Vai al contenuto
Hai un vecchio Android? Criminali te lo bloccano e chiedono un riscatto da pagare con carte iTunes

Hai un vecchio Android? Criminali te lo bloccano e chiedono un riscatto da pagare con carte iTunes

Uno dei problemi principali della sicurezza dei dispositivi Android è la mancanza di aggiornamenti del sistema operativo: molti utenti non solo non aggiornano il proprio telefonino o tablet, ma non lo possono proprio aggiornare perché l’operatore o il produttore non prepara e non distribuisce gli aggiornamenti. Questo può avere conseguenze molto più gravi di quello che molti utenti immaginano.

Per esempio, Blue Coat Labs segnala che i telefonini Android non recenti (che usano versioni di Android fino almeno alla 4.4) possono essere attaccati con un ransomware che li blocca, mostrando pubblicità persistenti che impongono alla vittima di comperare 200 dollari di carte prepagate iTunes. L’attacco è particolarmente aggressivo perché avviene senza l’interazione dell’utente e non viene visualizzata la normale finestra di dialogo che descrive le richieste di permessi delle applicazioni.

Un utente colpito può copiare i propri file dal telefonino infetto e poi entrare in recovery mode per reinstallare una versione di Android non infetta, ma si tratta di un compito al di sopra delle capacità dell’utente medio, per cui molti rischiano di trovarsi costretti a pagare i criminali per riavere il controllo del proprio telefonino e soprattutto i propri dati.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Recensione: Nexus 5X, l’Android secondo Google

Recensione: Nexus 5X, l’Android secondo Google

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle gentili donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2015/12/16 3:40.

Nota: ho acquistato il telefonino di tasca mia e non ricevo compensi da Google o altri sponsor commerciali per questa recensione.

Di recente ho scritto del problema della scarsa sicurezza di Android derivante dal fatto che per moltissimi telefonini i produttori non rilasciano aggiornamenti del sistema operativo e ho segnalato che una soluzione a questo problema è procurarsi un Nexus, il telefonino Android gestito e aggiornato direttamente da Google. Così ne ho comprato uno, un Nexus 5x, che è appena uscito, e lo sto mettendo alla prova. Queste sono le mie prime impressioni d’uso: i dettagli tecnici delle prestazioni e delle specifiche li lascio agli esperti.

Il telefonino, che ho ordinato online direttamente da Google a 499 franchi (circa 460 euro) e mi è arrivato a casa con il corriere due giorni fa, è leggero e sottile, ma un po’ grande per i miei gusti (e meno male che ho scelto il modello “piccolo” della famiglia Nexus); difficilmente sta nella tasca dei pantaloni senza rovinarli o rovinarsi. Mi sa che mi procurerò una “cornetta” Bluetooth e terrò il telefono prevalentemente nella borsa insieme al laptop.

Il connettore USB Type-C ha il pregio di essere reversibile (a differenza dei precedenti, non ha importanza come lo orientate) ma ha anche il difetto di richiedere un adattatore apposito per collegarsi alle porte USB normali (il cavo dell’alimentatore fornito nella confezione del Nexus 5x ha un connettore USB Type-C a entrambi i capi). Devo quindi portare con me almeno due alimentatori e cavetti: uno per tutti i dispositivi micro-USB e uno solo per il Nexus.

Nella confezione non è prevista la cuffia: non che sia un problema, visto che ne ho una collezione intera proveniente dagli altri telefonini e comunque so che molti utenti preferiscono procurarsene una separatamente.

Manca la possibilità di inserire una scheda micro-SD per espandere la memoria o per trasferire rapidamente grandi quantità di dati (foto o filmati), che è una delle caratteristiche che mi ha sempre fatto preferire i dispositivi Android rispetto agli iCosi: il Nexus 5x è disponibile in versioni da 16 e 32 giga, ma bisogna scegliere quella che si vuole al momento dell’acquisto.

Anche la batteria non è rimovibile: lo so, è una tendenza diffusa che snellisce i telefonini, ma rimpiango i tempi in cui potevo cambiare batteria al volo invece di dovermi portare un’ingombrante e inefficiente batteria esterna (che oltretutto nega quasi tutti i vantaggi di leggerezza e compattezza dell’integrazione della batteria).

La configurazione del telefono è molto semplice: dando i dati del mio account Google eredita app, posta e altre impostazioni. Il sensore d’impronta, situato sul retro del telefonino, funziona bene e mi permette di avere un PIN di sblocco d’emergenza bello lungo e poco sbirciabile.

Android 6.0 (Marshmallow) cambia molti dettagli dell’interfaccia e può risultare un po’ disorientante per chi arriva da versioni meno recenti (io ho usato finora un Samsung S3), ma ci si abitua in fretta, anche se bisogna Googlare per scoprire, per esempio, che l’accesso veloce alle impostazioni non è più una scrollata dal bordo superiore dello schermo ma è una doppia scrollata (oppure usando due dita, come mi è stato segnalato nei commenti).

Interessante la funzione che tiene attivi acceleromtro e giroscopio usando un coprocessore separato: quando prendo in mano il telefono, si illumina il suo display e mi mostra l’ora. Comodissimo per chi usa il cellulare come sveglia.

Il pregio principale di uno smartphone come questo è che non contiene fuffa. Non ci sono tutte le stupide e inutili app promozionali o “personalizzazioni” ficcate dai produttori o dai rivenditori, spesso impossibili da disinstallare e ficcanaso. C’è un Android liscio, pulito, veloce e senza orpelli, con aggiornamenti di sicurezza forniti prontamente e direttamente da Google (tant’è vero che mi sono arrivati subito gli aggiornamenti di novembre). Potrei prendere un telefonino di marca, rootarlo e installare una CyanogenMod, oppure prendere un Wileyfox con CyanogenMod preinstallata, ma ho poco tempo e il Wileyfox non ha il sensore d’impronta, che trovo discutibile per situazioni di elevata sicurezza ma è dannatamente pratico in condizioni normali.

Oggi è il battesimo del fuoco del mio Nexus 5x: sono in viaggio per Losanna per andare a sentire Buzz Aldrin e Alexei Leonov e questo articolo vi arriva grazie al tethering Bluetooth col quale ho collegato il mio laptop alla rete cellulare. Vi racconterò nei prossimi giorni com’è andata.

2015/12/16

Dopo un mese di utilizzo tutto sommato mi trovo bene; l’app della fotocamera si è piantata un po’ troppo spesso proprio quando volevo fare foto, ma i recenti aggiornamenti delle app sembrano aver risolto il problema.

Soprattutto funzionano gli aggiornamenti di sicurezza: poco fa è arrivata sul Nexus la notifica della disponibilità di Marshmallow versione 6.0.1. Questo aggiornamento è stato rilasciato da Google una settimana fa. Non male come tempi di distribuzione degli aggiornamenti.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Android troppo insicuro? Colpa dei mancati aggiornamenti

Android troppo insicuro? Colpa dei mancati aggiornamenti

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2015/11/07 15:15.

È più sicuro Android o iOS? Capita spesso di sentire domande apparentemente semplici come questa, ma la risposta non è altrettanto semplice. In parte la sicurezza dipende dalle abitudini degli utenti, ma va detto che nel caso di Android c’è una grossa responsabilità dei produttori di telefonini, che non mettono a disposizione degli utenti gli aggiornamenti di sicurezza o lo fanno con ritardi enormi, rendendo vulnerabili anche gli utenti Android più diligenti e dotati di dispositivi recenti. La mancanza di aggiornamenti colpisce in particolare i dispositivi Android di fascia economica. Apple, invece, aggiorna sistematicamente tutti gli iPhone e gli altri dispositivi iOS ragionevolmente recenti.

Secondo una ricerca pubblicata da Skycure.com, un dispositivo Android su tre ha una versione di Android obsoleta e non aggiornabile, mentre nel mondo iOS i dispositivi non aggiornati sono circa uno su quattro (il 26%). Questa situazione porta gli utenti Android ad essere più facilmente infettabili: secondo i dati di Skycure, circa il 3% dei dispositivi Android è infetto con app ostili di pericolosità media o alta.

Inoltre più di un dispositivo Android su quattro (27%) ha attiva l’opzione di installare app di provenienza diversa da Google Play e oltre il 15% ha abilitato il debugging USB, che facilita il trasferimento delle app di malware dal dispositivo al computer collegato. Queste sono opzioni che l’utente deve scegliere di attivare (sono normalmente spente), per cui la riduzione di sicurezza che ne deriva è colpa dell’utente. Fra l’altro, la maggior parte degli utenti di telefonini (il 52%) non mette una password sull’accesso al dispositivo.

Per chi vuole usare Android e vuole la certezza di avere sempre aggiornamenti di sicurezza prontamente disponibili le opzioni sono poche: la più rapida è quella di acquistare un Nexus, il telefonino Android venduto e aggiornato direttamente da Google.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
“Mah, io prendo le app da Aptoide e non mi è mai successo niente”. Fino al momento in cui succede

“Mah, io prendo le app da Aptoide e non mi è mai successo niente”. Fino al momento in cui succede

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Vado spessissimo nelle scuole a mostrare le trappole dei dispositivi digitali, troppo insicuri e pettegoli specialmente quando vengono usati in modo incauto, e una delle situazioni più frequenti che incontro è l’uso di Aptoide per installare app a scrocco sui dispositivi Android. Quando dico che non è prudente perché gli store alternativi a quello ufficiale contengono molte app infette (se sono fuori da Google Play ci sarà pure un motivo) arriva puntuale l’obiezione di uno che dice che lo fa da una vita ma non gli è mai successo niente.

Certo, gli rispondo. Non succede niente fino al momento in cui succede. Un po’ come andare in moto senza casco: non ti fai niente fino al momento in cui cadi e batti la testa.

Stamattina mi è arrivata una dimostrazione perfetta di questa disinvoltura di tanti “nativi digitali”: la mail di panico di un giovane utente che ha installato Aptoide per il solito motivo (“volevo avere un videogioco gratis”). Ora si trova con “app rallentate, surriscaldamento eccessivo della batteria e ieri e oggi schermate di pubblicità di giochi e siti non adatti alla mia età (pornografici,..)”.

Queste sono le schermate che mi ha mandato: falsi avvisi antivirus, che probabilmente inducono a installare ulteriore malware, e un classico sito erotico.

Questi sono i consigli che gli ho dato: ditemi se ho dimenticato qualcosa.

– Segnati su carta (non nelle note) tutte le password che usi sul telefonino
– Fai una copia dei dati (musica/foto/documenti) che hai sul telefonino
– Azzera il telefonino facendo il ripristino di fabbrica (trovi le istruzioni con Google)
– Ricarica tutti gli account e le app (ma non Aptoide, ovviamente)
– Ricarica tutti i dati
– Installa un antivirus per Android (per esempio quello di Sophos, gratuito)
– Cambia tutte le password dei servizi che usi e segnatele (sempre su carta)
– Se hai associato una carta di credito al telefonino infetto o a uno degli account che usi su quel telefonino, tieni d’occhio l’estratto conto o blocca la carta
– D’ora in poi scarica solo app da Google Play; se sono a pagamento, pagale usando una tessera prepagata Google Play
– Non installare mai più Aptoide o altra roba del genere 🙂

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Samsung accusata di troppa pigrizia nell’aggiornare Android; 82% degli utenti ha versioni obsolete

Samsung accusata di troppa pigrizia nell’aggiornare Android; 82% degli utenti ha versioni obsolete

Avete un telefonino Samsung? Allora guardate che versione di software Android usa (è indicato nelle Impostazioni, sotto Info sul telefono): è importante, perché le versioni vecchie sono tutte vulnerabili ad attacchi informatici per rubare soldi o dati personali semplicemente visitando un sito Web appositamente confezionato.

Il problema è che secondo un sondaggio dell’associazione olandese dei consumatori ben l’82% dei telefonini Samsung esaminati e messi in vendita negli ultimi due anni non ha installato gli aggiornamenti alla versione più recente di Android (attualmente la 6.0.1). In altre parole, milioni di utenti sono facilmente attaccabili sfruttando falle di sicurezza ben note.

Ma il vero problema è che questa percentuale altissima di utenti non solo non è aggiornata, ma non ha alcun modo di aggiornarsi, se non comprando un telefonino nuovo, perché Samsung spesso non fornisce agli utenti gli aggiornamenti di Android preparati da Google (che è responsabile di questo software), specialmente per i telefonini di fascia bassa o non recenti. Non lo fanno neanche molte altre case produttrici di telefonini, ma Samsung è quella di gran lunga dominante ed è per questo che l’associazione olandese l’ha portata in tribunale con l’accusa di pratiche commerciali sleali.

Samsung inoltre è rimproverata di non dire agli utenti per quanto tempo fornirà aggiornamenti software ai vari modelli e di non informare chiaramente gli utenti quando ci sono problemi critici di sicurezza (come per esempio il recente Stagefright). Il risultato è che gli utenti rimangono vulnerabili e se comprano un telefonino nuovo non sanno se e per quanto tempo verrà tenuto aggiornato.

L’unico rimedio molto parziale che ha il consumatore che sceglie Android è acquistare periodicamente un telefonino nuovo e di fascia alta, con i costi che ne conseguono, e leggere attentamente, prima dell’acquisto, le indicazioni sulla confezione, che riportano il numero di versione di Android preinstallato. Se non è troppo lontano da quello dell’Android più recente, è probabile che il fabbricante offrirà gli aggiornamenti di sicurezza per un tempo ragionevole.

L’alternativa è acquistare telefonini Android che vengono aggiornati direttamente da Google, come per esempio i suoi Nexus, oppure lasciar perdere il mondo Android e rifugiarsi da Apple o Microsoft, che hanno una politica di aggiornamento più coerente e durevole. Apple, per esempio, dichiara che i dispositivi iOS che usano versioni non aggiornate di iOS 9 sono soltanto il 25%, mentre i telefonini Microsoft non aggiornati sono il 21%.

L’azienda coreana ha risposto ufficialmente dicendo che sta migliorando i propri aggiornamenti e le informazioni di sicurezza ai clienti, ma al momento quell’82% di telefonini Android obsoleti e intenzionalmente non aggiornabili è un dato che fa riflettere.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Aggiornamenti di sicurezza per Android: troppo lenti anche con i Nexus di Google

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Ci sono dodici falle di sicurezza da turare in Android: cinque consentono l’esecuzione di codice da remoto o l’accesso di root. Una di queste falle, la CVE-2015-6636, consente di iniettare malware nel dispositivo tramite un file, che può essere incluso in una pagina Web, una mail o un MMS, e va corretto con un aggiornamento già disponibile.

L’annuncio di queste falle e dell’aggiornamento disponibile è nel bollettino di sicurezza di gennaio su Android.com, che risale al 4 gennaio (dieci giorni fa). Ma sul mio telefonino Android Nexus 5X, che monta Android 6.0.1 e in teoria dovrebbe ricevere gli aggiornamenti direttamente da Google (è per questo che l’ho scelto), questo aggiornamento è arrivato soltanto stamattina.

È normale: stando alle info di supporto di Google, “possono volerci fino a due settimane” prima che un aggiornamento raggiunga uno specifico dispositivo. Una finestra di vulnerabilità decisamente ampia. E questo è il livello di servizio che ha chi riceve gli aggiornamenti diretti da Google; non oso immaginare quanto a lungo rimane scoperto chi deve dipendere dall’intermediazione del proprio operatore/venditore per gli aggiornamenti. Un aspetto da non trascurare quando si tratta di investire in uno smartphone.

Avrei potuto forzare l’aggiornamento usando una delle varie procedure
pubblicate online, ma mi sembra assurdo dover spendere così tanto tempo
e risorse mentali per un semplice aggiornamento di uno smartphone. Da questo punto di vista, il mio esperimento con il Nexus di Google è una delusione.

Per chi volesse controllare lo stato di aggiornamento del proprio Android, nella versione 6.0 e successive si va in Impostazioni – Info sul telefono – Aggiornamenti di sistema e in Verifica la presenza di aggiornamenti e in Impostazioni – Info sul telefono – Livello patch di sicurezza.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Come prendere il controllo di uno smartphone via radio

Come prendere il controllo di uno smartphone via radio

La creatività degli esperti di sicurezza informatica non manca mai di sorprendere. Quelli dell’ANSSI, l’agenzia governativa francese per la sicurezza dei sistemi informatici, hanno trovato la maniera di prendere il controllo di uno smartphone senza toccarlo, usando le onde radio.

Il loro trucco, per ora puramente dimostrativo e presentato in dettaglio in un video, approfitta del fatto che molti utenti tengono sempre attivo l’assistente vocale (per esempio Siri nel caso dei dispositivi Apple, Google Now e simili su Android) e usano le cuffie con filo.

L’aggressore usa uno speciale trasmettitore per inviare un segnale radio, che viene captato dal filo delle cuffie (che agisce come un’antenna); questo segnale arriva così al microfono dello smartphone e viene interpretato come se fosse un comando vocale e viene eseguito dall’assistente vocale. Nella dimostrazione, gli specialisti hanno mostrato per esempio come trasformare lo smartphone del bersaglio in una microspia mandandogli via radio il comando vocale di fare una telefonata al loro telefono.

In realtà questo tipo di attacco è poco pratico, perché il trasmettitore deve stare a meno di due metri dalla vittima e non ci devono essere altri disturbi radio, ma è una dimostrazione notevole di pensiero creativo applicato all’informatica e soprattutto sottolinea che tenere Siri e soci attivi anche nella schermata di blocco del telefonino è senz’altro comodo ma mina alla base la sicurezza del dispositivo. Per esempio, in iOS 9 c’era un difetto che consentiva di accedere ai messaggi, alle foto e ai contatti di un telefonino bloccato: bastava usare Siri. Il difetto è stato corretto nella versione 9.0.2.

Fonti aggiuntive: Naked Security, The Inquirer.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Configurare una tastiera esterna svizzera per Android 4.4.2

Configurare una tastiera esterna svizzera per Android 4.4.2

Oggi ho acquistato una sottilissima mini tastiera Bluetooth della Logitech (una Keys-to-Go) per il mio tablet Android (un vecchio Galaxy Tab 3 8″ 4G, SM-T315, con Android 4.4.2) e ho tribolato un po’ per configurarla, per cui pubblico qui i miei appunti caso mai qualcun altro avesse lo stesso problema.

La tastiera in sé va benissimo: l’ho accesa (è fornita con la batteria già carica), ho fatto il pairing e il tablet l’ha vista subito. Il problema è che uso un layout un po’ particolare: quello svizzero francese, che non è previsto fra quelli standard di Android 4.4.2. Ci sarebbe nella 4.4.3, che però non è supportato da questo tablet.

Piccola digressione sui layout elvetici: ce ne sono ben due, quello svizzero tedesco e quello svizzero francese (non c’è un layout svizzero italiano o romancio). Negli ambienti svizzeri nei quali mi trovo a lavorare con le tastiere locali (principalmente radio e scuole del Canton Ticino) si usa il layout svizzero francese, per cui mi sono abituato a usarlo dappertutto (anche sui computer del Maniero Digitale, come il Mac mostrato qui accanto) per non impazzire saltando continuamente da un layout all’altro. Le magagne principali per chi, come me, scrive principalmente in italiano e arriva da decenni di tastiera italiana sono che la Y e la Z sono scambiate rispetto al layout italiano standard e le accentate sono gestite in modo diverso (à, é ed è sono digitabili con un solo tasto; ù e ò richiedono di digitare prima un altro tasto e poi la vocale normale). Come intuite, riabituarsi non è facile. I primi tempi ho inviato innumerevoli mail e messaggi nei quali scrivevo immancabilmente Grayie mille. In compenso la migrazione di layout mi offre una buona scusa per giustificare i miei frequenti refusi, che per fortuna mi segnalate.

Dopo un po’ di esperimenti ho trovato la soluzione: ho installato External Keyboard Helper Pro (2 dollari, ma esiste anche la demo gratuita) e lo Swiss Language Pack (gratuito), ho impostato EKHP come tastiera predefinita e ho scelto French (Switzerland). Ta-da!

Esteticamente non sarà il massimo, ma un tablet con 4G integrato e una tastiera fisica decente mi permettono di scrivere anche testi lunghi e di rispondere alla mail e pubblicare post ovunque e di portare sempre con me un dispositivo ultraleggero, ultracompatto, economico, immediatamente pronto all’uso e sempre connesso alla Rete. Buona parte di questo post l’ho scritta proprio usando questo tablet e questa tastiera (le foto le ho fatte con un telefonino Android).

Summary in English: Should you ever need to configure a Swiss hardware keyboard on Android, bear in mind that the French (Swiss) and German (Swiss) keyboard layouts are not supported natively by Android 4.4.2 (the OS version I tested). Solution: install External Keyboard Helper Pro and the Swiss Language Pack, set EKHP as default keyboard and choose French (Switzerland). Done.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Android, come scoprire le app ficcanaso o prosciugabatteria

Android, come scoprire le app ficcanaso o prosciugabatteria

Avete notato che la batteria del vostro tablet o telefonino Android non dura più a lungo come prima? La colpa potrebbe essere di un’app che avete installato: per scoprire quale c’è uno strumento gratuito che si chiama App Permissions di F-Secure.

Questa app visualizza i permessi delle app (in altre parole, le cose che un’app può fare), indicando per nome quelle che possono costarvi denaro, per esempio perché inviano messaggi o fanno chiamate senza il vostro consenso, oppure quelle che riducono l’autonomia della batteria perché attivano servizi ad alto consumo come il GPS. App Permissions consente anche di scoprire quali app si fanno i fatti vostri, per esempio leggendo la rubrica.

Molte app gratuite, particolarmente i giochi, sono delle esche usate per catturare informazioni personali a scopo commerciale (dove va e dove si sposta l’utente, qual è il suo numero di telefonino o quali sono i suoi account, per esempio) o per attivare servizi (per esempio scattare foto e video o fare chiamate senza conferma dell’utente). Con App Permissions si fanno delle scoperte sorprendenti e inattese: per esempio, un’app che fa il cronometro per gli scacchi (Chess Clock for Android) chiede e ottiene il permesso di sapere dove si trova l’utente. Perché? E perché Barcode Scanner si legge la cronologia Internet dell’utente e i suoi siti preferiti?

App Permissions non consente di alterare i permessi concessi alle altre app: offre soltanto la possibilità di rimuovere le app che ci insospettiscono perché chiedono permessi non attinenti alla loro funzione. E se ve lo state chiedendo, App Permissions non chiede nessun permesso: per verificarlo (o per verificare i permessi di qualunque app Android) si va nelle Impostazioni di Android, si sceglie Altro e poi Gestione applicazioni, si sceglie l’app da ispezionare e si scorre verso il basso per vedere la sezione Autorizzazioni.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Un miliardo di telefonini Android infettabili con un messaggino? OK, PANICO. Ma non troppo

Un miliardo di telefonini Android infettabili con un messaggino? OK, PANICO. Ma non troppo

L’articolo è stato aggiornato dopo la pubblicazione iniziale. Ultimo aggiornamento: 2015/08/01.

Angoscia in Rete per la notizia che una grave falla di sicurezza riguarda un miliardo di telefonini Android: per infettarli e/o rubarne i dati è sufficiente che ricevano un MMS appositamente confezionato. La falla, scoperta dalla società di sicurezza informatica Zimperium, è stata battezzata Stagefright (dal nome della libreria software di Android coinvolta) e colpisce tutte le versioni di Android dalla 2.2 in avanti.

Niente panico: nella maggior parte dei casi è sufficiente disabilitare la ricezione automatica degli MMS in Google Hangouts e nelle altre applicazioni e imparare a non cliccare sui link agli MMS. Per Hangouts basta andare nelle Impostazioni e disabilitare Recupera automaticamente MMS, come mostrato qui accanto. Bisogna inoltre andare nell’app Messaggi, scegliere Impostazioni e disattivare Recupero automatico nella sezione dedicata agli MMS.

Google ha già corretto la falla, ma spetta ora ai produttori di telefonini distribuire l’aggiornamento correttivo predisposto da Google, e qui sta il problema: se il vostro telefonino non è recente, probabilmente non verrà mai aggiornato e resterà perennemente vulnerabile. Va detto che finora non ci sono segnalazioni dello sfruttamento della falla da parte di criminali informatici.

La lentissima o inesistente disseminazione degli aggiornamenti, priva della gestione diretta e centrale che hanno per esempio Microsoft o Apple, è da sempre uno degli aspetti più criticabili di Android, e Stagefright ne mette bene in luce i limiti. Gli unici telefonini Android che ricevono gli aggiornamenti direttamente da Google sono i Nexus di Google; tutte le altre marche decidono autonomamente se, come e quando creare e distribuire gli aggiornamenti.

Certo, se siete avventurosi potete provare a installare un Android alternativo, come CyanogenMod, per il quale c’è già la correzione della falla. Per la maggior parte degli utenti la soluzione più fattibile, ma anche quella più consumista, è invece acquistare uno smartphone Android più recente.

Fonti: Zimperium, EFF, Androidcentral, Twilio.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.