La spia che veniva dallo smartphone

The New Blog Times
Dario Bonacina
Di
Pubblicato il: 07/10/2010
Commenti 1 commento | Permalink

Lo smartphone, evoluzione del telefonino, è a tutti gli effetti un computer e va incontro agli stessi rischi. Molto spesso gli utenti sottovalutano questo aspetto e mettono i propri dati personali in mani altrui

Milano – Le differenze tra computer e smartphone, almeno per quanto riguarda alcune funzionalità, si assottigliano giorno per giorno: applicazioni, capacità di memorizzazione e connettività sono spesso paragonabili (tant’è che da tempo esistono, per i cellulari, veri e propri sistemi operativi). Ne consegue che, in tema di sicurezza, i due mondi condividono rischi e vulnerabilità.

Technology Review racconta che lo scorso luglio Citigroup ha scoperto che la sua applicazione di mobile banking per iPhone memorizzava alcune informazioni riservate, come i numeri di conto corrente e i PIN degli utenti. Questi dati finivano in un file nascosto, ma non crittografato, accessibile da altre applicazioni e – sincronizzando l’iPhone con il computer – venivano copiati anche sul suo desktop.

Da questo punto di vista, gli utenti con smartphone dotati di Android potrebbero avere meno problemi in quanto il sistema operativo sviluppato da Google richiede che, per le applicazioni compatibili, vengano definiti i vari permessi e le abilitazioni da concedere per il loro funzionamento, inclusa la possibilità di effettuare chiamate, accedere all’elenco dei contatti memorizzati dall’utente o determinare la sua localizzazione attraverso il modulo GPS.

Questo sistema, però, non è una corazza, ma solo un guscio trasparente: non previene il furto di dati o altre operazioni improprie, ma consente di identificare con maggiore facilità le applicazioni che le compiono. Come Jackeey o Tap Snake, due applicazioni rilevate la scorsa estate da alcuni ricercatori. Il loro aspetto apparentemente innocuo (la prima genera wallpaper, la seconda è un gioco) nasconde in realtà funzionalità che si attivano in modalità stealth e trasmettono, all’insaputa dell’utente, informazioni personali (dati della rubrica e localizzazione in tempo reale) a server connessi ad Internet.

Anche Salamander, un e-reader, è una di quelle applicazioni che hanno pieno accesso a Internet e possono leggere informazioni riservate. Verosimilmente le possono trasmettere a qualcuno su un server connesso alla Rete. Sarebbe lecito attendersi dallo sviluppatore una certa trasparenza in questo caso, dal momento che l’utente medio può serenamente escludere che un programma per leggere e-book svolga queste attività accessorie. Ancor più lecito sarebbe chiedere lo scopo di questa raccolta di informazioni. Nel dubbio, sapendo cosa accade in background, meglio non installare (o rimuovere) l’applicazione.

Simson Garfinkel, autore dell’articolo pubblicato da Technology Review, ha provato a contattare chi distribuisce queste applicazioni così indiscrete, in vari casi senza ottenere alcuna risposta. L’unico riscontro è arrivato da DataViz, che ha realizzato Documents to Go, un’applicazione per Android che permette di leggere file MS Office e che – oltre a poter leggere e scrivere sulla scheda di memoria dello smartphone – accede ad Internet, legge dati personali e si attiva all’avvio dell’apparecchio. Questa la risposta fornita dall’azienda: per registrare l’applicazione (operazione che viene effettuata online, e quindi richiede la connessione alla rete) è stato previsto il legame con l’IMEI dello smartphone.

Per mettere l’utente in condizioni di essere consapevole di ciò che fa il suo smartphone (con le sue applicazioni) esiste però una soluzione, presentata ieri allo Usenix Symposium on Operating Systems Design and Implementation: si chiama TaintDroid e il suo compito è monitorare operazioni e flussi che si muovono da uno smartphone Android-based.

Il programma – realizzato da alcuni ricercatori della Duke University e della Penn State University in collaborazione con Intel Labs – consente di tenere sotto controllo i softwarei e le informazioni che trasmettono fin dal momento della loro installazione e, utilizzato nell’ambito di una ricerca svolta dai suoi sviluppatori su un campione di popolari applicazioni, ha fatto emergere come non siano affatto rare quelle che acquisiscano e trasmettano numeri di telefono, ID dell’apparecchio, posizionamento dell’utente.

Google si giustifica e scarica sul libero arbitrio degli utenti la responsabilità del leaking indesiderato di notizie causato da software scelti da loro stessi. Il dato di fatto è che la scelta degli utenti spesso è viziata da un’informazione lacunosa sulle reali operazioni compiute da un’applicazione. E non si può fare a meno di constatare quanto ciò vada ad aggiungersi alle notizie che riguardano ingerenze non involontarie nella privacy degli utenti nell’ambito di applicazioni o piattaforme targate Mountain View: dai dati raccolti dalle Google-car di Street View, alle perplessità su Buzz, alla contestualizzazione delle pubblicità proposte intorno ai messaggi su Gmail, le accuse indiziarie sulla reiterata indiscrezione del gruppo di Mountain View si stanno accumulando, sedimentandosi nell’opinione pubblica e facendo ombra sulla luce che l’azienda punta da sempre sul motto We’re not evil.

Dario Bonacina


Dario Bonacina (360 articoli)

Tecnico informatico e TLC per un gruppo industriale, freelance blogger/journalist, ha collaborato e collabora con varie testate e siti di informazione tecnologica tra cui ComputerWorld, Punto Informatico e Tekneco.


Commenti (locali)
  1. cellulare spia scrive:

    Questo è solo l’inizio. Con il tempo, affioreranno le falle nella sicurezza che saranno sfruttate anche per installare trojan in modo remoto.




Nota: La moderazione in uso potrebbe ritardare la pubblicazione del commento. Non è necessario reinviarlo.