skip to main | skip to sidebar
39 commenti

Le foto intime sugli smartphone si rubano troppo facilmente

Credit: Wikipedia/Gage Skidmore
Ricordate l’enorme collezione di foto intime rubate alle celebrità americane nel 2014? Sono stati resi pubblici alcuni verbali delle indagini condotte dall’FBI per risalire ai colpevoli e ci sono dei paralleli interessanti con le notizie recenti di un’analoga collezione circolante in Rete di foto esplicite di minorenni del Canton Ticino che sta suscitando molte discussioni.

I verbali dell’FBI descrivono il modo in cui una delle vittime, identificata soltanto come J.L. (presumibilmente Jennifer Lawrence), si è fatta delle foto intime con il proprio iPhone, non le ha mai condivise pubblicamente, mandandole soltanto al proprio partner e cancellandole subito dopo averle inviate.

Detta così, si direbbe che la vittima abbia preso tutte le precauzioni normalmente sufficienti; ma dai verbali emerge che la vittima ha ricevuto una mail di phishing, che simulava un messaggio dell’assistenza clienti di Apple con il mittente appleprivacysecurity@icloud.com:

Your Apple ID was used to login into iCloud from an unrecognized device on Wednesday, August 20th, 2014. Operating System: iOS 5.4. Location: Moscow, Russia (IP=95.108.142.138). If this wasn't you, for your protection we recommend you change your password immediately. In order to make sure it is you changing the password, we have given you a one time passcode, 0184737, to use when resetting your password at http://applesecurity.serveuser.com/. We apologize for the inconvenience and any concerns about your privacy. Apple Privacy Protection.

La vittima ha dichiarato di averlo ritenuto autentico, anche se non ricorda se ha seguito le sue istruzioni. Se lo ha fatto, ha regalato la propria password di iCloud al ladro di foto, che a quel punto poteva scaricare via Internet, senza che la vittima lo sapesse, tutte le copie delle fotografie della vittima salvate automaticamente su iCloud.

Sul caso ticinese c'è stretto riserbo da parte degli inquirenti, per cui per ora non è da escludere che alcune delle foto di minorenni non siano state condivise in pubblico volontariamente ma siano state rubate via Internet con una tecnica come quella che ha descritto l’FBI, peraltro assolutamente standard nel settore. Una perizia tecnica sugli smartphone delle persone coinvolte potrebbe togliere questo dubbio importante, visto che per molti genitori (e probabilmente anche per l’opinione pubblica) c’è una grande differenza di responsabilità fra fare un autoscatto intimo tenendolo per sé o per il partner e condividerlo intenzionalmente con chiunque su un social network. Prima di giudicare, insomma, è meglio chiarire come le foto in questione sono diventate pubblicamente accessibil.

Cosa altrettanto importante, episodi come questo dimostrano che rubare le foto dagli smartphone è più facile di quel che si pensa comunemente, perché non è necessario l’accesso fisico al telefonino e quindi le normali precauzioni di buon senso non bastano. L’unica soluzione sicura per garantire che un selfie intimo non finisca in giro è, molto drasticamente, non farne, per nessun motivo. Quello che non c’è non si può rubare.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (39)
Ma tra le normali precauzioni di buon senso non dovrebbe esserci anche quella di non abboccare alle mail di phishing? :-O
Dannato cloud...
Ogni tanto mi capita di fare fotografie col telefono che sono solo "di servizio" (un cartello con gli orari di apertura, una scritta piccolissima così posso ingrandirla e leggerla senza occhiali, dove ho parcheggiato la macchina....) e NON vorrei che mi venisse backuppata, inutile conservare schifezze simili. Puntualmente mi dimentico di disattivare il backup prima. Non mi stupisce, quindi, che succedano queste cose e rimane valido il consiglio di Paolo: l'unico modo per evitare rischi se non si vogliono lasciare in giro certe foto è non usare il telefono. E magari riscoprire gli strumenti specializzati... come usare una fotocamere per fare una foto e una telecamera per fare i filmati...
Oppure scattarle su pellicola e sviluppare la foto a casa in un laboratorio casalingo. Una ricca come lei si può anche permettere di comprarsi una macchina che stampa le pellicole :-)
Qualche tempo fa ho ricevuto delle mail simili a quella riportata da Paolo: accessi strani sul mio account Microsoft; ho ignorato le mail e cambiato la password direttamente dal sito web. La mia attuale e' oltre 18 caratteri e da allora non ho ricevuto piu' simili avvertimenti. Mi sento un po' paranoico...
La "ragazza di fuoco" ha ricevuto una bella doccia fredda.
Avrà imparato ora che i servizi cloud, se ti avvisano di un accesso sospetto, non ti mandano MAI un codice e un link da seguire, al limite ti consigliano:
"Se non eri tu, è meglio che tu acceda al tuo profilo e cambi la password." Stop.
il fatto che il backup su cloud sia di default attivato e' male, come male il fatto che di default sia attivata la cronologia delle posizioni e tutto il resto. Un eventuale aggressore riesce in questo modo ad avere il controllo totale e non solo della mail o il servizio "phishato"...
Non sono per nulla d'accordo con la conclusione finale che l'unica soluzione sicura sia non farne. Ovviamente è vera (come sarebbe vera dire: "se non vuoi che tuo figlio muoia in un incidente automobilistico, non metterlo al mondo") ma ha conseguenze etiche e filosofiche non certo trascurabili.
In ogni caso se il phishing era quello di accesso da un altro dispositivo, dovrebbe aver poi ricevuto una VERA notificazione da Apple dell'accesso a iCloud da un altro dispositivo, anche se comunque sarebbe stato troppo tardi. In ogni caso contro il phishing l'autenticazione a due fattori (2FA) è un toccasana.
aah vabè..
è na ragazzina di 20 anni un pò rintronata... vabè..
il buon vecchio phishing miete sempre vittime..
Per mia limitazione, non capisco bene come funzioni il meccanismo di furto di password - e invece, a scanso equivoci, mi piacerebbe capirlo.

Cioè:

Il ladro A manda un messaggio a B, fingendo di essere Apple e suggerendogli di cambiare la password. E sin qui, tutto chiaro. Ma cosa succede dopo?

Se il link fornito da A è fasullo (cioè non corrisponde ad Apple), e B lo apre per inserirvi la nuova password, indubbiamente questa password viene a conoscenza di A - ma in realtà la vecchia password non è stata affatto cambiata, e quindi A non può utilizzare la nuova per accedere alle foto di B.

E se invece il link è quello vero, e B cambia la sua password, come fa a A conoscerla?

Cosa mi sfugge?
Ma le foto le avete viste? Sono scatti da film porno.
Michele/ENERGIA, perché complicarsi la vita inutilmente? Le fotocamere digitali, sia compatte che Reflex, non si connettono a internet quindi sono già sicure! Se si vogliono fare foto che devono restare private (non necessariamente di nudo, può essere qualsiasi cosa) basta usare quelle, che inoltre fanno anche foto migliori dei telefoni, e poi custodire gli scatti in un HD esterno nascosto in soffitta. Semplice ed efficace.
Non saprei se smettere di farsi selfie intime sia la soluzione.

Mi ricorda un po' quello che ha detto Snowden durante l'intervista con John Oliver (http://youtu.be/XEVlyP4_11M), quando scherzando sull'esistenza di un programma di sorveglianza dell'NSA dal nome "The dick pics program", Snowden ha risposto così all'affermazione di Oliver (il quale diceva che l'unico modo per stare al sicuro era smettere di farsi foto del genere fino a quando questa situazione non sarebbe stata risolta):

"You shouldn’t change your behavior because a government agency somewhere is doing the wrong thing. If we sacrifice our values because we’re afraid, we don’t care about those values very much."
@Mars4ever non più ormai, molti modelli hanno wifi e possono caricare anche su instagram direttamente
@MOSAIC e a te chettefrega delle foto che scattava nell'intimità la Lawrence? saranno un po' fatti suoi?
@ebonsi che la vittima apre il link gestito dal delinquente, ci mette dentro la sua password e il delinquente la può leggere tranquillamente, per cui dopo il delinquente si collega al sito vero con la password e fa quel che vuole
[quote-"MacLo"-"/2016/01/le-foto-intime-sugli-smartphone-si.html#c5484604207096242588"]
aah vabè..
è na ragazzina di 20 anni un pò rintronata... vabè..
il buon vecchio phishing miete sempre vittime..
[/quote]
No, è una Donna di 25, vincitrice di un oscar alla migliore attrice.
Ed è pure l'attrice più ricca del mondo (Forbes, 2015).
presuntuoso :D
@ebonsi, di solito il link fasullo è una pagina di login veramente ben fatta, che parte con la richiesta di username e password attuali.

Venerdì scorso ad una collega è capitata una cosa simile, con un account google; arrivata una mail "credibile" di "mail in sospeso", con link a pagina perfettamente riprodotta di accesso a gmail.

Una volta ottenuti username e password, entrano nel tuo account, fanno il dump della rubrica e cancellano tutta la posta. Come ulteriore bonus in quel caso avevano anche impostato la lingua araba.

Passo successivo è mandare spam alla rubrica proveniente dalla gmail dell'utente, che chiede soldi siccome "blahblah sono all'estero e mi hanno bloccato le carteblahblah", e che a quel punto passando per il server di google è più credibile; dopo poche ore viene seguita dalla stessa mail "credibile" di cui sopra, tanto per spargersi ben bene.

basta una piccola percentuale di distratti/polli che il giochino rimane ben in vita...

@ebonsi: molto probabilmente il form della pagina fraudolenta richiede pure la vecchia password (cioè quella secondo loro compromessa) e il gioco è fatto...
Ebonsi, nel link la vittima dovrà inserire anche la vecchia password, per poterne inserirena nuova... e il gioco è fatto
@MOSAIC
Scusa, in che senso? Qualsiasi attività sessuale che tu faccia con il tuo/tua partner è per definizione PORNO se ripresa e vista da chiunque altro, no? Non è quello che fai, lei non ha fatto niente che qualsiasi normalissima coppia non faccia. Sono in pochi a riprendersi? Concordo, non è questo però che deve qualificarla. Era peggio se aveva i calzini...
Per le attrici potrebbe essere tutta reklamme aggratise, e scusa se è poco.
per il resto attendiamo il riconoscimento facciale per l'accesso allo smartphone mentre l' NSA ringrazia.
Ai miei tempi, qualche ragazza più intraprendente (ma principalmente ingenua e molto innamorata: un mix pericoloso) si faceva fotografare in costume adamitico dal proprio ragazzo. Capitava anche che il ragazzo mostrasse orgoglioso a qualche amico le grazie della propria lei e, se si lasciavano, le mostrava per dire quanto fosse "peripatetica".

Era molto imbarazzante, poi, incontrare quella ragazza, sia se ancora fidanzata sia (era anche peggio), se si era lasciata.

Aggiungo che il numero di ragazze che si ficcavano in situazioni del genere era esiguo: immaginavano immediatamente i potenziali usi futuri di una foto del genere.

Perché oggi manca questa "preveggenza"?
@Euro Fascysm
per il resto attendiamo il riconoscimento facciale per l'accesso allo smartphone mentre l' NSA ringrazia.

A patto che non venga ingannato da una foto o da una stampa in 3D della faccia o dalla faccia... staccata dal resto del corpo.

Dimenticavo, e se ti fai male e hai una benda?
Se ti sei fatto un occhio nero?
Il software potrebbe badare a dei punti importanti del viso tralasciando l'occhio nero o la benda e riconoscere lo stesso la faccia ma, in questo caso, con un sosia o con qualcuno truccato apposta per assomigliare al proprietario dello smartphone, come farebbe il software a riconoscere l'imbroglio e che accadrebbe se l'imbroglione fosse il tuo gemello?

:-)
Non sono per nulla d'accordo con la conclusione finale che l'unica soluzione sicura sia non farne. Ovviamente è vera (come sarebbe vera dire: "se non vuoi che tuo figlio muoia in un incidente automobilistico, non metterlo al mondo") ma ha conseguenze etiche e filosofiche non certo trascurabili.

Questo accenno al piano etico e filosofico mi incuriosisce. Approfondimenti?
@ Gustalufo
Per il 3d bastano un paio di microcamere.
inoltre il software evoluto riconosce sia i parametri
biometrici vitali sia eventuali modifiche fisiologiche.
E comunque basterebbero il 98% degli utenti per la schedatura di massa.
ciao.

Autenticazione a due fattori no vero? attivarla è troppo complicato per qualcuno...
@tutti: capito, grazie.
" In order to make sure it is you changing the password, we have given you a one time passcode, 0184737, to use when resetting your password at http://applesecurity.serveuser.com/"

Io l'ho capita in un altro modo.
Il link conduce ad un sito autentico, il messaggio ti invita a sostituire la tua password (non nota al furfante) con un'altra password "temporanea" (nota al furfante perché te l'ha fornita lui), indicandoti di sostituirla proprio con quella per dimostrare che sei davvero tu a cambiarla.
Scusate se faccio una domanda da critino, ma alla fine 'sto "cloud" con cui tutti si riempiono la bocca... è qualcosa di diverso da un server o da una collezione di servers online??

Cioè, metto un file in un computer che forse sta a Seattle o forse sta a Shanghai, così se mi serve di mostrarlo a qualcuno gli do l'indirizzo e se lo vede... mi pare tanto che il "cloud" sia la stessa identica cosa, se non ho capito male.

@puffolotti
cloud perche' non sai esattamente dove siano i tuoi files, per te utente la gestione dev'essere totalmente trasparente. Non ti deve interessare dove sono purche' siano accessibili da te o dalle persone da te autorizzate tramite apposite credenziali.
Il fatto che siano in mano a societa' esterne, alcune serie, altre un po' meno, e il fatto che queste societa' possono per esempio chiudere di botto (ok a google succedera' molto difficilmente) o decidere di smettere di erogare il servizio, oppure se l'autorita' lo richiede dare accesso ai tuoi files (metti qualche regime autocratico) a te non deve interessare...
@puffolottiaccident
Cioè, metto un file in un computer che forse sta a Seattle o forse sta a Shanghai, così se mi serve di mostrarlo a qualcuno gli do l'indirizzo e se lo vede... mi pare tanto che il "cloud" sia la stessa identica cosa, se non ho capito male.

Che io sappia è esattamente quello: io metto fatti miei, quasi mai cifrati, nel server di qualcun altro che può, se vuole, vederseli. :-D

Però se propongo alle mie figlie di mettere i loro file sul mio pc come backup non vogliono. :-D
@puffolottiaccident esatto! aggiungici solo un programma che carica tutto in background.
@Franto
Il programma che carica tutto in background... mi pare di ricordare che esplora risorse di windows 98 lo faceva mentre facevo altre stronzatine con autocad 13.. e se non era lui era windows XP.
@eugenio #26 il link sarà serio ma è sconosciuto. Per solito poi nei link apple trovi sempre un vattelapescasecondolivello.apple.com... Non nomi di fantasia.
Il fatto è che qualcuno beccava sempre, becca sempre e beccherà sempre. Il qualcuno avrà password tipo 123456789 o asdfghjkl et similia, se gli parlerai di autenticazione a due fattori ti risponderà "troppo complicato adesso spiegamelo un altra volta" e messo alle strette chiuderà il discorso con un bel "ma tanto che sarà mai io non ho mica nulla nascondere".
Era ieri, è oggi, sarà domani.
E chi non ha attivato l'autenticazione a due fattori è un sarchiapone.
Be', non fare foto forse è un po' drastico, io col mio telefono ne faccio ogni volta che serve (anche se è il genere di foto che poco mi cambierebbe se finissero in giro), ma il mio telefono normalmente non è connesso a internet, e anche quando lo è non ha alcun backup nel Cloud, per cui lì sono e lì restano a meno che decida scientemente io di condividerle da qualche parte, perché io sostanzialmente del Cloud non mi fido e non me ne servo (fa eccezione Evernote, ma se qualcuno davvero ci tiene a conoscere la mia lista della spesa o quella delle cose da mettere in valigia per la STICCON, faccia pure...)
@martinobri scusa se n on ho più risposto ma mi ero scordato di questo articolo. Be', diciamo che è scaricare la colpa sulla vittima invece che sull'aggressore. Citare l'inevitabilità del problema e suggerire che l'unica soluzione realmente efficace sia evitare l'attività in toto è quantomeno frustrante (per la vittima e per altri potenziali utenti dell'attività) e soprattutto ingiusto. Nel caso specifico: perché io dovrei limitare qualcosa che mi piace fare perché qualche delinquente può rubarmelo? Perché non ci si sforza per migliorare la condizione di base (educazione all'uso della tecnologia, sicurezza della tecnologia, prevenzione e detenzione dei delinquenti ecc. ecc.) e invece si suggerisce semplicemente di "non farlo"? Perché ho il fortissimo dubbio che se invece di essere foto osé di una donna fossero stati documenti di qualche attivista per i diritti umani nessuno avrebbe suggerito di "non scrivere quelle cose così nessuno ti può arrestare"??
@Eugenio ma scusa, ti pare che "http://applesecurity.serveuser.com/" sia un sito AUTENTICO per cambiare la password di un AppleID??? Ovviamente il phishing non funziona come dici tu ma col classico specchietto per le allodole dove si copiano i tuoi dati attuali (che ti richiedono)
Vide,

è scaricare la colpa sulla vittima invece che sull'aggressore. Citare l'inevitabilità del problema e suggerire che l'unica soluzione realmente efficace sia evitare l'attività in toto è quantomeno frustrante (per la vittima e per altri potenziali utenti dell'attività) e soprattutto ingiusto.

Capisco la frustrazione, ma io mi sento in dovere di proporre soluzioni pratiche, non idealistiche. Certo, in un mondo perfetto nessuno approfitterebbe delle falle di sicurezza dei sistemi cloud o operativi e dell'incompetenza degli utenti per perpetrare truffe e rubare immagini intime. Ma siccome non siamo in un mondo perfetto e gli utenti non sono e non vogliono essere esperti informatici (e forse è anche loro diritto non doverlo diventare per usare un telefono), realisticamente la soluzione pratica è evitare di fare foto delicate su un dispositivo connesso.



Perché ho il fortissimo dubbio che se invece di essere foto osé di una donna fossero stati documenti di qualche attivista per i diritti umani nessuno avrebbe suggerito di "non scrivere quelle cose così nessuno ti può arrestare"?

Ripeto: il consiglio non è di non scrivere / non fare foto. È di non farlo su un dispositivo che si affaccia a Internet o che salva nel cloud. Un attivista che non sia cretino usa Tor, Tails, un laptop isolato e tenuto sotto chiave, la crittografia del disco e delle comunicazioni e anche un po' di sana paranoia, così può scrivere quello che deve.
@Vide

Il discorso "Perchè dovremmo chiudere le biciclette? insegnamo ai delinquenti a non rubare" è fallimentare, non tanto perché è [mucho enormissimamente] difficile, ma perché contiene una contraddizione insormontabile tale per cui più ti muovi in tale direzione più ti impantani.
@CMT
ma se qualcuno davvero ci tiene a conoscere la mia lista della spesa o quella delle cose da mettere in valigia per la STICCON, faccia pure...

Quelle sono informazioni preziose. Dalla lista per la spesa sanno cosa compri e da ciò che metti nella valigia capiscono anche i tuoi gusti.
Insomma, se nella tua lista c'è la divisa del comandante Kirk poi non ti chiedere come mai, sul tuo pc, appare la pubblicità dell'ultimo film di Star Trek :-)
@Guastulfo:

in realtà è già tanto se dalle cose che compro e/o mi porto dietro emerge che sono umano e vivente (non sono troppo sicuro io stesso di nessuna delle due cose), e accidentalmente sono un trekker che non ha mezza uniforme o altro abbigliamento a tema (però ho dei gemelli e un fermacravatta con lo stemma di TNG, anche se alla STICCON non me li porto mai ^__^)