Skip navigation

Monthly Archives: settembre 2012

Info per il Galaxy Nexus (e presumo tanti altri). Il dispositivo, se monta rom stock o AOSP, non é affetto da questo exploit. Le rom cyanogenmod sono invece vulnerabili.
Comunque prima di tutto chiariamo di cosa stiamo parlando. Avete mai provato a digitare sulla tastiera del vostro telefono il codice *#06# per visualizzare l’imei del vostro telefono? Oppure codici tipo *123# piu tasto invio per conoscere il credito residuo? Bene. Allora sapete che cos’è un codice USSD. Ma c’è una differenza minima ma sostanziale tra i due codici USSD citati: il primo, a differenza del secondo, non ha bisogno della conferma da parte dell’utente e che viene operata nel secondo esempio premendo il tasto invio (chiamata).

Fin qui niente di strano se non fosse che Ravi Borganokar, un ricercatore della Technical University of Berlin, ha annunciato alla Security Conference di Buenos Aires che questi codici USSD possono essere iniettati in alcuni telefoni android, che non richiedono conferma da parte dell’utente, tramite sms, QR code o indirizzi internet. E tra questi codici ve ne sono alcuni che lanciano un wipe completo del dispositivo (formattazione) cancellando di fatto tutti i dati presenti sul telefono. In un primo momento si pensava che fosse limitato ad alcuni terminali Samsung con interfaccia TouchWiz per poi scoprire che molti terminali sono soggetti a questa falla. Ad esempio anche il mio LG Optimus One così come il mio Samsung Galaxy Nexus e il Samsung Galaxy SIII di un mio amico sono affetti da questo fastidioso bug.

Per quanto riguarda gli sms non credo fosse una novità perchè credo che questo sia alla base di alcune applicazioni pensate per cancellare i dati personali da un telefono rubato o smarrito (penso ad applicazioni tipo Lookout Security) ma per quanto riguarda i siti web e i codici QR, si aprono nuovi scenari che preoccupano non poco.

Immaginate che cliccate su un link o un QR code presente in una pagina web appositamente creata e che questo provochi un wipe completo del vostro telefono. Non mi sembra una cosa simpatica.

Per sapere se il vostro dispositivo è affetto da questo bug, visitate questa pagina di test (tranquilli! Non vi cancello lo smatphone). Se il vostro telefonino vi restituisce la stringa *#06#, il vostro telefono è al riparo da questo bug (è il caso del Sony Xperia Go), se invece sul vostro display viene visualizzato il codice IMEI del telefonino, allora il vostro terminale è affetto da questo bug e vi consiglio quindi di installare una delle 2 app presenti nel Play Store che fixano momentaneamente l’exploit. Si chiamano TelStop una e Auto-Reset Blocker  l’altra e chiedono conferma quando si imbattono in una richiesta di esecuzione di codice USSD ma è solo una piccola pezza in attesa di una patch ufficiale. A paqrere di molti utenti, la seconda si comporterebbe meglio. A voi provare.

Have fun. …Always! … e state cu ll’occhie apierte!

La tecnologia porta si dei vantaggi ma costringe a delle rinunce ed anche a dei rischi. Nel caso specifico dei nostri sfavillanti smartphone, il prezzo normalmente pagato è la quasi totale perdita di privacy ma nella peggiore delle ipotesi, potremmo essere a rischio di furto di identità e/o credenziali (carte, conti, account, ecc.), accesso indesiderato, se non fraudolento, a documenti privati, foto, files e archivi che invece vorremmo tenere nascosti da sguardi indiscreti, etc..

Un aiuto per l’utente Android in questo specifico settore arriva dal progetto non-profit “The Guardian Project“. Che cos’è e di cosa si tratta?

Si tratta di un progetto che sviluppa apps e tools per aiutare l’utilizzatore di devices android a proteggere il proprio anonimato e la propria privacy da eventuali intrusioni e/o tracciamenti.
Tra le varie feature troviamo:

  • Orbot – ovvero TOR per Android (per la navigazione anonima)
  • ObscuraCam – una app che si occupa di analizzare foto e video dandoci la possibilità di pixellarne i volti e renderli irriconoscibili oltre che eliminare tutte le info riguardanti la posizione gps, il tipo di dispositivo da cui sono state scattate le foto o i video, etc. (non sapevate che in una foto potessero esserci tutti questi dati? Male! mooolto male!)
  • DroidWall – un firewall per Android che serve a farti decidere quali applicazioni installate sullo smartphone possono accedere alla rete per inviare info etc.
  • InTheClear – suite di sicurezza che può inoltrare uno o più sms di emergenza, fare un wipe completo (cancellare) dei dati da voi scelti o fare entrambe le cose mediante il tasto “PANIC”. Una roba da “Bond …James Bond”!
  • Orweb – un browser alternativo che utilizza Orbot (TOR) per la navigazione anonima.
  • altre app e funzionalità che non sto qui ad elencare e che potrete scoprire da soli

Un’altra interessante applicazione inclusa nella suite, che può essere utilizzata anche stand-alone è “F-Droid” che è una “FOSS Repository”  per Android (una specie di play store per chi non mastica linux) tramite cui installare software rigorosamente open-source. Anche questo è un aspetto importantissimo dell’open-source per quanto concerne la sicurezza. Vale a dire che le applicazioni, avendo disponibile pubblicamente il codice sorgente di cui sono fatte,  possono essere “intimamente” analizzate da chiunque ne abbia le competenze e segnalate in caso abbiano codice tendente a violare la privacy e/o quant’altro.

A voi decidere se avvalervi o meno di questa suite. Per quel che mi riguarda, non intendo assolutamente dirvi se me ne servirò o meno. Sono solo fatti miei. … A proposito.  Mi chiamo Bond! …James Bond!

Hihihi …have fun. …Always!

A chi non è mai capitata una situazione tipo:

– Avete perso uno smartphone Android e non vi eravate segnati l’IMEI?

– Non avete a disposizione il vostro smartphone e avete bisogno dell’IMEI?

Siete talmente “pirla” da portare il vostro Galaxy Nexus in assistenza senza segnarvi l’IMEI e quando andate sul sito per la tracciatura della riparazione e ve lo richiede vi vorreste  prendere a martellate le balle?

– Avete utilizzato almeno una volta il “Google Play store” o il vecchio “Android market” con il dispositivo in questione?

– Sii?

Bene! Allora siete si dei pirla, …ma fortunati.

Se avete bisogno dell’IMEI di uno dei vostri dispositivi android, basta collegarsi alla dashboard di Google, scrollare la pagina fino a “dispositivi android”, selezionare il dispositivo che vi interessa e cliccare sul link “Altri dati memorizzati relativi al dispositivo” et …voilà …ecco comparire l’IMEI. Bello no?!

Un saluto a tutti da …un pirla fortunato e …ricordate:

have fun …always!

Mancano poco più di 7 ore allo streaming in diretta dallo spazio del progetto Youtube Space Lab.

Alle ore 16:50 [(CET) il nostro quindi] gli astronauti della NASA potranno essere guardati in diretta mentre eseguiranno gli esperimenti scientifici nella Stazione Spaziale Internazionale.

Per seguire lo streaming live, visitate questo indirizzo.

Have fun …Always!

Installata la nuova app WordPress per Android ed é molto migliorata rispetto a quella precedente. Nuove funzionalità e una sezione “statistiche” veramente ben fatta. Da provare.
Have fun …always!