SMS – Pagina 2 – Attivissimo.me

Falla di Twitter permette messaggi falsi

Questo articolo vi arriva grazie alla gentile donazione di “filiberto.ga*” e alla segnalazione di Mikko Hypponen ed è stato aggiornato dopo la pubblicazione iniziale.

C’è una vulnerabilità in Twitter che permette di inviare un tweet spacciandosi per un altro utente. Un malintenzionato può quindi impersonarvi su Twitter: gli basta sapere quale numero di telefonino avete associato al vostro account Twitter.

Se lo sa, usa un gateway SMS adatto per falsificare il numero del mittente e ci mette il vostro, così Twitter crede che il tweet provenga da voi e lo pubblica a nome vostro. Oltre ai tweet falsi, l’impostore può alterare il vostro account Twitter usando questi comandi via SMS (la versione italiana dei comandi è qui).

La scoperta è di Jonathan Rudenberg, che la descrive qui insieme ai rimedi possibili: rimuovere da Twitter il proprio numero di cellulare (andando qui e cliccando su Elimina il mio numero) oppure aggiungere un PIN all’account, in modo che il malintenzionato debba scoprire il PIN per potersi spacciare per voi.

Aggiornamento (21:30): Ars Technica scrive che la falla è stata parzialmente corretta.

Appello per bambino leucemico, paziente guarito

Riccardo sta bene!

Ricordate il caso dell’appello via mail e SMS per Riccardo, il bambino malato di leucemia, per il quale si chiedeva di donare sangue del gruppo B+ presso vari ospedali, inizialmente il Meyer di Firenze e poi altri in giro per l’Italia e anche in Svizzera man mano che il passaparola storpiava il contenuto iniziale del messaggio? C’è un piacevole aggiornamento.

Come raccontato nell’indagine apposita, l’appello era partito nei primi mesi del 2007 e il bambino esisteva realmente ed era realmente malato. La richiesta non era dunque una bufala in senso stretto, ma non era stata diramata dall’ospedale dove era ricoverato il bambino perché non c’era alcuna carenza di sangue. Nel corso di più di due anni, la sua circolazione frenetica ha intasato di telefonate di richieste d’informazioni e di code di donatori improvvisati non soltanto l’ospedale Meyer che realmente ospitava Riccardo, ma anche i vari ospedali man mano citati dalle varianti dell’appello, causando disagi a non finire.

La raccomandazione che faccio sempre è di controllare prima di inoltrare qualunque appello di questo genere: il Servizio Antibufala, i suoi omologhi e San Google sono qui per questo. Ma oggi posso fare questa raccomandazione per un motivo in più: perché la verifica, in questo caso, vi permette anche di sapere che la vicenda di Riccardo ha avuto un esito felice.

Ricevo e pubblico con piacere questa segnalazione dell’ufficio stampa dell’Ospedale Meyer, quello che realmente ha ospitato il bambino:

Volevo chiederti se riesci, quando aggiorni il tuo sito, ad aggiungere nel caso del bambino leucemico per cui tanti chiedevano sangue B positivo, che è scaduto. Il bambino è da tempo a casa, sta bene. Purtroppo ogni tanto quella catena riemerge ma con l’attenzione che c’è, si propaga meno e riusciamo a bloccarla sul nascere.

È una splendida notizia: purtroppo non impedirà all’appello di continuare a circolare inutilmente, ma rispetto ai tanti casi di appelli medici di cui non si sa l’esito, è un gran bel passo avanti. Poter dire che l’appello è scaduto perché il bambino sta bene è molto più semplice ed efficace che spiegare che gli inoltri causano disagi e confusione.

Iphone nuovo? Meglio aspettare

L’iPhone nuovo è roba che scotta. Sul serio. E anche quello vecchio è crashabile con un SMS

Sembra che ci sia qualche problema con i nuovi iPhone, i 3GS, e anche con quelli vecchi dotati del software nuovo (3.0). Varie fonti segnalano infatti surriscaldamenti così marcati da non poter tenere in mano il telefonino e da alterare il colore della plastica del suo guscio (foto) e anche del display, dando alla plastica una tinta rosata e al display una colorazione giallognola.

I principali colpevoli sarebbero la trasmissione dati e il modulo GPS integrato, ma alla base potrebbe esserci una partita di batterie imperfette. Nessun problema: basta aprire lo sportellino e cambiare batteria, no? Un lavoretto da tre secondi. Soltanto che l’iPhone non ha lo sportellino: la batteria è sigillata, e per cambiarla bisogna lasciare il cellulare in assistenza. Bella furbata.

Le lamentele sono pubblicate per esempio nel forum Apple Discussions e nei forum degli utenti britannici dell’operatore O2.

Punto Informatico segnala che sul sito di supporto di Apple è apparsa una pagina che ricorda di usare l’iPhone solo se la temperatura dell’ambiente è fra 0° e 35°C e di custodirlo a temperature fra -20° e 45°C. Lasciarlo in un’auto parcheggiata al sole o usarlo intensamente mentre gli batte sopra direttamente il sole rischia di fargli superare questi limiti di temperatura. In caso di surriscaldamento compare l’avviso mostrato qui sopra. Tenerlo in tasca, vicino al proprio corpo caldo, o in una borsa priva di ricambio d’aria non aiuta certo ad evitare il problema.

Come se non bastasse, arriva la segnalazione di un problema di sicurezza basilare valido per tutti gli iPhone: il ricercatore di sicurezza Charlie Miller, della Independent Security Evaluators, ha dimostrato alla conferenza SyScan di Singapore che c’è un baco nel modo in cui l’iPhone interpreta gli SMS che permette di mandare in crash una parte del telefono che gestisce la connessione alla rete cellulare, rendendolo temporanemente inutilizzabile: basta conoscere il numero di telefonino della vittima designata. Brrr.

Fonti: The Inquirer, Wired, The Register, The Register, The Telegraph, Slashdot, Punto Informatico, F-Secure

SMS, perché proprio 160 caratteri?

Perché 160 caratteri per un SMS?

L’articolo è stato aggiornato dopo la pubblicazione iniziale.

Vi siete mai chiesti da dove deriva il limite di 160 caratteri per un SMS? Perché proprio 160 e non 150, 200 oppure 256? Il Los Angeles Times spiega la curiosa origine di questo limite intervistando uno degli inventori dei messaggini, Friedhelm Hillebrand.

Nel 1985, Hillebrand era presidente del comitato servizi extra-fonia del Groupe Spécial Mobile, il gruppo creato dall’associazione degli operatori di posta e telecomunicazioni europei (CEPT) che all’epoca stava definendo gli standard tecnici della rete cellulare digitale che poi prese appunto il nome di GSM. L’acronimo fu poi riformulato per rappresentare le parole Global System for Mobile communications.

Uno dei compiti di Hillebrand era appunto definire, insieme ai colleghi, le caratteristiche del servizio di brevi messaggi di testo (Short Message Service, da cui SMS) previsto dallo standard della nuova generazione di telefonini (che all’epoca erano poco “ini”: erano più che altro radiomobili da installare in auto o valigette da viaggio; i palmari erano più fantasia che realtà).

Fece un primo esperimento alla buona: si mise alla macchina per scrivere e batté frasi e domande a caso su un foglio, contando poi le battute di ciascuna. Erano quasi sempre meno di 160.

Era un dato importante, perché il sistema di messaggistica doveva sfruttare un canale radio secondario della rete cellulare, nel quale di solito non avviene nulla a parte qualche breve scambio di pochi bit per la gestione del traffico telefonico, e lo spazio a disposizione era sì gratuito, ma limitato, per cui la brevità era essenziale. Hillebrand e colleghi riuscirono inizialmente a far stare 128 caratteri nei formati predefiniti di questo spazio, ma 128 sembravano troppo pochi, così optarono per 160 caratteri di sette bit.

L’esperimento informale di Hillebrand fu poi confermato da un’analisi della lunghezza media dei messaggi mandati via Telex e tramite cartoline: si scoprì che nonostante in questi mezzi di comunicazione non vi fossero limitazioni tecniche di lunghezza, gli utenti tendevano comunque a comporre messaggi di meno di 160 caratteri.

Quello che non era previsto era il successo che avrebbero avuto gli SMS, pensati inizialmente come una funzione di nicchia supplementare della rete cellulare, una sorta di cercapersone evoluto per pochi professionisti, tanto che dovevano inizialmente essere gratuiti, visto che erano difficili da comporre sulla tastiera. Poi qualcuno si rese conto che far pagare per un servizio che non costa nulla è un ottimo modo per fare soldi, e il resto è storia.

Cellulari Symbian vulnerabili, SMS bloccati

2009-01-09
di Paolo Attivissimo
cellulari, denial of service, sicurezza, SMS

Symbian e la Maledizione del Silenzio

Questo articolo vi arriva grazie alle gentili donazioni di “amotta” e “ebay”.

Sembra il nome di un romanzo d’avventura, ma è una magagna abbastanza seria per i possessori di telefonini. I cellulari che usano il sistema operativo Symbian S60 Second e Third Edition Feature Pack 1 (quasi esclusivamente modelli Nokia, ma anche qualche Sony Ericsson, Samsung, Panasonic e Lenovo) sono vulnerabili a un attacco che li rende incapaci di ricevere SMS e MMS.

L’unico rimedio (a parte l’installazione di un antivirus) è un reset profondo del telefonino, che comunque rimane in grado di fare e ricevere chiamate. L’attacco è stato chiamato pittorescamente “Curse Of Silence”, ossia “la maledizione del silenzio”.

Secondo l’advisory del Chaos Computer Club tedesco, si tratta di un denial of service (demo video qui) basato su un difetto nella gestione di un particolare tipo di SMS. All’aggressore basta creare un SMS contenente un indirizzo di e-mail lungo più di 32 caratteri seguiti da uno spazio e inviare l’SMS avvelenato specificandone il tipo come “Internet Electronic Mail”. Per tutte le versioni del sistema Symbian tranne la 3.1 basta un singolo SMS per completare l’attacco: per i cellulari con versione 3.1 è necessario un invio ripetuto varie volte. Non occorre che il destinatario legga il messaggio.

Sono immuni a questa forma di attacco i cellulari che usano Symbian S60 Third Edition Feature Pack 2, Symbian S60 Fifth Edition e Symbian OS 9.3. Per sapere se il vostro cellulare usa Symbian e una sua versione vulnerabile, consultate il manuale del telefonino.

Le probabilità di finire vittima di questa “maledizione” sono scarse e l’attacco in sé non devastante. Ma l’esistenza di questa falla è indicativa di una scarsa attenzione alla sicurezza e sottolinea efficacemente il fatto che un “semplice” messaggio ha in realtà un potenziale d’attacco inaspettato.

Fortinet e F-Secure hanno già predisposto antivirus su misura.

Antibufala: allarme per chat di TIM sui cellulari

Love.dada.net, falso allarme a catena che fa spendere soldi veri

Questo articolo vi arriva grazie alle gentili donazioni di “giulietto ch****” e “enrico.asso****”.

Nuove frontiere delle catene di Sant’Antonio: arriva quella che vi fa indurre i vostri amici a pagare soldi se credono ai vostri consigli.

Sta circolando da qualche giorno via mail e sui telefonini, principalmente in Italia, un appello che mette in guardia contro un particolare servizio di chat, che sarebbe stato attivato da TIM senza preavviso e che costerebbe 4 euro a settimana.

L’appello invita a evitare ulteriori addebiti e a disdire subito il servizio mandando dal proprio cellulare un SMS contenente la parola STOP al numero 48405.

Ecco un esempio di testo dell’appello (grazie a Elisabetta per la segnalazione):

A nostra insaputa la Tim ci ha ativato [sic] un servizio di chat che costa 4euro a settimana. Disdici subito inviando STOP al 48405. Ti arrivera’ 1 sms di conferma della disdetta. Dillo agli altri

Si tratta di una bufala ben congegnata, probabilmente frutto di un equivoco. Infatti le segnalazioni che ho ricevuto fin qui dicono che non esiste alcun servizio di chat attivato da TIM ad insaputa dell’utente; tuttavia inviando la richiesta “STOP” al numero 48405 sulle reti cellulari italiane si riceve effettivamente un messaggio che annuncia la disattivazione di un servizio.

Questo messaggio sembra confermare l’autenticità dell’appello, ma in realtà lo stesso messaggio che parla di disattivazione arriva anche a chi manda la richiesta ma non si è mai iscritto al servizio.

Il servizio, insomma, non distingue fra iscritti e non iscritti: se gli mandate la richiesta di disattivazione, non dice “Guarda che non eri iscritto neanche prima”. E così gli utenti ci cascano, e pagano per essersi fidati del consiglio della catena di sant’Antonio, inoltrata come al solito senza verificarla.

E’ infatti sufficiente immettere in Google “stop tim 48405” per avere le prime informazioni di smentita di quest’appello.

Si trova, per esempio, questa pagina di Dada.net, che spiega che il numero 48405 è associato a Love.dada.net, “un servizio in abbonamento, il cui costo è di 4,2 Euro la settimana” e serve “per fare nuove conoscenze e entrare in contatto con tantissime persone”. Sarà. Sta di fatto che la pagina di Dada.net dice che per abbonarsi al servizio bisogna mandare una richiesta d’iscrizione via Web o SMS. Niente attivazione ad insaputa: anche se qualcuno dovesse mandare la richiesta via Web a vostro nome, dovreste inviare un SMS di conferma dal vostro cellulare.

Anche la disattivazione di Love.dada.net può avvenire via Web oppure tramite SMS (“inviando LOVE OFF al 48405”, dice la pagina informativa); se si invia un SMS con scritto “STOP DADANET” al 48405 oppure al 48282, si disattivano “il servizio Dada.net in abbonamento a pagamento e tutte le offerte eventualmente attivate (love.Dada.net, mobi.Dada.net)”.

Al momento non è chiaro quanto costi l’invio della disdetta inutile: la pagina informativa presenta una giungla di prezzi per SMS inviati e ricevuti che varia a seconda dell’operatore telefonico e del tipo di messaggio. Un labirinto che sembra fatto apposta per stordire l’utente. Secondo alcune segnalazioni, si paga sia l’SMS di disattivazione, sia l’SMS ricevuto che “conferma” la “disattivazione”.

Quello che è certo è che l’appello è un falso allarme che ingrassa gli operatori cellulari, che incassano non solo ogni volta che qualcuno invia la disdetta inutilmente, ma anche ogni volta che qualcuno inoltra la catena di sant’Antonio.

Queste sono le prime informazioni, sufficienti a dire che non è opportuno far circolare l’appello: ho comunque contattato il servizio clienti di Dada.net per avere dettagli.

Aggiornamento (2008/01/17)

Ieri mi ha contattato l’ufficio relazioni esterne di Dada.net, mandandomi chiarimenti e il testo del messaggio (effettivamente ingannevole) ricevuto dagli utenti non iscritti. Il testo è stato cambiato e reso più chiaro. Maggiori dettagli in questa mia nota.

Quanto costa davvero un SMS?

SMS, 465 euro al megabyte

Questo articolo vi arriva grazie alle gentili donazioni di “br1tad” e “bernardo”. L’articolo è stato corretto dopo la pubblicazione iniziale.

Belli, gli SMS. Comodi e discreti. Una nuova forma di comunicazione, adorata dalle giovani generazioni che sembrano avere pollici geneticamente modificati. Ma una miniera d’oro per gli operatori telefonici, alcuni dei quali ne ricavano utili fino al 90%. Gli SMS, da soli, costituiscono il 20% del loro fatturato. A pochi centesimi a messaggio, ci sembra di spendere poco. Ma forse stiamo pagando troppo.

Facciamo due conti. Secondo l’analisi di Gthing.net, un SMS contiene un massimo di 140 byte (1120 bit) di dati. I 160 caratteri massimi di un SMS ci stanno in 140 byte perché gli SMS usano una codifica a 7 bit.

Se un SMS costa 10 centesimi di franco ed è sfruttato integralmente (composto da 160 caratteri), un bit viene a costare 10/1120 = 0,0089 centesimi. A questi prezzi, trasmettere un megabyte di dati (1.048.576 byte di 8 bit), ossia grosso modo un minuto di canzone MP3 o un libro, verrebbe a costare circa 750 franchi. Avete letto bene: settecentocinquanta. Lo stesso ragionamento vale anche con gli euro al posto dei franchi, ovviamente.

Nota: nella prima stesura di questo articolo avevo sbagliato i calcoli, e anche parecchio. Sono come i vecchi processori Pentium: ho la tendenza a randomizzare le cifre decimali e parcheggiare in doppia file il punto decimale. Chiedo scusa, prometto di non fare più calcoli dopo l’una del mattino e ringrazio Matteo per avermi corretto.

Anche acquistando pacchetti di SMS a un prezzo apparentemente vantaggioso (per esempio 1000 SMS per 19 franchi), il costo per SMS scende a 1,9 centesimi, ma un megabyte, o un minuto di MP3, costerebbe comunque ben 142 franchi e spiccioli.

Eppure le offerte di trasmissione dati dei medesimi operatori consentono di trasmettere 50 di quegli stessi megabyte per meno di dieci franchi, e si può scendere ancora con gli abbonamenti dedicati, che offrono trasmissione illimitata per pochi franchi al giorno. Le offerte sul mercato italiano sono strutturate allo stesso modo. Chiaramente qualcosa non va. Perché lo stesso bit trasmesso in un modo costa 300 volte di più che in un altro?

Facciamo un altro confronto. La trasmissione della voce sulla rete GSM è anch’essa una trasmissione di dati, che utilizza normalmente un codec a 9,6 kilobit al secondo (esistono anche l’Half Rate a 5,6 kb/s e il Full Rate a 13 kb/s, ma lo standard è 9,6 kb/s). In altre parole, un minuto di conversazione trasmette 576.000 bit, pari a 514 SMS. Quindi se la voce seguisse le tariffe degli SMS, un minuto di telefonata cellulare ci costerebbe 51 franchi e spiccioli.

La disparità diventa ancora più evidente se si considera che quel minuto di telefonata (che costa pochi centesimi) deve essere recapitato a destinazione immediatamente, mentre un SMS può arrivare anche con comodo. Paghiamo un bit pigro di un SMS centinaia di volte di più di quel che paghiamo i bit velocissimi delle telefonate. Non sorprende, allora, che secondo dati di Forrester Research citati dall’International Herald Tribune ci siano appunto margini di utile del 90% da parte degli operatori.

E’ eccessivo? L’Unione Europea si sta muovendo per far ridurre i costi della trasmissione dati e degli SMS in roaming, come riferisce Reuters, entro luglio, perché i ricarichi praticati in roaming sono in conflitto con il concetto di mercato unico dell’UE. Ma l’iniziativa mira soltanto ad equiparare i costi degli SMS inviati in roaming con quelli inviati sulla propria rete cellulare: i costi degli SMS in sé restano stratosferici in termini di prezzo al bit.

C’è chi propone soluzioni per arrangiarsi, come Skebby, Cellity o JackSMS, che usano i contratti forfetari di trasmissione dati per collegarsi ai servizi di invio SMS oppure creano una sorta di messaggistica istantanea, ma non è un servizio universale come lo è l’SMS. In Svizzera c’è anche l’originale smartphone Ogo, che permette di avere la chat di MSN sempre in tasca a canone fisso mensile, ma permette di chattare soltanto con altri utenti MSN (senza allegati): anche qui gli SMS si pagano a parte. Sembra proprio che nessuno voglia mollare la gallina dalle uova d’oro.