Vai al contenuto
Apple, aggiornamenti di sicurezza essenziali (uno anche per Android)

Apple, aggiornamenti di sicurezza essenziali (uno anche per Android)

Apple ha rilasciato iOS 10.3.3, che contiene correzioni fondamentali per quanto riguarda la sicurezza di base. Come descritto nelle note tecniche, è disponibile per iPhone 5 e successivi, per iPad di quarta generazione e successivi, e per gli iPod touch di sesta generazione.

L’aggiornamento corregge falle che consentono a un aggressore di prendere il controllo del dispositivo in vari modi, il più spettacolare e interessante dei quali è un attacco che prende di mira i componenti Wi-Fi dell’iCoso: “un aggressore a portata può riuscire a eseguire codice arbitrario sul chip Wi-Fi”, dice laconicamente Apple.

Questa falla, etichettata CVE-2017-941 e nota informalmente come Broadpwn, tocca anche tutti i dispositivi Android dotati dei chipset Wi-Fi BCM43xx di Broadcom, come descritto dal NIST qui e da Blackhat.com qui, e consente di prenderne il controllo senza alcuna interazione dell’utente, semplicemente emettendo un segnale Wi-Fi appositamente confezionato. Brutto affare, insomma: e mentre gli utenti Apple che hanno dispositivi recenti sono aggiornati e protetti in massa, molti utenti Android possono solo pregare che il loro produttore offra prima o poi un aggiornamento software (il mio Nexus 5X, aggiornato direttamente da Google, è già a posto).

Anche macOS viene aggiornato, portandolo alla versione 10.12.6. Ci sono aggiornamenti anche per tvOS (10.2.2) e watchOS (3.2.3). Come sempre, è opportuno installare tutti questi nuovi software appena possibile.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Apple ha usato gli utenti come cavie di nascosto

Apple ha usato gli utenti come cavie di nascosto

Apple è sempre molto laconica nelle informazioni che accompagnano i suoi aggiornamenti di sicurezza, e agli utenti di solito va bene così: basta che funzioni. Ma qualche giorno fa The Register ha segnalato una perla emersa in una conversazione pubblica con Craig Federighi, Senior Vice President del Software Engineering di Apple: l’azienda ha usato i propri utenti iOS come cavie senza avvisarli e senza dare possibilità di scelta.

Federighi ha rivelato che gli aggiornamenti ad iOS 10.1 e 10.2 erano pesanti (fino a 1,6 GB per l’iPhone 7 Plus) e lenti e richiedevano ripetuti riavvii perché obbligavano ogni dispositivo a passare sperimentalmente al nuovo filesystem di Apple (APFS), ne controllavano la coerenza e poi riportavano tutto al filesystem allora corrente (HFS+). In pratica l’esperimento veniva fatto sui dati degli utenti.

Forse è per questo, teorizza The Register, che ci furono tanti problemi con questi aggiornamenti, come per esempio lo spegnimento inatteso mentre c’era ancora il 30% di carica della batteria durante l’aggiornamento alla 10.2.

Il nuovo filesystem è stato introdotto con la 10.3 a fine marzo e ha liberato un po’ di spazio di memoria. Ma la cosa curiosa è che l’ammissione di aver usato i dispositivi dei clienti e i loro dati per un test segreto è stata accolta dal pubblico di fan Apple con un applauso (a 28 minuti dall’inizio in questo video).

Fonte aggiuntiva (con trascrizione del video): Daring Fireball.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Aggiornate iOS (di nuovo): è attaccabile tramite Wi-Fi

Aggiornate iOS (di nuovo): è attaccabile tramite Wi-Fi

Sì, lo so: è uscito un aggiornamento importante di iOS soltanto la settimana scorsa. Non è un po’ presto per averne un altro? Stavolta no. Apple ha reso disponibile iOS 10.3.1, che risolve una sola falla di sicurezza. Come mai tanta fretta per una singola vulnerabilità? Perché questa è una di quelle toste.

Le informazioni pubblicate da Apple sono molto concise ma chiare: “un utente malintenzionato nelle vicinanze può causare l’esecuzione di codice arbitrario nel chip Wi-Fi”. Come spiega Naked Security, questa falla (CVE-2017-6975, scoperta da Gal Beniamini del Project Zero di Google) riguarda un componente diverso da quelli solitamente attaccati dai criminali informatici. Invece di toccare il processore, il sistema operativo oppure le app installate, questa vulnerabilità coinvolge i componenti elettronici della sezione Wi-Fi.

Il risultato è che attraverso un semplice segnale radio, di quelli usati dai punti d’accesso Wi-Fi, è possibile prendere il controllo dell’iPhone, dell’iPad o dell’iPod touch e fargli eseguire comandi a piacimento dell’aggressore. L’attacco non richiede che l’utente visiti un sito specifico: colpisce per il semplice fatto di avere il Wi-Fi attivo sul dispositivo.

È un difetto decisamente pesante, insomma. Per fortuna è già disponibile l’aggiornamento, che si dovrebbe installare automaticamente entro qualche giorno. Se preferite non aspettare e volete essere protetti subito, andate in Impostazioni – Generali – Aggiornamento software con il vostro dispositivo e scaricate manualmente l’aggiornamento.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Aggiornamento iOS (10.2.1) e macOS (10.12.3)

Aggiornamento iOS (10.2.1) e macOS (10.12.3)


Ultimo aggiornamento: 2017/01/27 23:35.

Se non l’avete già fatto, aggiornate i vostri dispositivi iOS alla versione 10.2.1, rilasciata il 23 gennaio: risolve varie falle di sicurezza e magagne nelle applicazioni, e in particolare elimina un difetto che consentiva di aggirare il blocco delle attivazioni (Activation Lock), che impedisce a un ladro di utilizzare un iPhone o iPad rubato ripristinandolo: senza l’Apple ID originale e la password corrispondente, il ripristino non funziona. Questo è un ottimo deterrente antifurto e si attiva automaticamente quando attivate Trova il mio iPhone in Impostazioni – iCloud – Trova il mio iPhone e Invia ultima posizione.

L’aggiornamento è disponibile per gli iPhone dalla versione 5, per l’iPad dalla quarta generazione, per l’iPad Mini 2 e versioni successive e per gli iPod touch dalla sesta generazione. La procedura è la solita: Impostazioni – Generali – Aggiornamento software.

È tempo di aggiornamenti anche per i computer Apple, per i quali è stata rilasciata la versione 10.12.3: risolve alcuni problemi di grafica sui MacBook Pro e qualche falla di sicurezza. Anche qui la procedura è quella consueta: menu Mela – App Store – Aggiornamento software.

Come sempre, e come ricordato dai commenti alla versione iniziale di questo articolo, è buona norma fare prima una copia (backup) dei dati custoditi dai dispositivi e poi aggiornarne il software.

Fonte aggiuntiva: Ars Technica.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Attenzione a Meitu, app un po’ troppo spiona

Attenzione a Meitu, app un po’ troppo spiona

Si dice spesso in informatica che se un servizio ti viene offerto gratis e lo usi, non sei il cliente: sei il prodotto in vendita. Un esempio perfetto di questa regola è Meitu, una popolare app per iOS e Android che permette di ritoccare in stile anime i selfie.

Meglio starne alla larga: gli esperti di sicurezza l’hanno esaminata e hanno scoperto che quest’app, che in teoria avrebbe bisogno solo di accedere alla fotocamera e alle foto, in realtà raccoglie la localizzazione GPS, il nome dell’operatore telefonico, la connessione Wi-Fi, l’identificativo della carta SIM, lo stato “craccato” o meno del dispositivo e altri dati personali che consentono di tracciare l’utente durante la navigazione in Rete. Questi dati vengono poi inviati ai server del creatore cinese dell’app.

Secondo il ricercatore Jonathan Zdziarski, Meitu è “un’accozzaglia raffazzonata di vari pacchetti di analisi e di marketing e tracciamento pubblicitario, con qualcosa di carino che induca le persone a usarla”. Molte app gratuite guadagnano raccogliendo informazioni personali che poi rivendono a società di marketing: è ormai una norma, perché pur di avere qualche like e retweet molti utenti sono disposti a chiudere un occhio, o entrambi, sulle questioni di sicurezza.

Questa purtroppo è una tendenza alla quale ci stiamo abituando nonostante gli ammonimenti degli addetti ai lavori, come quelli di Wired, The Register e TechCrunch per Meitu. Il risultato è, per esempio, che gli anni passano, l’app ficcanaso viene dimenticata ma rimane
installata e raccoglie silenziosamente dati anche quando si entra nel
mondo del lavoro e quindi sul telefonino risiedono informazioni sensibili come gli spostamenti di lavoro che permettono di tracciare le attività e i rapporti di un’azienda.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Come difendersi dal video che paralizza gli iPhone

Come difendersi dal video che paralizza gli iPhone

Preoccupati per l’allarme che riguarda il video che manda in crash gli iPhone? Niente panico. Non si tratta di una bufala, ma il video non causa danni permanenti e non infetta lo smartphone.

Il video in sé non mostra nulla di particolare: si tratta di circa cinque secondi di una persona che sta in piedi accanto a un letto mentre sullo schermo compare la parola Honey.

Se questo video viene riprodotto anche solo parzialmente su un iPhone con qualunque versione di iOS dalla 5 in poi, compresa la più recente, lo smartphone rallenta progressivamente e dopo un paio di minuti smette di funzionare del tutto, andando in crash.

Il video è stato scoperto da EverythingApplePro (che lo dimostra, ironicamente, proprio in un video) e per ora non è chiaro come faccia ad avere questo effetto. Probabilmente il problema verrà corretto presto con un aggiornamento di iOS. Nel frattempo, evitate di seguire link a video di origine poco attendibile.

Se siete stati affetti da questo video, per ripristinare l’iPhone basta effettuare il riavvio forzato: per iPhone 7, premete contemporaneamente e per dieci secondi il tasto di accensione e quello per abbassare il volume; per le versioni precedenti premete contemporaneamente, sempre per una decina di secondi, il tasto di accensione e il tasto Home. Problema risolto.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
No, non siete morti: il vostro iCoso non mostra i dati di salute. Aggiornatelo ad iOS 10.1.1

No, non siete morti: il vostro iCoso non mostra i dati di salute. Aggiornatelo ad iOS 10.1.1

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alla donazione di domen*.elis. Se vi piace, potete farne una anche voi (o fare un microabbonamento) per incoraggiarmi a scrivere ancora.

Ennesimo aggiornamento per iOS: stavolta c’è da passare alla versione 10.1.1, che contiene “diverse correzioni di errori e risolve un problema per cui alcuni utenti non erano in grado di visualizzare i dati di Salute”.

I dati (passi effettuati, ore di sonno e pulsazioni, per esempio) c’erano ma per alcuni utenti non erano visibili dopo l’installazione della versione 10.1 di iOS, che risolveva varie falle di sicurezza importanti.

I dettagli sono in questo articolo di Apple (la cui versione italiana, al momento in cui scrivo, non è ancora stata aggiornata).

La procedura è quella solita:

– tenete presente che per qualche minuto (una decina sui miei iCosi) non potrete usare il dispositivo (niente Internet, niente telefonate), quindi scegliete un momento opportuno.

– Assicuratevi che il dispositivo sia connesso a Internet.

– Andate in Impostazioni – Generali – Aggiornamento software, attendete che compaia l’aggiornamento e toccate Scarica e installa. Se avete attivato un PIN di protezione, vi verrà chiesto.

– Attendete qualche minuto; il dispositivo si riavvierà e potrete riprendere a usarlo, stavolta con i dati di salute correttamente visibili.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
iPhone e Mac attaccabili con un’immagine: aggiornateli ad iOS 10.1 e Mac OS 10.12.1

iPhone e Mac attaccabili con un’immagine: aggiornateli ad iOS 10.1 e Mac OS 10.12.1

Questo articolo vi arriva gratuitamente grazie alle donazioni dei lettori. Se vi piace, potete farne una per incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Se avete un iCoso, aggiornatelo appena possibile alla versione 10.1 di iOS: risolve, fra le altre magagne, una vulnerabilità che consentiva di prendere il controllo del dispositivo inviandogli semplicemente un’immagine JPEG appositamente confezionata (CVE-2016-4673). Le info tecniche di Apple, molto sommarie, sono qui.

Apple ha anche rilasciato la versione 10.12.1 di Mac OS X; se siete già passati a Sierra, questo aggiornamento risolve alcuni problemi della versione precedente con Mail, Office, Apple Watch, Safari e altro ancora. In particolare corregge la stessa vulnerabilità alle immagini JPEG presente anche in iOS. I dettagli sono descritti qui e qui.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Alternative a WhatsApp: Google Allo, troppo poco troppo tardi?

Alternative a WhatsApp: Google Allo, troppo poco troppo tardi?

Un ascoltatore del Disinformatico radiofonico mi ha chiesto un parere su Google Allo (per Android e iOS), la recente app di messaggistica che dovrebbe essere la risposta di Google allo strapotere di WhatsApp. In sintesi: troppo poco, troppo tardi, anche se le chicche interessanti non mancano.

Le somiglianze con WhatsApp sono davvero notevoli, al limite del plagio, per cui usare Allo per chi già usa l’app di Zuckerberg non è un problema. L’autenticazione si basa esclusivamente sul numero di telefonino, per cui non è obbligatorio associare Allo al vostro account Google.

Sono molto utili le risposte preconfezionate, che imparano dal vostro stile di scrittura, e i suggerimenti automatici in base al contesto: se per esempio state chattando di andare a mangiar fuori, Allo propone i nomi e gli orari dei ristoranti più vicini (senza dover uscire dall’app per cercarli e poi rientrare nell’app per copiaincollarli).

L’invio di messaggi di testo semplice da Allo a chi non ha Allo è molto allettante: se il destinatario ha un iPhone, i messaggi vengono convertiti in SMS tradizionali; se ha un Android, riceve una notifica che sembra un’anteprima di Allo. Ma in entrambi i casi i messaggi arrivano da numeri brevi, non dal vostro numero, e chi li riceve può sapere che li avete mandati voi soltanto perché Allo inizia il messaggio scrivendo il vostro nome.

Non c’è, però, la possibilità di usare Allo su più di un dispositivo o su computer o su tablet (se non ha una SIM), e soprattutto le conversazioni normali non sono cifrate end-to-end (da quando escono dal dispositivo a quando arrivano al destinatario) come quelle di WhatsApp ma sono leggibili da Google: devono esserlo per poter fornire i suggerimenti contestuali. Per fare una conversazione cifrata con Allo è necessario utilizzare la modalità Incognito, che però conserva comunque sul dispositivo un archivio della conversazione.

Questo, nota per esempio la Electronic Frontier Foundation, è un brutto modo di usare la cifratura, perché fa risaltare i messaggi sensibili (che sono cifrati) rispetto alle conversazioni normali (che sono in chiaro), mentre WhatsApp e altri applicazioni di messaggistica cifrano tutto, in modo che le conversazioni da proteggere si perdono nel mare di messaggi innocui perché sono tutte cifrate allo stesso modo.

Ma il limite principale di Allo è che arriva troppo tardi: è inutile usare un’app di messaggistica se non la usa nessun altro dei nostri amici, e ormai quasi tutti gli utenti sono su WhatsApp o Telegram, nel bene e nel male.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Alternative a WhatsApp: Signal, ora anche su computer

Alternative a WhatsApp: Signal, ora anche su computer

Signal (Signal.org) è considerata una delle app di messaggistica più attente alla sicurezza e alla riservatezza: da tempo è disponibile per Android e iOS, ma ora è possibile usarla anche su computer (Mac, Windows, Linux). Da pochi giorni la versione su computer funziona anche in abbinamento agli smartphone iOS (prima era limitata agli Android).

Installare Signal su computer è semplice: basta avere Google Chrome a andare a Signal.org/desktop per scaricare l’estensione Desktop di Signal per Chrome. Ovviamente bisogna tenere aperto Chrome.

Anche l’impostazione è banale: è sufficiente inquadrare un codice QR con la fotocamera del telefonino. I contatti vengono importati sul computer automaticamente.

In quanto a privacy e sicurezza, Signal usa lo stesso protocollo di crittografia end-to-end di WhatsApp ma a differenza di WhatsApp non condivide i dati degli utenti con Facebook, è open source (il codice delle sue app è liberamente ispezionabile), è consigliato da tutti i principali esperti di sicurezza informatica ed è gestito senza scopo di lucro da un gruppo di informatici che ha a cuore la protezione dei dati personali. Fra l’altro, Signal è gratuito e disponibile in italiano.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.