skip to main | skip to sidebar
Visualizzazione post con etichetta Android. Mostra tutti i post
Visualizzazione post con etichetta Android. Mostra tutti i post
17 commenti

I dispositivi Android azzerati non sono davvero azzerati, ma niente panico

S'è diffuso un certo panico in Rete per la notizia che i dispositivi Android cancellati con la funzione di ripristino (Impostazioni - Account - Backup e ripristino - Ripristina dati di fabbrica), come avviene quando si rivende o regala un tablet o un cellulare, in realtà contengono ancora i dati dell'utente.

La società di sicurezza Avast che ha lanciato l'allarme ha acquistato su eBay dei telefonini Android usati i cui proprietari erano convinti di aver cancellato tutti i dati. Avast ha invece recuperato fotografie anche intime, mail e messaggi, adoperando tecniche di recupero dati tipiche dell'informatica forense. La normale cancellazione di un file, infatti, in realtà non cancella nel senso tradizionale del termine, ma si limita a dire “questo spazio è riscrivibile”. Finché non viene riscritto, lo spazio di memoria contiene ancora i dati.

Non è certo una sorpresa che Avast consigli di risolvere il problema usando il proprio prodotto apposito, ma c'è un trucco che permette di fare a meno di qualunque prodotto aggiuntivo: basta infatti attivare la cifratura del dispositivo, incorporata di serie in Android, prima di azzerare.

Si procede così: si toglie l'eventuale scheda di memoria aggiuntiva (che può essere riutilizzata su un nuovo dispositivo) e poi si va in Impostazioni - Altro - Sicurezza e si sceglie Crittografia dispositivo. Bisogna dare una password (almeno sei caratteri e una cifra, che verrà chiesta a ogni accensione) e poi attendere che il dispositivo effettui la crittografia dell'intera memoria. Questo può richiedere alcune decine di minuti e può inoltre causare lievi rallentamenti, ma se state comunque per cedere il dispositivo, questo non è un problema: quando il dispositivo verrà azzerato dal nuovo proprietario il rallentamento sparirà.

Fatto questo, il normale azzeramento (ripristino) del dispositivo renderà davvero irrecuperabili i dati, perché saranno ancora presenti ma scritti in forma cifrata con una password che il dispositivo non contiene più.

Consiglio pratico: non attivate la crittografia su un dispositivo che non intendete cedere. La crittografia obbliga infatti a usare una password di sblocco complessa, che è scomodissima da dover digitare ogni volta che si vuole usare il dispositivo.

Per i dispositivi recenti che usano iOS, invece, non occorre questa procedura, perché dall'iPhone 3GS in poi i dati sono già crittografati automaticamente; lo stesso vale per tutti gli iPad e qualunque iPod touch dalla terza generazione in poi.

Fonti: Ars Technica, Lifehacker.
5 commenti

Heartbleed, alcuni milioni di cellulari e tablet Android sono vulnerabili; (quasi) tutto OK per Apple

L'articolo è stato aggiornato dopo la pubblicazione iniziale.

La falla di sicurezza denominata Heartbleed non è soltanto un problema per i gestori di siti: riguarda anche gli smartphone Android e alcuni dispositivi Apple.

Secondo Google, la versione 4.1.1 di Android, nota come Jelly Bean, è vulnerabile a questa falla di sicurezza di cui tanto si parla da qualche giorno. Sempre Google indica che sono attivi circa un miliardo di dispositivi Android e che circa un terzo di essi ha la versione 4.1.x di Android, per cui si può stimare ragionevolmente che i dispositivi Android vulnerabili siano alcuni milioni.

Google, responsabile di Android, ha già distribuito ai produttori di smartphone la correzione: spetta ora a questi ultimi distribuirla agli utenti. Nel frattempo potete verificare facilmente se siete vulnerabili a Heartbleed usando l'app Heartbleed Detector/ Security Scanner (in italiano Heartbleed Sicurezza Scanner). Controllate bene il nome e l'icona prima di installarla (la vedete qui sotto), perché ci sono parecchie imitazioni fasulle.


L'app comunica soltanto in inglese, ma è comunque abbastanza chiara: se dice “Everything is OK”, va tutto bene, anche se dice che il dispositivo è “affected”. La versione vulnerabile di OpenSSL può infatti essere presente ma con la funzione difettosa disattivata, e in questo caso non comporta rischi.

Per quanto riguarda i Mac, gli iPhone, gli iPod touch e gli iPad, invece, tutto a posto: Apple ha dichiarato che iOS e OS X non hanno mai usato la libreria OpenSSL che è al centro della falla Heartbleed. Ci sono invece problemi per i prodotti Apple Airport Extreme e AirPort Time Capsule, che in alcune versioni usano la libreria OpenSSL difettosa che sta alla base di Heartbleed. I loro utenti farebbero bene a scaricare e installare l'aggiornamento del firmware 7.7.3, per evitare accessi non autorizzati e altri problemi.
11 commenti

Android, come scoprire le app ficcanaso o prosciugabatteria

Avete notato che la batteria del vostro tablet o telefonino Android non dura più a lungo come prima? La colpa potrebbe essere di un'app che avete installato: per scoprire quale c'è uno strumento gratuito che si chiama App Permissions di F-Secure.

Questa app visualizza i permessi delle app (in altre parole, le cose che un'app può fare), indicando per nome quelle che possono costarvi denaro, per esempio perché inviano messaggi o fanno chiamate senza il vostro consenso, oppure quelle che riducono l'autonomia della batteria perché attivano servizi ad alto consumo come il GPS. App Permissions consente anche di scoprire quali app si fanno i fatti vostri, per esempio leggendo la rubrica.

Molte app gratuite, particolarmente i giochi, sono delle esche usate per catturare informazioni personali a scopo commerciale (dove va e dove si sposta l'utente, qual è il suo numero di telefonino o quali sono i suoi account, per esempio) o per attivare servizi (per esempio scattare foto e video o fare chiamate senza conferma dell'utente). Con App Permissions si fanno delle scoperte sorprendenti e inattese: per esempio, un'app che fa il cronometro per gli scacchi (Chess Clock for Android) chiede e ottiene il permesso di sapere dove si trova l'utente. Perché? E perché Barcode Scanner si legge la cronologia Internet dell'utente e i suoi siti preferiti?

App Permissions non consente di alterare i permessi concessi alle altre app: offre soltanto la possibilità di rimuovere le app che ci insospettiscono perché chiedono permessi non attinenti alla loro funzione. E se ve lo state chiedendo, App Permissions non chiede nessun permesso: per verificarlo (o per verificare i permessi di qualunque app Android) si va nelle Impostazioni di Android, si sceglie Altro e poi Gestione applicazioni, si sceglie l'app da ispezionare e si scorre verso il basso per vedere la sezione Autorizzazioni.
1 commento

Disattivare acquisti in-app e installazione di app in Android

Se volete evitare danni e salassi accidentali causati da app infette o da acquisti di app o di accessori all'interno delle app su un dispositivo Android (telefonino o tablet), c'è un metodo universale molto semplice che funziona anche su dispositivi che hanno vecchie versioni di Android: si va nel Play Store, si tocca il tasto Impostazioni e si attiva la casella Usa la password per limitare gli acquisti, come mostrato qui accanto. In questo modo soltanto chi ha la password dell'account Google associato al dispositivo potrà fare acquisti. È inoltre possibile limitare in base a criteri d'età il tipo di applicazione scaricabile (gratuita o meno) usando, sempre nelle Impostazioni, la voce Filtro contenuti.

Il limite di questa protezione è che è comunque possibile installare app da fonti differenti dal Play Store: per disabilitare anche questa possibilità occorre andare nelle impostazioni di sicurezza e disabilitare l'opzione Sorgenti sconosciute.

Alcune versioni più recenti di Android (4.3 e successive) offrono sui tablet una gestione più completa: andando in Impostazioni - Sicurezza, si aggiunge un utente con un profilo limitato, che viene protetto da una password. In questo profilo è possibile selezionare quali app possono essere utilizzate.

In alternativa si può ricorrere alle varie app di controllo parentale, gratuite o a pagamento, come per esempio Kaspersky Parental Control, Kids Place, Norton Family Parental Control o Funamo Parental Control, che bloccano lo scaricamento di app, le telefonate uscenti e ricevute, l'invio di SMS e impongono limiti di tempo inesorabili.
22 commenti

Serve davvero proteggere smartphone e tablet Android con un antivirus? Oh, sì

Rispondo qui a una domanda che mi è arrivata varie volte via mail: è realmente necessario usare un antivirus sui dispositivi Android, oppure si tratta di una paura creata ad arte dai produttori di antivirus?

Per farla breve: sì. Il malware per Android (app infettanti) esiste realmente e ogni tanto è presente anche nel Play Store, il negozio online ufficiale di Google per le app Android. Spesso, oltretutto, è travestito da giochino allettante o da visualizzatore di video a luci rosse.

Queste app infettano smartphone e tablet allo scopo di rubare dati personali (tipicamente la rubrica degli indirizzi, in modo da mandare spam ai contatti della vittima) oppure per prendere il controllo dell'account Google (che contiene spesso i dati di una carta di credito o le password per altri servizi rivendibili, come gli account nelle reti di gioco).

Nel caso degli smartphone Android e dei tablet Android con connessione cellulare, inoltre, un malware può inviare SMS di abbonamento a linee erotiche o MMS “premium”, il cui costo viene scalato dal credito o dall'abbonamento della vittima e incassato dai truffatori. App di questo tipo sono state trovate anche in Google Play.

Secondo alcune ricerche, già nel 2012 esistevano oltre 65.000 tipi di malware Android, che avevano colpito circa 33 milioni di dispositivi. Secondo altre fonti, questi numeri sono decisamente sottostimati.

Un esempio pratico: Balloon Pop 2, una app di gioco per Android, mostrata nell'immagine qui sopra, era distribuita tramite il Play Store, superando quindi i controlli del sito di distribuzione standard per Android. Ma è stato scoperto che rubava di nascosto le conversazioni private fatte tramite WhatsApp e le metteva in vendita via Internet.

L'app è stata rimossa dal Play Store, ma è ancora disponibile facendo le opportune ricerche in Rete: fa parte dei servizi di WhatsAppCopy, che si spaccia per una soluzione che consente all'utente di fare una copia di scorta delle proprie conversazioni fatte su WhatsApp tramite l'app Balloon Pop 2. Ma se così fosse, che motivo ci sarebbe di nascondere questa funzione dietro un gioco? L'app viene infatti riconosciuta come malware e bloccata dagli antivirus per Android (per esempio Avast, Norton, Lookout, Kaspersky, Sophos).

Oltre a installare un antivirus (spesso gratuito), è opportuno assicurarsi che sul dispositivo Android sia disabilitata la possibilità di installare app trovate in giro su Internet al di fuori del Play Store: nelle versioni recenti di Android, andate in Impostazioni - Altro - Sicurezza e controllate che sia disattivata la casella Sorgenti sconosciute e che sia invece attivata quella etichettata Verifica applicazioni. Prima di installare una app, inoltre, chiedetevi sempre se è realmente necessaria e controllate le recensioni per vedere se qualcuno ha segnalato eventuali comportamenti anomali. Infine evitate di alterare il funzionamento del dispositivo Android con operazioni come il rooting se non siete esperti.

E gli iPhone, iPad e iPod touch? I controlli sull'App Store di Apple sono molto severi. Se i dispositivi Apple non vengono craccati per installare app di provenienza alternativa, il rischio di malware è modestissimo. Vale comunque il principio di prudenza: meno app si installano e meno si rischia.
6 commenti

Android si Siri-izza un po’ con l’update di Google Search (ma soltanto in inglese USA)

Durante la puntata del Disinformatico di venerdì scorso ho provato ad aggiornare in tempo reale sul mio telefonino Android l'app di ricerca di Google, dato che correva voce che consentisse di dialogare a voce e comandare il dispositivo in modo interattivo (in altre parole, come Siri su iPhone), ma l'esperimento è fallito miseramente.

Ho scoperto perché: avevo settato l'inglese USA come lingua d'interfaccia del telefonino ma non avevo fatto la stessa cosa per la lingua della ricerca vocale. Se volete sapere come si fa e provare (finalmente?) l'ebbrezza di mandare un SMS usando soltanto la voce su un cellulare Android, leggete queste mie istruzioni.
4 commenti

Android, come scoprire il PIN di uno smartphone tramite la sua telecamerina

Ross Anderson, prolifico ricercatore di falle nella sicurezza nei nostri dispositivi, ha trovato una maniera per dedurre il PIN di un utente Android anche su telefonini e tablet che usano la virtualizzazione e/o due sistemi operativi (uno trusted e l'altro untrusted) per aumentare la sicurezza. Usa la telecamerina frontale e il microfono, che sono periferiche solitamente non soggette a restrizioni trusted/untrusted. Geniale.

Cosa più importante, emerge che è possibile attivare la telecamerina frontale senza accenderne la spia luminosa. Il link alla ricerca di Anderson e i dettagli sono in questo mio articolo per la Radiotelevisione Svizzera.
13 commenti

Localizzare un Android smarrito o rubato

Nell'immagine qui accanto vedete un mio test di Android Device Manager, la soluzione di Google per localizzare dispositivi Android dispersi o rubati. Ero negli studi della Radiotelevisione Svizzera stamattina, per la diretta del Disinformatico radiofonico, per cui non posso dire che il test sia stato coronato da pieno successo, visto che la posizione indicata è piuttosto imprecisa.

Comunque sia, Android Device Manager è gratuito e permette non solo di localizzare lo smartphone ma anche di farlo squillare (anche se la suoneria è disattivata) e di cancellarne i dati a distanza (opzione utile in caso di furto o smarrimento definitivo). Le istruzioni sono qui.
10 commenti

Disinformatico radio, la puntata di ieri

Come consueto, ieri (venerdì) ho condotto una puntata del Disinformatico radiofonico per la Rete Tre della RSI. Il podcast è scaricabile qui. I temi e i relativi articoli di supporto sono i seguenti:

2 commenti

Disinformatico radio di stamattina, pronto il podcast

Potete scaricare qui il podcast della puntata di stamattina del Disinformatico radiofonico che ho condotto per la ReteTre della Radiotelevisione Svizzera. Questi i temi e i rispettivi articoli di supporto:

40 commenti

Disinformatico radio, il podcast di venerdì

Scusatemi, sono stato un po' offline, preso da esercitazioni d'ingestione di focaccia a Spotorno (concluse con grande successo). Segnalo con colpevole ritardo la disponibilità del podcast della puntata di venerdì scorso del Disinformatico radiofonico che ho realizzato per la Rete Tre della RSI.

Questi sono i temi che ho affrontato:

5 commenti

Podcast del Disinformatico di stamattina

È disponibile per lo scaricamento il podcast della puntata del Disinformatico radiofonico che ho condotto con Fabrizio Casati stamattina sulla Rete Tre della RSI. Questi i temi e i rispettivi articoli di accompagnamento:

Allarme per “La vita è bella”, il PowerPoint che distrugge i computer!
Viber sblocca i telefoni Android senza permesso (aggiornamento: è disponibile la versione nuova di Viber che corregge la falla; ho aggiornato l'articolo)
Antivirus per smartphone, serve veramente?
Quali sono le password peggiori?
Come verificare se la password su Twitter è sicura
3 commenti

Il Disinformatico radio del 2013/03/29

Ieri mattina ho condotto la rituale puntata settimanale del Disinformatico radiofonico per la RSI. Il podcast è qui a disposizione e gli argomenti sono i seguenti:

Strani messaggi e password rubate su Twitter

Antibufala: la guardia del corpo aliena di Obama

Fotocamere WiFi? Belle ma vulnerabili

Ansia da aggiornamenti software? Come distinguere quelli veri dai falsi

Android, Google traduce anche senza Internet
11 commenti

Disinformatico radio, il podcast di oggi

Il podcast della puntata di stamattina del Disinformatico radiofonico è pronto da scaricare. Prima che me lo chiediate: non c'è un podcast della settimana scorsa (1 marzo) perché la trasmissione ha saltato una settimana.

In questa puntata ho parlato di questi argomenti (i link portano ai rispettivi articoli con i dettagli) e anche di Dita Von Teese che ha presentato il primo vestito stampato con una stampante 3D:
Aggiornamento: Sembra che quello indossato dalla Von Teese non sia il primo vestito stampato con stampante 3D in assoluto. C'erano già questi, se si possono chiamare “vestiti”. Resta comunque una demo interessante (anche senza la Von Teese in questione).
5 commenti

Podcast del Disinformatico radiofonico

Potete scaricare da qui il podcast della puntata di venerdì scorso del Disinformatico che ho condotto per la Rete Tre della RSI, parlando di Linux Ubuntu per smartphone e tablet, Internet Explorer 8 vulnerabile, soluzioni concrete per comandare il computer con gesti e sguardi, e un metodo per passare facilmente una password Wifi complessa a un ospite Android. La parola di Internet della settimana è data poisoning: la ragione per la quale, per esempio, nelle mappe ci sono vie inesistenti nella realtà.
18 commenti

Android: tastiera coreana a sorpresa

Se vi si coreanizza la tastiera del droide


Un appunto veloce su una magagna che mi capita spesso e magari può essere utile ad altri utenti di cellulari Android: ogni tanto la tastiera sullo schermo diventa coreana, probabilmente perché ripongo il telefono senza disattivarne la superficie tattile e qualche contatto casuale imposta la tastiera di quel paese. Se vi capita, la soluzione è aprire una qualunque applicazione che abbia un campo di immissione, far comparire la tastiera e tenere il dito sul punto d'immissione del testo. Questo fa comparire un menu dal quale si sceglie Metodo inserimento e si sceglie la tastiera desiderata.
26 commenti

Android, successo e cavalli di Troia

Android supera iOS ma inciampa in un cavallo di Troia


A giudicare dal clamore che si fa intorno ai telefonini di Apple non si direbbe, eppure iOS, il sistema operativo dell'iPhone, è soltanto quarto nella classifica mondiale dei sistemi operativi per smartphone redatta da Gartner e IDC sulla base dei dati di vendita del secondo trimestre del 2010. Al primo posto c'è Symbian con il 41,2%, seguito da RIM (Research in Motion, ossia BlackBerry) con il 18,2%. Al quarto posto c'è, appunto, Apple, con il 14,2%: in altre parole, solo uno smartphone ogni sette ha il logo della Mela. Windows Mobile è quinto, con il 5%.

Chi c'è al terzo posto? Android, il sistema operativo per telefonini di Google, basato su GNU/Linux e quasi interamente libero e open source. Ha il 17,2% del mercato ed è in rapidissima crescita: l'anno scorso era all'1,8%. Tutti gli altri concorrenti sono in forte calo, tranne Apple che ha guadagnato qualcosina. Il distacco di Android dal secondo posto di RIM è solo dell'1%.

Purtroppo il successo di Android ha attirato l'interesse dei criminali informatici. La società di sicurezza Kaspersky Labs ha annunciato di aver trovato un'applicazione ostile per Android che è in grado di rubare soldi agli utenti di questo sistema operativo. L'applicazione è, a quanto pare, la prima del suo genere per Android: si spaccia per un programma per riprodurre contenuti audiovisivi, ma una volta installato inizia a inviare di nascosto SMS a pagamento che costano circa 5 dollari l'uno e i cui utili finiscono direttamente in tasca ai creatori di questo cavallo di Troia.

L'attacco è diffuso principalmente fra gli utenti russi e va detto che Android chiede se l'applicazione va autorizzata o no a inviare SMS: cosa che dovrebbe mettere sul chi vive un utente prudente. Perché un programma che riproduce audio e video dovrebbe mandare SMS? Se l'utente ignora gli avvisi di sicurezza, c'è ben poco che un sistema operativo possa fare per difendersi. È importante precisare, inoltre, che il cavallo di Troia non si trova al momento nell'Android Marketplace, il sito-negozio di applicazioni per Android, ma lo si scarica da vari siti Internet.

Simeon Coney della Adaptive Mobile ha detto alla BBC che la tecnica di spillare soldi agli utenti tramite gli SMS a pagamento maggiorato inviati da applicazioni truccate è già molto comune per altre piattaforme, come per esempio Symbian.

Come per qualsiasi altro acquisto, insomma, è opportuno anche per gli smartphone evitare di installare programmi di dubbia provenienza, soprattutto se non provengono dai siti ufficiali dei produttori del sistema operativo. E leggere sempre attentamente le avvertenze sullo schermo, perché ci sono.

Fonti: Engadget, The Inquirer, ZDNet, Ars Technica, CNet.