché il dove
            connettersi (quale hostname e quindi quale
            virtual-host) è scritto cifrato all'interno della
            richiesta
            :)
            Grazie della precisazione, mi hai insegnato qualcosa di nuovo :)Allora è gravissimo, spero che vengano ramazzati a dovere!
          • Diego scrive:
            Re: Non angeli, ne' diavoli
            Non mi risulta proprio!L'URL di una request è sempre in chiaro.Sono gli headers ed il contenuto che viene cifrato.Dall'articolo però sembra che sia possibile utilizzare sistemi tipo questo: http://www.sourcefire.com/security-technologies/network-security/ssl-encryption-decryptionE' per questo che, come dicevo, se dovesse essere confermato è una cosa estremamente grave.E visto che non vedo quali performance in più potresti avere passando da un proxy essendo il collo di bottiglia la rete GSM/UMTS, e visto che se vengono accettati di default certificati Nokia, viene da commettere peccato, come diceva un nostro illustre politico...- Scritto da: daniele_dll _rosica
            in realtà, già asserendo che usa dei proxy per
            ridirezionare il traffico, sta asserendo di
            decifrare il
            traffico

            infatti un proxy https può operare SOLO
            decifrando e poi recifrando perché il dove
            connettersi (quale hostname e quindi quale
            virtual-host) è scritto cifrato all'interno della
            richiesta
            :)

            - Scritto da: Izio01

            - Scritto da: krane





            Nockia e' nella posizione di mettersi ad


            utilizzare la tecnica del man in the


            middle.



            Bè, se l'ha fatto, immagino che verrà
            duramente

            sanzionata - e

            giustamente:

            probabilmente gli stessi utenti si renderanno

            conto della gravità di un simile

            approccio.
    • Alessandro Albertin scrive:
      Re: Non angeli, ne' diavoli
      Infatti recentemente è stata acquistata da Microsoft (pardon ha iniziato una profiqua collaborazione con Microsoft). Penso che questi siano i primi riusltati (scoperti) della collaborazione.
    • lucy fero scrive:
      Re: Non angeli, ne' diavoli
      - Scritto da: Seppur
      Non demonizzerei Nokia.
      Rispetto a lupi come Microsoft, Apple, Google,
      Samsung, Sony, e il resto della cricca, tutti
      plurisanzionati per comportamenti dallo scorretto
      al quasi-delinquenziale, alla Nokia sono degli
      agnellini.sbagli: sono <b
      DEMONI </b
      . tutti.
  • provare per credere scrive:
    Nokia
    Nokia[img]http://cdn.stripersonline.com/b/bf/341x450px-LL-bf012dd4_guy-laughing-at-you-thumb1094641.jpeg[/img]
Chiudi i commenti