Vai al contenuto
Telefonini Android preinfettati, ci casca anche Altroconsumo

Telefonini Android preinfettati, ci casca anche Altroconsumo

Comperare un telefonino Android a basso prezzo e di marca poco conosciuta può sembrare un affare, ma spesso si rivela un danno notevole: la società di sicurezza informatica Kryptowire segnala infatti che vari modelli di smartphone Android, venduti da grandi catene di distribuzione come BestBuy e Amazon, arrivano agli acquirenti in condizioni tutt’altro che ottimali.

Sono infatti preinfettati con un firmware che trasmette a server cinesi vari dati sensibili degli utenti (i log delle chiamate e il contenuto degli SMS) senza informare gli utenti stessi, in forma cifrata e senza consentire di disabilitare questa condivisione indesiderata.

L’azienda produttrice, BLU, ha pubblicato un avviso in cui incolpa una “applicazione di terze parti che stava raccogliendo dati personali non autorizzati sotto forma di messaggi di testo, cronologie delle chiamate, e contatti” e avvisa che l’’applicazione è stata “prontamente rimossa” e poi aggiornata ad una versione che non raccoglie più questi dati. L’avviso spiega anche come verificare se un esemplare dei suoi telefonini è colpito o meno da questo problema.

Casi come questo sono piuttosto frequenti nel mondo dei dispositivi Android a basso costo: Tuttoandroid.net segnala che lo smartphone distribuito dalla rivista di difesa dei consumatori Altroconsumo contiene malware che è molto difficile da rimuovere. La rivista ha già ricevuto varie segnalazioni di questo genere sugli smartphone che offre agli abbonati.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Android, malware in Google Play scaricato un milione di volte

Android, malware in Google Play scaricato un milione di volte

Ultimo aggiornamento: 2016/11/22 15:15. 

Se usate un telefonino basato sul sistema Android (cioè praticamente tutti gli smartphone di qualunque marca a parte quelli di Apple e Microsoft), una delle prime raccomandazioni di sicurezza è fidarsi soltanto delle app che si trovano nel negozio ufficiale di Android, Google Play, e non installare mai app trovate al di fuori di Google Play, come purtroppo invece fanno in molti, finendo per infettare il proprio smartphone.

Per maggiore prudenza, inoltre, si consiglia di solito di fidarsi soltanto delle app che in Google Play risultano molto popolari, perché se fossero pericolose o infette gli utenti e gli esperti di sicurezza informatica se ne sarebbero già accorti da tempo e le avrebbero fatte rimuovere.

Infatti anche in Google Play capita di trovare app ostili che causano danni, ma di solito si tratta di meteore: app di scarsa popolarità, la cui pericolosità sfugge ai controlli di Google, degli utenti e degli esperti proprio perché vengono scaricate da pochi.
 
Di recente, però, questo criterio di prudenza è stato sovvertito: sulla fonte ufficiale delle app Android è stata pubblicata infatti un’app infetta che è stata poi scaricata da più di un milione di utenti prima che qualcuno si accorgesse della sua pericolosità.

L’app si chiama Multiple Accounts, ed è stata segnalata dalla società di sicurezza Doctor Web: consente di creare account multipli per giochi, mail, messaggi e altro software, e per questo è diventata molto popolare, ma in realtà include una trappola ingegnosa: un’immagine che contiene istruzioni cifrate che scaricano e installano applicazioni aggiuntive indesiderate sullo smartphone della vittima e visualizzano pubblicità indesiderata. In alcune versioni, l’app tenta addirittura di prendere il controllo del dispositivo, diventando quasi impossibile da rimuovere perché ha ottenuto i privilegi di root.

La regola di fidarsi solo delle app che sono in Google Play e sono popolari, insomma, non vale più. Per evitare questo genere di problema è opportuno installare sul dispositivo un antivirus e tenerlo aggiornato, in modo che possa impedire l’installazione di app pericolose. Gli antivirus per Android delle principali case produttrici sono in Google Play. Assicuratevi, ovviamente, di installare gli antivirus veri, che sono riconoscibili guardando il nome del produttore in Google Play oppure cercandoli direttamente nel sito ufficiale del produttore stesso. Molti sono gratuiti o comunque molto economici, e di certo costano molto meno di quel che vi costerebbe ripulire uno smartphone infettato. Anche in questo caso, dunque, vale il principio che prevenire costa meno che curare.



Fonte aggiuntiva: Graham Cluley.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Malware per Mac spia attraverso la webcam, la spia luminosa non allerta l’utente

Malware per Mac spia attraverso la webcam, la spia luminosa non allerta l’utente

I ratter, i guardoni e spioni che infettano i computer per sorvegliare gli utenti attraverso le telecamerine integrate, non sono una novità. Ma è in circolazione una nuova tecnica di ratting alla quale è importante fare attenzione anche se si usa un Mac.

Finora i computer della Apple erano stati abbastanza protetti da questa forma di attacco, anche perché il modo in cui sono costruiti rende estremamente difficile (ma non impossibile) attivare la telecamera integrata senza che si illumini la spia accanto alla telecamera stessa. L’utente spiato, insomma, si rende conto facilmente che la telecamera è accesa quando non dovrebbe esserlo e quindi capisce di essere sotto sorveglianza.

Ma l’esperto di sicurezza informatica Graham Cluley segnala che i ratter hanno trovato una soluzione a questa limitazione per registrare audio e video di nascosto anche sui Mac: basta aspettare che l’utente usi la telecamera per altre ragioni, come una sessione Skype o Facetime, e a quel punto attivare un secondo flusso audio e video parallelo al primo. L’utente non nota nulla di strano e ovviamente non si sorprende che la spia luminosa sia accesa. La registrazione segreta termina automaticamente quando termina la sessione legittima.

Questa tecnica è stata incorporata nei malware Eleanor e Mokes e in altri software ostili per Mac, per cui ora anche gli utenti Apple dovranno fare maggiore attenzione. Il rimedio drastico è il classico tappino o adesivo sulla telecamera, ma se usate spesso la telecamera questo continuo attacca e stacca è una scocciatura.

Per venire incontro a quest’esigenza, l’informatico Patrick Wardle ha sviluppato un’app, OverSight, che avvisa l’utente se un programma attiva il microfono integrato o accede alla webcam, anche se questi dispositivi sono già in uso.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Vendicatore informatico smaschera truffatori che mandano false fatture infettanti

Vendicatore informatico smaschera truffatori che mandano false fatture infettanti

Lukavsky (via The Register)

Florian Lukavsky è uno a cui non dispiace farsi molti nemici, a quanto pare. Dirige l’ufficio si Singapore della SEC Consult, un’azienda di sicurezza informatica, e lotta contro le truffe online ai danni delle aziende con un metodo decisamente interessante.

I truffatori cercano di imbrogliare le proprie vittime aziendali mandando loro delle mail falsificate, apparentemente provenienti dai dirigenti, che ordinano di effettuare pagamenti verso conti correnti in realtà controllati dai criminali, come in questo caso recente. Ci sono state molte vittime illustri, come Accenture, Chanel, Hugo Boss, HSBC e Mattel, oltre a tante altre meno illustri.

In collaborazione con le forze dell’ordine, Lukavsky rende la pariglia ai truffatori: manda loro un documento PDF che simula di essere una conferma della transazione ma è in realtà scritto in modo da contenere malware che, quando viene aperto, raccoglie informazioni d’identità dai computer dei criminali e le manda a Lukavsky. “Siamo stati in grado di ottenere i nomi utente e gli hash di Windows 10, che sono legati per default ad Outlook”, racconta l’informatico. Gli hash sono stati poi usati per risalire alle password corrispondenti. Le informazioni raccolte sono state trasmesse alla polizia, che ha arrestato i truffatori, situati in Africa.

The Register, che segnala la notizia (in inglese), riporta anche altri episodi di questo genere e cita le stime impressionanti dell’FBI sulle perdite economiche causate da questa forma di crimine.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Allerta GovCERT.ch: trojan bancario nascosto in finta fattura

Allerta GovCERT.ch: trojan bancario nascosto in finta fattura

Si sente spesso parlare di malware truffaldino in astratto, ma è più raro vederlo in azione concretamente. Eppure vedere gli esempi reali è fondamentale affinché il concetto rimanga bene impresso e la vigilanza resti alta perché il rischio viene percepito come reale e attuale.

In questo senso è molto utile la serie di segnalazioni diffusa online da GovCERT.ch, servizio gestito dalla Centrale d’annuncio e d’analisi per la sicurezza dell’informazione MELANI della Confederazione Svizzera, che per esempio in questi giorni sta segnalando la disseminazione via mail di false fatture in formato Word, apparentemente provenienti da una nota marca, che in realtà sono trappole che diffondono il malware Dridex dedicato al furto di credenziali di e-banking.

Se volete ricevere questi avvisi e diffonderli come promemoria periodici, seguite GovCERT.ch su Twitter (anche in italiano). Il servizio consente anche agli utenti di inviare segnalazioni e offre numerose guide per l’uso sicuro dei servizi bancari online.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Brutta figura per Sophos: il suo antivirus rileva come virus un componente chiave di Windows

Questo articolo vi arriva gratuitamente grazie alle donazioni dei lettori. Se vi piace, potete farne una per incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2016/09/07 18:30.

Se usate l’antivirus di Sophos su Windows e quando tentate di accedere al vostro computer vi compare una schermata nera o un allarme che segnala che winlogon.exe è infettato da Troj/FarFli-CT, niente panico. È quasi sicuramente un falso allarme causato da un brutto errore di Sophos, i cui antivirus Sophos Anti-Virus per Windows 2000+ 10.3.15 e Sophos Endpoint Security and Control 10.6.3 credono che il file winlogon.exe legittimo di Windows 7 a 32 bit sia un malware.

Il problema è particolarmente fastidioso se l’utente ha impostato l’antivirus in modo che cancelli direttamente i file infetti: in questo caso winlogon.exe verrà cancellato e sarà necessario un ripristino di Windows nel modo descritto qui da Microsoft.

In generale, per rimediare al problema leggete le istruzioni fornite da Sophos. Stavolta l’antivirus fa più danni del virus.

Fonti aggiuntive: Graham Cluley.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Le armi informatiche perse dall’NSA sono già in uso

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Secondo le ricerche effettuate da Mustafa Al-Bassam, nel mondo ci sono attualmente oltre 15.000 firewall Cisco PIX vulnerabili all’attacco (finora segreto) BENIGNCERTAIN che l’NSA si è lasciata sfuggire. Quindi nonostante risalgano a circa tre anni fa, sono tutt’altro che spuntate.

Intanto arrivano le prime segnalazioni di attacchi effettuati con queste armi e rilevati da chi si è attrezzato per farlo:

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Mackeeper è utile o pericoloso? Di certo non gestisce bene le critiche

Mackeeper è utile o pericoloso? Di certo non gestisce bene le critiche

Mi arrivano spesso domande su MacKeeper, una utility per Mac che promette di aiutare a risolvere problemi di sicurezza ma è nota soprattutto per la sua pubblicità onnipresente e assillante oltre che per aver custodito i dati e le password dei propri utenti tenendoli in chiaro in un file accessibili via Internet.

L’esperto di sicurezza informatica Graham Cluley nota che MacKeeper “non gode della migliore delle reputazioni” anche per via delle proprie campagne pubblicitarie che spaventano gli utenti con frasi allarmanti come “IL TUO MAC È LENTO E PROBABILMENTE INFETTO!”. Gli sviluppatori di MacKeeper rispondono che è colpa dei loro affiliati pubblicitari, però non sembrano scoraggiare queste tattiche promozionali.

Non è l’unico problema di gestione di Kromtech, l’azienda che ora possiede MacKeeper, sta gestendo molto male: Apple Insider segnala che la Kromtech ha risposto ai video di critica di un quattordicenne, Luqman Wadood, intimandogli di toglierli da Youtube se non voleva affrontare una causa legale per molestie e diffamazione e facendogli notare che un’azione legale intentata da Kromtech contro un altro recensore su Youtube era costato al recensore oltre 60.000 dollari di spese legali e giudiziarie.

Uno dei video è ancora pubblico e contiene citazioni e documenti decisamente imbarazzanti, che denunciano comportamenti disonesti e ingannevoli da parte di MacKeeper, come siti di finte recensioni. Il video segnala anche le critiche tecniche e commerciali di iMore, Cult of Mac, PC World e altri siti. PCWorld, in particolare, nota che MacKeeper segnala che un Mac è in condizioni “serie” persino quando si tratta di un OS X appena installato e aggiornato.

Se Kromtech non avesse minacciato di far causa a un ragazzino, probabilmente il suo video e la sua storia non sarebbero diventati così conosciuti. Per cui una cosa è certa: i gestori di MacKeeper dovrebbero ripassarsi il concetto di effetto Streisand.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.
Sì, le chiavette USB lasciate in giro come esca funzionano

Sì, le chiavette USB lasciate in giro come esca funzionano

È un espediente usato spesso nelle trame dei film e telefilm quando si vuole mostrare un tentativo di intrusione informatica: lasciare nelle vicinanze dell’azienda o della persona presa di mira delle chiavette USB che facciano da esca e poi attendere che il bersaglio le trovi e, mosso da curiosità, le infili in un computer, in modo che il malware contenuto nelle chiavette possa infettarlo e poi rubare dati o compiere altre nefandezze.

La tecnica è stata mostrata, per esempio, in una puntata della prima stagione di Mr. Robot, telefilm-culto fra gli informatici per il realismo delle modalità d’intrusione digitale che mostra. Ma questa storia delle chiavette è davvero credibile? La gente è davvero così curiosa e ingenua?

Purtroppo sì: pochi giorni fa, al convegno statunitense BlackHat, Elie Bursztein di Google ha presentato i risultati di un esperimento nel quale quasi 300 chiavette USB sono state lasciate in giro nel campus della University of Illinois Urbana-Champaign. Il 98% delle chiavette è stato raccolto (la prima solo sei minuti dopo il piazzamento) e il 45% è stato non solo inserito in un computer connesso a Internet ma sfogliato cliccando sui suoi file.

Le chiavette disseminate sono state etichettate con nomi diversi (“esami”, “confidenziale”, con chiavi e indirizzo del proprietario, oppure senza alcuna indicazione) per vedere quali nomi erano più allettanti. La buona notizia è che le chiavette che recavano le coordinate del proprietario sono state quelle meno aperte.

Alle cavie dell’esperimento è andata bene, perché sulle chiavette c’era solo un innocuo sondaggio tracciante, ma Bursztein ha mostrato come sarebbe stato possibile camuffare come chiavetta USB un emulatore di tastiera che poteva prendere il controllo del computer. Mai fidarsi, insomma, delle chiavette trovate in giro, neanche se hanno l’aria di contenere informazioni golose.

Fonte aggiuntiva: Tripwire.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.

Usate Ammyy Admin? Occhio, ha diffuso versioni infette

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi piace, potete incoraggiarmi a scrivere ancora (anche con un microabbonamento).

Ammyy Admin (Ammyy.com) è un’applicazione legittima, piuttosto diffusa per il controllo remoto dei computer, ma di recente dei criminali informatici hanno preso ripetutamente il controllo del sito che distribuisce l’applicazione e hanno alterato il programma d’installazione in modo che chi scaricava e installava Ammyy riceveva e installava anche uno spyware (Lurk) che ruba soldi dai conti correnti gestiti via Internet da computer insicuri.

Visto che gli amministratori di Ammyy non sembrano granché competenti nel risolvere gli attacchi (una volta passi, ma trovarsi a distribuire malware ripetutamente è inaccettabile), probabilmente non è più il caso di fidarsi.

Questo genere di attacco si chiama in gergo watering hole attack, ossia letteralmente “attacco al luogo di abbeveraggio”: invece di prendere di mira direttamente i singoli bersagli, gli aggressori attaccano un sito utilizzato dai bersagli. Sono i bersagli stessi, poi, a infettarsi quando vanno a visitare il sito.

In generale, per prevenire furti di denaro nella gestione dei conti correnti via Internet conviene procurarsi un computer (o un tablet o Chromebook) da dedicare esclusivamente a questa attività, come se fosse una sorta di terminale della banca. Su questo dispositivo non si gioca, non si usano i social network, non si risponde alla posta, non si aprono allegati, non si installa nulla a parte gli aggiornamenti del sistema operativo e l’eventuale applicazione della banca. In questo modo il rischio di infettarlo e aprire la strada ai ladri è ridotto al minimo. Ormai i costi dei computer e dei tablet sono talmente bassi che è un investimento accettabile, soprattutto se lo si confronta con il costo (monetario e di tempo) di un furto dal proprio conto corrente.

Fonti: Ars Technica, Securelist.

Scritto da Paolo Attivissimo per il blog Il Disinformatico. Ripubblicabile liberamente se viene inclusa questa dicitura (dettagli). Sono ben accette le donazioni Paypal.