Vi ricordate il vecchio logo di Instagram, quello mostrato qui accanto? Sono ormai passati dieci anni dal debutto di questa app a ottobre 2010; a quell’epoca c’era soltanto la versione per iOS, e gli utenti Android dovettero aspettare quasi due anni, fino ad aprile 2012, per poter condividere foto online tramite quest’app.
Oggi può sembrare strano, ma inizialmente le foto di Instagram erano limitate al formato quadrato e non potevano superare i 640 x 640 pixel (la risoluzione dell’iPhone di allora); per arrivare alla risoluzione attuale di 1080 pixel fu necessario attendere il 2015, quando arrivarono le immagini multiple in un singolo post; le Storie arrivarono nel 2016.
Oggi e dal 2012 Instagram è di proprietà di Facebook, che sta progressivamente integrando Facebook e Instagram (e prossimamente anche WhatsApp) al livello dei messaggi: un utente di Facebook Messenger può comunicare con gli utenti di Instagram e viceversa, si possono collegare i propri account Facebook e Instagram, ed è possibile fare crossposting: per esempio condividere su Instagram un contenuto postato su Facebook e viceversa.
Attualmente Instagram conta circa un miliardo di utenti attivi su base mensile, ed è popolare soprattutto nella fascia d’età fra 18 e 34 anni, che è desideratissima dagli inserzionisti pubblicitari; in questa fascia sta eclissando la popolarità di Facebook.
La fusione di Facebook e Instagram è quindi una buona strategia per semplificare le comunicazioni degli utenti e per raccogliere più dati vendibili sulle loro abitudini, sui loro interessi e sulle loro reti di contatti, amici e conoscenti. Ma all’orizzonte si profilano già possibili successori e alternative, come TikTok e Discord.
Se vi arriva via SMS un codice di sei cifre e qualcuno ve lo chiede, non dateglielo: vi potrebbe rubare l’account WhatsApp.
La tecnica è questa: il ladro di account vi manda un SMS nel quale finge di essere un comune utente pasticcione che ha inviato un proprio codice a voi per errore e vi chiede cortesemente di rimandarglielo.
Non fatelo. Quel codice è infatti il codice di verifica di WhatsApp. Il ladro sta tentando di rubarvi l’account WhatsApp e ha immesso nell’app il vostro numero di telefono, e quindi WhatsApp ha inviato al vostro telefono l’apposito codice di verifica. Se comunicate questo codice al ladro, gli date tutto quello che gli serve per prendere il controllo del vostro account.
Va detto che il codice di verifica arriva in un messaggio che dice molto chiaramente di non dare il codice a nessuno, ma c’è sempre qualche vittima che non ci fa caso e quindi risponde alla richiesta del ladro.
WhatsApp ha una pagina apposita di istruzioni, che avverte che “WhatsApp non dispone di informazioni sufficienti per identificare la persona che tenta di verificare il tuo account WhatsApp” ma consola notando che “i contenuti condivisi su WhatsApp sono crittografati end-to-end e i messaggi vengono archiviati sul tuo dispositivo, pertanto chi accede al tuo account da un altro dispositivo non può leggere le tue conversazioni precedenti”.
Nei giorni scorsi c’è stata parecchia ansia nei media (Corriere) e fra gli utenti di WhatsApp per un presunto “virus di Capodanno”: un messaggio contenente un nome seguito dalla frase “ti ha inviato un messaggio privato!! Clicca ORA questo link per leggere il messaggio”. Ne esistono varie versioni anche in altre lingue oltre all’italiano.
Si è diffusa la voce che cliccando sul link gli smartphone venivano infettati automaticamente e venivano rubati “tutti i dati personali dell’utente, come password di accesso ai social, rubriche e messaggi” (Il Giornale), ma non ce n’è alcuna conferma.
Sugli smartphone iOS e Android recenti, infatti, è quasi impossibile installare un virus senza che l’utente faccia qualcosa di ben più banale che toccare un link o visualizzare un messaggio (per esempio installare un profilo sui telefonini iOS). In questo caso specifico, se avete solo visualizzato il messaggio-trappola, senza toccarne il link, non è successo nulla siete a posto.
Se l‘avete toccato, le cose si complicano. Visitando il sito linkato (touch-here punto site oppure My-love punto co e simili), il browser dello smartphone riceve istruzioni di aprire moltissime finestre pubblicitarie, che possono rallentare moltissimo il telefono. Alcune di queste finestre possono proporre di scaricare e installare un’app ostile, presumibilmente di tipo pubblicitario (adware), oppure chiedere dati personali. Si tratta insomma di un browser hijacking, il cui scopo è generare incassi pubblicitari per i truffatori che hanno creato la trappola.
Dovrebbe essere ovvio che non bisogna né installare app di origini sconosciute né dare dati personali a siti sconosciuti, ma se l’avete fatto allora vi conviene cambiare le password dei vostri account.
Il consiglio aggiuntivo molto diffuso di fare il ripristino di fabbrica è probabilmente eccessivo: se avete uno smartphone Android, dovrebbe essere sufficiente installare un antivirus di una marca affidabile e conosciuta e fargli fare una scansione. Ma se volete stare proprio tranquilli, fate pure un ripristino di fabbrica, naturalmente dopo aver salvato tutti i dati presenti sullo smartphone.
Visto che si tratta di un attacco mirato al browser, può darsi che sia necessario azzerarne le impostazioni.
Lo stesso tipo di attacco esiste anche per PC Windows e MacOS: trovate qui istruzioni per risolverlo per questi sistemi operativi.
In questi giorni si è diffuso un forte panico mediatico a proposito di una falla informatica che permette di bloccare WhatsApp sui telefonini di tutti i partecipanti a un gruppo e di cancellare completamente le conversazioni del gruppo stesso. Ma l’allarme è decisamente esagerato.
Gli esperti di sicurezza della Check Point hanno in effetti scoperto che esiste un modo per confezionare un messaggio malformato che, se inviato a un gruppo da un suo membro, causa continui riavvii dell’app sui telefonini dei membri, cancella i messaggi del gruppo e impedisce ogni ulteriore comunicazione.
L’unico rimedio sarebbe disinstallare e reinstallare WhatsApp e poi rimuovere il gruppo attaccato.
Ma la falla è stata già risolta ad agosto scorso, ed è già disponibile da settembre scorso una versione di WhatsApp che la risolve: basta quindi fare gli aggiornamenti. Tutte le versioni di WhatsApp dalla 2.19.58 inclusa sono immuni, dice Checkpoint.
Nota: Nella versione iniziale di questo articolo citavo la versione 2.19.246, basandomi su quanto riportato da Checkpoint qui, ma la segnalazione di un lettore che ha fatto notare che la versione iOS attuale è la 2.19.121 (la versione corrente di Android è variabile a seconda del dispositivo) mi ha spinto a chiedere verifica a Checkpoint via mail. Checkpoint mi ha risposto dicendo che la 2.19.58 è quella corretta.
Le versioni non aggiornate di WhatsApp possono essere attaccate inviando loro un semplice file MP4 (audio o video), che normalmente viene ritenuto innocuo.
In realtà, se questo file viene appositamente confezionato con metadati alterati, scatena un buffer overflow che può produrre un blocco dell’applicazione o l’esecuzione di comandi ostili.
La scoperta è opera di Gbhackers.com ed è stata confermata da Facebook, proprietaria di WhatsApp. La falla è classificata come CVE-2019-11931. Sono già state distribuite versioni aggiornate dell’app che correggono la vulnerabilità.
Le versioni di WhatsApp vulnerabili sono:
per Android, fino alla 2.19.274 esclusa
per iOS, fino alla 2.19.100 esclusa
per Windows Phone, fino alla 2.18.368 inclusa.
Non ci sono indicazioni che la falla sia stata sfruttata da malintenzionati, ma a questo punto è solo questione di tempo prima che lo sia. Aggiornatevi.
Facebook ha annunciato un cambiamento epocale nel proprio branding: d’ora in poi l’azienda che gestisce il social network si chiamerà FACEBOOK, scritto tutto in maiuscolo e in colori variabili. L’app del suo social network omonimo manterrà il logo classico e il nome classico senza maiuscole. Quindi facciamo i bravi e impariamo la distinzione: l’app è Facebook, l’azienda è FACEBOOK. C’è anche la GIF animata apposita:
C’è tutto uno spiegone sui dettagli di questa decisione, che parla di un “sistema che è rispettoso del contesto e dell’ambiente”, di un “design che sostiene le persone e le loro storie”, e racconta che il font scelto ha un “sottile ammorbidimento degli angoli e delle diagonali” che “aggiunge un senso di ottimismo”. Sarà.
Il problema, perlomeno per me che sono della vecchia guardia, è che la regola di Internet è che scrivere tutto in maiuscolo equivale a URLARE. Per cui vedere “FACEBOOK” mi fa venire l’impulso di leggerlo urlando.
A parte questo, è comunque positivo che presto le app di FACEBOOK (l’azienda) avranno tutte una chiara indicazione della loro appartenenza a FACEBOOK (sempre l’azienda). Molti utenti, infatti, non sono consapevoli del fatto che anche Instagram e WhatsApp (e anche Oculus) fanno parte della galassia di servizi di FACEBOOK (l’azienda) e quindi abbandonano Facebook (l’app) in favore di queste altre app senza rendersi conto che i dati che vi immettono confluiscono lo stesso in FACEBOOK (l’azienda).
Mi sono arrivate parecchie segnalazioni di un allarme che circola su WhatsApp:
Oggi la radio parlava di WhatsApp Gold ed è vero. C’è un video che verrà rilasciato domani su WhatsApp e si chiama Martinelli. Non aprirlo. Si Inserisce nel tuo telefono e nulla che fai lo risolverà. Spargi il messaggio se conosci qualcuno. Se ricevi un messaggio per aggiornare Whatsapp Gold * Non aprirlo! Hanno appena annunciato che il virus è serio. Mandalo a tutti!
È una bufala, anzi l’ennesimo caso di bufalovirus: cestinate pure il messaggio e dite a chi ve l’ha mandato di piantarla di credere a qualunque allarme che gli arriva.
Come spiega bene Bufale un tanto al chilo, già nel 2016 circolava un allarme a proposito di un’app truffaldina reale, chiamata WhatsApp Gold, che non è prodotta da WhatsApp. Non installate app di provenienza non ufficiale. Se lo fate, state cercando guai. Invece la storia di “Martinelli”, spiegava Bufale.net l’anno scorso, è un falso allarme che gira almeno da un paio d’anni. Non è dal nome di un file che si capisce se è pericoloso o no, e se la vostra difesa informatica si basa sui nomi dei file, siete messi davvero male.
Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.
WhatsApp aveva una falla, segnalata inizialmente dal Financial Times (paywall), che consentiva a un aggressore di installare spyware sui dispositivi iOS e Android semplicemente effettuando una chiamata WhatsApp al bersaglio. Un difetto gravissimo, che è stato corretto da WhatsApp con il rilascio di una versione aggiornata dell’app.
Le versioni vulnerabili sono le seguenti:
WhatsApp standard per Android: fino alla 2.19.134 esclusa
WhatsApp Business per Android: fino alla 2.19.44 esclusa
WhatsApp standard per iOS: fino alla 2.19.51 esclusa
WhatsApp Business per iOS: fino alla 2.19.51 esclusa
WhatsApp per Windows Phone: fino alla 2.18.348 esclusa
WhatsApp per Tizen: fino alla 2.18.15 esclusa
Niente panico. Tutto quello che dovete fare, se siete uno degli 1,5 miliardi di utenti dell’app di proprietà di Facebook, è scaricare l’aggiornamento già disponibile da vari giorni e installarlo; meglio ancora, attivate gli aggiornamenti automatici (istruzioni per iOS e per Android). Fine del problema.
Se vi viene il dubbio che qualcuno possa aver sfruttato questa falla per attaccarvi e vi stia spiando, niente panico: questo tipo di attacco così potente è molto costoso e prezioso, e quindi viene tenuto segreto e usato solo per bersagli particolarmente interessanti a livello governativo. Le probabilità che siate stati attaccati sono modestissime, se non occupate una posizione di altissimo livello politico o commerciale. Tuttavia questo genere di vulnerabilità finisce prima o poi per essere sfruttata anche dai piccoli criminali, che la usano per attaccare chi non si è aggiornato, per cui è comunque altamente consigliabile aggiornare l’app.
Attacchi spettacolari come questo, che non richiedono alcuna azione da parte delle vittime, possono far pensare che la crittografia end-to-end offerta da applicazioni come WhatsApp sia inutile. Ma in realtà la crittografia serve a proteggere contro la sorveglianza di massa, e in questo senso funziona e continua a funzionare egregiamente.
Questo articolo vi arriva gratuitamente grazie alle donazioni dei lettori. Se vi piace, potete farne una per incoraggiarmi a scrivere ancora (anche con un microabbonamento). Ultimo aggiornamento: 2019/05/14.
La popolarità di WhatsApp spinge molte persone a installare questa app per restare in contatto con amici, colleghi e familiari, che già usano WhatsApp e non hanno alcun desiderio di imparare un’altra app di messaggistica meno ficcanaso (come Signal, Threema, Wickr o Telegram).
Il guaio è che usare WhatsApp significa dare a Facebook (dal 2014 proprietaria di WhatsApp) tutti i numeri di telefonino presenti nella propria rubrica. Se qualcuno vi ha affidato numeri riservati e usate WhatsApp, rivelate a Facebook quei numeri e Facebook raccoglie i metadati delle vostre conversazioni tramite WhatsApp per tenere traccia dei vostri rapporti interpersonali.
Le FAQ di WhatsApp (versione aggiornata al 2019/05/14)lo segnalano abbastanza chiaramente:
Uso del tuo numero di telefono e della tua rubrica
Chiediamo i numeri di telefono perché è così che WhatsApp identifica gli utenti WhatsApp, rendendo più semplice messaggiare i tuoi amici e i tuoi familiari rapidamente.
Le informazioni della tua rubrica
Gli utenti di WhatsApp non hanno accesso alle informazioni della tua rubrica, a meno che tu non condivida un contatto usando la funzione Contatto all’interno di una chat. La tua privacy per noi è importante e non abbiamo venduto, non vendiamo e non venderemo mai le tue informazioni personali a nessuno. Per saperne di più, puoi leggere la nostra Informativa sulla privacy che spiega la gestione della privacy da parte di WhatsApp.
Tieni presente che WhatsApp guarda regolarmente i numeri di telefono nella tua rubrica e poi controlla quali di questi numeri sono verificati su WhatsApp. Qualsiasi utente WhatsApp presente nella tua rubrica apparirà come un contatto con cui puoi messaggiare su WhatsApp. Durante l’intero processo, i numeri di telefono vengono inviati a WhatsApp per la ricerca in modo sicuro e tramite una connessione criptata. Per permetterti di conoscere con chi stai chattando, l’applicazione visualizza poi i nomi presenti nella tua rubrica.
Questo, per qualunque persona che rispetti la richiesta di un amico di mantenere riservato un numero di telefonino, è semplicemente inaccettabile. Se poi il numero riservato appartiene a un cliente di un notaio, di un avvocato o di un medico, o a un informatore confidenziale di un giornalista, usare WhatsApp è non solo inaccettabile ma molto probabilmente illegale (violazione dell’obbligo alla riservatezza).
Non c’è un modo per usare WhatsApp senza dover per forza regalare a Mark Zuckerberg l’elenco completo dei propri contatti telefonici presenti in rubrica?
– Non ditemi “non mettere in rubrica i numeri riservati”: significherebbe dire addio alla praticità di una rubrica e dover comporre a mano ogni volta questi numeri, e la mia idea è far vedere a WhatsApp solo i numeri degli utenti che già hanno WhatsApp.
Una possibile soluzione a questo problema sarebbe fornire a WhatsApp una rubrica filtrata oppure una rubrica alternativa a quella reale. WhatsApp crederebbe di leggere tutti i numeri, ma in realtà ne vedrebbe solo una parte (o addirittura un elenco completamente separato da quello della rubrica reale). L’idea è che tutti i numeri in rubrica siano da considerare riservati (da non cedere a WhatsApp) per default.
Un’alternativa sarebbe trasferire la rubrica vera e integrale altrove (ma in modo che sia comunque accessibile per la composizione dei numeri senza doverli digitare) e mettere nella rubrica standard solo i numeri dei contatti WhatsApp.
Ho cercato un po’ in giro, ma non ho trovato soluzioni di questo genere, per cui mi affido al vostro vasto ed eterogeneo sapere. Se avete idee o proposte, parliamone nei commenti.
Ma le indagini degli utenti di Reddit (in particolare questa e questa) hanno rivelato che Dostupno è davvero difficile da considerare come un concorrente di WhatsApp o, a dire il vero, di qualunque app di messaggistica: il suo funzionamento “anche senza connessione Internet” si basa sul far squillare il telefono del destinatario un certo numero di volte e consente di mandare soltanto dieci messaggi preimpostati. Conversazioni? Foto? Non se parla nemmeno.
Le indagini (proseguite anche qui) rivelano poi che Dostupno è un colabrodo dal punto di vista della sicurezza e della privacy: il database che contiene i messaggi preimpostati dai vari utenti è accessibile a chiunque e quindi chiunque può “recuperare l’intera lista di numeri registrati, nonché di messaggi scambiati tra gli utenti dell’app, tutto rigorosamente memorizzato in chiaro, senza alcun tipo di criptazione“, spiega Lo_acker. E per un’altra app legata a Dostupno ci sono anche le password salvate in chiaro e liberamente scaricabili.
Il database di Dostupno è risultato talmente accessibile e mal protetto che qualcuno lo ha cancellato.
Ma la cosa più interessante è la reazione dei due creatori di Dostupno: un comunicato stampa che è davvero difficile leggere senza chiedersi se abbiano mai visto o sentito parlare di un corso base di comunicazione al pubblico. Anche perché a dicembre 2018 i creatori avevano pubblicato un altro comunicato con frasi come “Le parole che trovano il luogo nelle idee di un gruppo di persone che lavora allo scopo di trasformare i sogni dalla realtà virtuale in quella reale, rendendo possibile l’impossibile ai limiti del surreale”.
E questo è solo l’inizio, perché i video di presentazione di Dostupno sono talmente malfatti e amatoriali, con audio distorto e incomprensibile, da rappresentare una nuova frontiera del kitsch informatico. Considerate per esempio Dostupno sempre con te ita (sic), che inizia con un cantante che per un minuto e 50 secondi… beh, guardate il video.
A 1:50 compare (non si capisce perché) una signorina in bikini, e poi si sente una voce registrata malissimo che dice “I messaggi sono gratuiti” con il tono di voce di qualcuno che si è appena svegliato o sta recitando sotto la minaccia delle armi. Il resto del video è altrettanto sconnesso, con la partecipazione di vari fruttivendoli. Non sto scherzando.
Oppure provate a guardare la “presentazione” dell’app: ventisei minuti di una persona ripresa in controluce che parla in modo incomprensibile a causa della registrazione pessima.
La qualità dell’audio e delle voci sembra essere un problema ricorrente dell’azienda IF Inspreifon che sta dietro a Dostupno: provate ad ascoltare le descrizioni sonore che trovate qui nella sezione “Chi siamo” del sito aziendale. A quanto pare un microfono decente e uno speaker non narcotizzato sono al di sopra del budget. L’inglese, poi, è particolarmente esilarante: meno male che si tratta di “Personale qualificato con conoscenza linguistica di tutto il mondo”.
Dovrebbe essere abbastanza ovvio, con premesse come queste, che non solo Dostupno non è l’anti-WhatsApp, ma è l’antitesi di ogni regola basilare di programmazione, di gestione della privacy e di professionalità. Se avete affidato a quest’app i vostri dati, è molto probabile che siano sparsi per tutta Internet insieme a quelli degli altri cinquantamila utenti che incautamente hanno installato quest’app davvero bizzarra.
Morale della storia: installare qualunque app di provenienza sconosciuta solo perché promette di far risparmiare è un pessimo modo di gestire i propri dati. Tenetelo a mente la prossima volta che qualcuno vi offre qualcosa gratis.
2019/02/23 17:20 Gli autori di Dostupno mi diffidano
Ho ricevuto via mail una diffida redatta da un avvocato che dichiara di rappresentare i due creatori di Dostupno. Trovate tutti i dettagli in questo mio articolo.
