Iscriviti per ricevere una notifica ogni volta che pubblichiamo un articolo che non puoi davvero perderti! Disturbiamo poco, informiamo molto.
Sappiamo bene che su Android le minacce alla sicurezza non sono mai una sorpresa – non a causa del sistema operativo in sè, ma per via della sua estrema diffusione che ne causa la trasformazione in un obbiettivo sensibile e d’interesse per le comunità di hacker di tutto il mondo. Questa settimana però l’attività è stata particolarmente intensa: dallo scandalo-privacy di OnePlus, scoperta a collezionare dati sensibili degli utenti (tra cui numeri di telefono, IMEI e così via) sino ai nuovi malware ed adware su Google Play e non solo, abbiamo trovato ben 12 minacce alla sicurezza ed alla privacy di cui dovreste tenere conto questa settimana.
Siete pronti per scoprirle tutte?
(Potete navigare tra le sezioni cliccando o tappando sui pulsanti rossi posti qui sotto)
Privacy
Smartphone & dispositivi
#1 – I Google Home Mini rischiano di uscire dal mercato prima ancora di entrarvi
Quando l’azienda di Mountain View ha presentato all’evento dello scorso 4 ottobre i Google Home Mini – che, insieme ai Google Home Max, rappresentano la nuova linea low-cost e high-end dei prodotti per smart home di Google – certamente non poteva immaginare che questi stessi dispositivi avrebbero rischiato di uscire dal mercato senza nemmeno averci messo piede.
Nel caso remoto in cui dovesse capitare, l’azienda non potrà che incolpare sè stessa: come riportato da Android Headlines, dieci gruppi promotori di una maggiore difesa della privacy (raggruppati nella Consumer Product Safety Commission (CPSC) che include l’Electronic Privacy Information Center (EPIC), il Consumer Federation of America (CFA) e il Center for Digital Democracy (CDD)) hanno infatti chiesto la revoca della commercializzazione del prodotto a causa di un malfunzionamento ai sensori che provocava gravi lesioni della privacy altrui.
A rilevarlo non sono stati cittadini qualunque, ma gli stessi recensori che avrebbero dovuto tessere le lodi del Google Home Mini e che invece hanno più volte notato l’avvio automatico ed involontario del dispositivo – dunque senza alcun tipo di interazione da parte dell’utente – che provocava la ricezione, ed in alcuni casi la registrazione delle conversazioni circostanti. Questo naturalmente ha suscitato preoccupazioni e vive perplessità, tanto da spingere la compagnia a specificare come il problema si fosse presentato solamente in un numero ristretto di Google Home Mini, e che in ogni caso un successivo update avrebbe provveduto a risolvere il bug.
La CPSC non è però così sicura che Google sia in grado di gestire efficacemente la situazione chiedendo così la rimozione dal mercato degli smart assistant del Google Home Mini, incoraggiando al contempo una più profonda riflessione sull’impatto di questa tipologia di device sulla privacy dei consumatori.
#2 – I carrier telefonici forniscono i dati dei propri clienti a chiunque possa permetterseli
I gestori telefonici non sono mai stati i migliori amici degli utenti Android, ma ultimamente la fiducia nei loro confronti sembra essere stata particolarmente intaccata da recenti scandali di privacy e di rispetto delle regole del libero mercato.
Se in Italia infatti carrier come Vodafone e TIM vengono sanzionate per via di pratiche considerate scorrette nella gestione dei piani tariffari o del sistema di organizzazione delle offerte, negli USA i problemi sembrano essere più gravi.
Non soltanto infatti lo scorso anno Verizon – uno dei principali gestori del Paese, insieme ad AT&T e T-Mobile – venne scoperta, sanzionata e mediaticamente linciata per la rilevazione, da parte della FCC, di un sistema di tracciamento delle attività di rete dei propri utenti senza che questi avessero mai concesso il proprio consenso in merito, ma oggi la situazione non sembra essere mutata nonostante i processi, le cause e le proteste intentate dalle associazioni di settore.
Il sito Tech Crunch in seguito alla segnalazione del ricercatore Philip Neustrom ha infatti scoperto la presenza di enormi database nelle mani di alcuni carrier minori accessibili a pagamento da parte di clienti privati e pubblici, nei quali vengono archiviate le principali informazioni personali dei propri utenti e i sistemi di tracciamento ad essi associati. Anche se in parte il loro utilizzo potrebbe avere finalità legittime – come, per esempio, la verifica dell’identità da parte della banca di cui l’utente è cliente nel momento del suo primo accesso al proprio conto tramite un nuovo smartphone – è stato verificato che difficilmente tali servizi si preoccupino a loro volta di controllare l’affidabilità del cliente a cui tali informazioni vengono vendute. Generando dunque un circolo vizioso in cui l’unico sconfitto è – ancora una volta – il consumatore.
Social Network & Social Media
#3 – Arriva su Facebook la nuova truffa dei Contatti Fidati
Nonostante si tratti di una funzionalità introdotta da almeno due anni, veramente pochi utenti conoscono la modalità di recupero delle credenziali denominata “Contatti Fidati”.
Accedendo alle “Impostazioni” del social network > “Protezione e accesso” è infatti possibile notare un’opzione relativa alla segnalazione alla piattaforma di un numero variabile da tre a cinque contatti – registrati su Facebook, naturalmente – che in caso di necessità potranno aiutarvi a recuperare i dati d’accesso. Il meccanismo alla sua base è molto semplice: al momento dell’attivazione della modalità, Facebook invierà tramite questi tre/cinque contatti una porzione di codice e un URL via email, da inserire poi nel portale d’accesso dedicato – così di riacquistare il controllo dell’account in caso di smarrimento della password o delle principali opzioni di recupero dei dati di login.
Stando alle segnalazioni di The Next Web, un nuovo malware utilizza proprio la modalità Contatti Fidati per spingere l’utente a fornire all’hacker la chiave d’accesso al proprio profilo. Partendo dal presupposto che l’infezione sembri veicolarsi tramite account già colpiti dal virus, la vittima solitamente riceve un messaggio da un profilo amico in cui si chiede di controllare l’email per via dell’invio del già citato codice ed URL di sicurezza. L’email che però l’utente troverà nella propria casella non sarà relativa alla modalità Contatti Fidati, bensì al più comune servizio di recupero della password.
Il malware spera infatti che l’utente, non accorgendosi della differenza di contenuto tra quanto riportato nel messaggio e quanto effettivamente scritto nell’email del social network, per disattenzione o fretta si riduca ad inviare alla falsa vittima/hacker il codice d’accesso temporaneo al profilo, garantendogli così la possibilità di impostare una nuova password ed espellendo il legittimo proprietario dell’account dalla sessione in corso.
Il metodo più semplice di prevenzione, in caso di strane richieste da parte di profili amici, è di contattare i mittenti di tali messaggi e chiedere loro spiegazioni in proposito.
#4 – WhatsApp rivela le tue abitudini, e non puoi farci niente
Ed è sempre stando a The Next Web che sarebbe una vulnerabilità, irrisolvibile, a mettere questa volta a repentaglio la privacy degli utenti della popolare applicazione di messaggistica WhatsApp.
Si tratta di una querelle vecchia di anni: la possibilità che la modalità di visualizzazione dello status “Online” degli utenti concede ad eventuali spioni ben equipaggiati di controllare le abitudini degli utenti coinvolti. A dimostrare la fattibilità della procedura è stato Rob Heaton, programmatore che già in passato aveva condotto similari ricerche, sempre su WhatsApp. Dopo aver infatti sviluppato un’estensione maligna per Chrome capace di monitorare gli orari d’accesso a WhatsApp Web degli utenti che ne avessero eseguito il download, Heaton è stato in grado di sviluppare un grafico delle abitudini di conversazione, arrivando a desumere anche gli orari abituali di sveglia, riposo, pranzo e così via.
Non solo: mettendo a confronto le conversazioni tra due contatti, è possibile anche scoprire il livello di intimità tra due profili analizzandone la frequenza di conversazione sulla base dell’orario d’accesso contemporaneo.
Questa tipologia di dati può essere estratta servendosi di modalità illegali, così come operato da Heaton, ma anche legali – ossia da parte dell’applicazione stessa, qualora fosse previsto dai TOS – e successivamente vendute a centri pubblicitari e promozionali per l’elaborazione di campagne di vendita di prodotti.
Aziende & Servizi
#5 – OnePlus scoperta a collezionare dati sensibili sugli utenti
Si è trattata solamente di una “infelice scoperta“, così come i vertici della società vorrebbero che gli utenti interpretassero quanto accaduto nelle scorse ore, oppure OnePlus è stata veramente scoperta con le mani nella marmellata o, meglio nel traffico di informazioni?
Qualunque sia la prospettiva che decidiate di adottare, non si potrà negare il fastidio generato nella Rete nel momento in cui il programmatore Christopher Moore ha scoperto – per caso, tra le altre cose – che il proprio smartphone OnePlus era solito inviare alla società dati e statistiche sin troppo dettagliate. Dopo aver messo sotto osservazione il traffico telefonico del proprio device per via di un hackaton a stava partecipando, Moore si è insospettito riguardo la grande quantità di informazioni personali (tra cui indirizzo MAC, numero di cellulare, rete WiFi e così via) che lo smartphone consegnava ai server della società non solo in seguito ad un crash del software, ma anche in ogni occasione l’utente avviasse un’applicazione.
Interrogata in merito e travolta dalle accuse di “spionaggio“, l’azienda ha prima specificato che i dati raccolti facevano parte di un servizio volto a migliorare l’esperienza utente nella fase post-vendita, per poi accogliere le richieste di una minore intrusività della propria ROM promettendo che, per la fine di ottobre, ogni utente OxygenOS sarà in grado di interrompere il flusso di dati attraverso un semplice e chiaro pop-up. Fino ad allora, se siete in possesso di un device OnePlus potrete semplicemente accedere a “Impostazioni” > “Avanzate” e qui disattivare la voce “User Experience Program“. Che abbia agito in malafede oppure no – e indipendentemente dai comportamenti analoghi attuati da quasi tutte le società produttrici di smartphone -, certamente OnePlus ha perduto parte della fiducia accordatale in quanto azienda partita “dal basso“, e dunque vicina ai sentimenti e desideri dell’user base.
#6 – PureVPN è davvero così sicura come sembra?
Avevamo segnalato qualche settimana fa un report riguardante le reti VPN (o Virtual Private Network) su Android, che dipingeva a tinte decisamente fosche quello che dovrebbe essere il principale e più sicuro sistema di difesa per smartphone e che invece si rivela essere il più delle volte una truffa, se non un malware.
Una rete VPN per definizione si occupa del filtraggio della rete in uscita ed entrata dallo smartphone (a differenza dei firewall), potendo così visualizzare ogni contenuto visitato dall’utente con tanto di orari d’accesso (i cosiddetti “logs“), posizione geografica e molto altro ancora. Le reti VPN più affidabili (che abbiamo elencato QUI) dispongono di solide privacy policy che mettono al sicuro le coscienze dei consumatori, ma può capitare che quanto riportato in tale documento non corrisponda al vero.
“We Do Not monitor user activity nor do we keep any logs. We therefore have no record of your activities such as which software you used, which websites you visited, what content you downloaded, which apps you used, etc. after you connected to any of our servers.“
PureVPN privacy policy
Ed è quasi per caso che The Next Web ha scoperto indizi alquanto evidenti sulla contradditorietà della privacy policy di PureVPN, a contrasto con gli eventi di cronaca riportati dal quotidiano The Register: stando ai fatti raccontati, l’FBI si sarebbe servita dei log d’accesso di un sospettato di stalking per provare l’attività persecutoria online nei confronti di una propria ex-fidanzata. Un episodio a lieto fine, che però non sarebbe potuto (o dovuto) accadere se i log forniti da PureVPN non fossero esistiti proprio come scritto nella privacy policy ufficiale del servizio, che nominalmente non registra alcuna attività dei propri clienti ma che in realtà sembra monitorare qualsiasi attività online, e di essere disposta a fornire tali dati alle forze dell’ordine in caso di richiesta.
Edward Snowden is not amused.
Sicurezza & malware
Estensioni di Chrome
#7 – Ldi, l’estensione di Chrome (falsa) che crea Bicoin (veri) senza consenso
Nonostante il Play Store venga solitamente considerato come uno store con problemi di sicurezza sui quali Google dovrebbe intervenire, a ben vedere c’è un altro market online, sempre gestito da Mountain View, che avrebbe bisogno di una versione personale di Google Play Protect.
Stiamo parlando del Chrome Web Store, dove vengono caricate e messe a disposizione degli utenti del più diffuso browser Windows tutte le estensioni dedicate all’espansione dell’esperienza utente. Ma non tutte le estensioni sono realizzate con l’obbiettivo di fornire un servizio, anzi: questa settimana gli analisti di Bleeping Computer hanno potuto osservare il comportamento di un’estensione malevola, chiamata Ldi, che trasformava i PC delle vittime in anelli della catena digitale necessaria per la realizzazione di bitcoin – il cosiddetto “mining”.
L’estensione Ldi veniva segnalata e promossa all’interno di determinati siti web nella forma del classico banner Javascript pop-up, la cui disattivazione non ne provocava la chiusura ma al contrario attivava l’apertura della pagina d’installazione nel Chrome Web Store. Naturalmente non c’era motivo per procedere alla sua installazione – niente icona, nè screenshot, ma solamente una blanda descrizione che recitava: “Wondering if your homepage is compatible with Mac? Check it with Ldi.” Qualora però la vittima fosse stata tanto ingenua da proseguire con il download, avrebbe scoperto a sue spese i guai che conseguono lo scaricamento di programmi web da fonti dall’attendibilità sconosciuta.
Non soltanto infatti Ldi avviava immediatamente lo script Javacript Coin-Hive per la trasformazione del PC infetto in un miner di criptovaluta, assorbendo quasi il 98% della CPU, ma si serviva sempre di script analoghi per utilizzare l’email GMail dell’utente per la registrazione di domini fasulli. Questo naturalmente senza il consenso della vittima: l’estensione infatti acquistava i nuovi domini a proprio nome; al momento però della creazione di un profilo utente sulla piattaforma di compravendita, prelevava le informazioni necessarie dall’account Google dell’utente – sempre che questi avesse mantenuto attiva la sessione. Non solo: le email di conferma venivano aperte e autenticate in automatico – un processo veloce, semplice e soprattutto a totale insaputa della vittima.
Fortunatamente, Ldi è stata già rimossa dal Chrome Web Store.
#8 – L’adware-copia dell’estensione AdBlock Plus truffa quasi 40.000 utenti
È stato un attacco preciso, intelligente, veloce; sicuramente però non è stato così silenzioso come probabilmente i suoi sviluppatori speravano accadesse: grazie infatti all’intervento del popolare account Twitter @SwiftOnSecurity – dedicato alla segnalazione di emergenze digitali sulla sicurezza – la minaccia è stata scongiurata.
Google allows 37,000 Chrome users to be tricked with a fake extension by fraudulent developer who clones popular name and spams keywords. pic.twitter.com/ZtY5WpSgLt
— SpookyTayOnSecurity (@SwiftOnSecurity) 9 ottobre 2017
Ma non prima che avesse potuto mietere già 37.000 vittime: stiamo parlando dell’estensione AdBlock Plus che, regolarmente posizionatasi sul Chrome Web Store, si proponeva come la legittima versione del popolare AdBlocker per browser fissi e mobili. AdBlock Plus – a differenza di Ldi – disponeva di una pagina sul Chrome Web Store piuttosto credibile, di recensioni positive (probabilmente rilasciate da account fasulli) che avevano portato così tanti utenti al suo download. Paradossalmente, non sono ancora chiare le conseguenze dell’installazione di questo trojan, anche se alcuni report indicano l’avvio indiscriminato di banner audio e video in nuove schede del browser a tutto volume.
Se volete verificare di aver scaricato la versione originale dell’estensione, vi sarà sufficiente tappare sul menu a tendina di Chrome e procedere su “Altri strumenti” > “Estensioni” e da qui cliccare sulla voce “Dettagli” di AdBlock Plus; se, cliccando su “Visualizza nello store”, verrete reindirizzati a QUESTA pagina, allora non dovete preoccuparvi.
(Inoltre vi chiediamo gentilmente di inserire appelmo.com nella vostra whitelist: con noi le pubblicità sono poche, poco invasive e ci aiutano a pagare i server e continuare la nostra attività; grazie mille!)
Applicazioni & malware
#9 – DoubleLocker, il ransomware che con un PIN ruba per sempre i dati del telefono
Resosi famoso per la propria parentela con un altro, diffuso malware (BankBot), DoubleLocker è il ransomware che può interrompere – e per sempre – l’accesso ai dati contenuti nello smartphone della vittima, sostituendosi al launcher del device una volta scaricato ed ottenuto i permessi desiderati ed impostando una password quasi impossibile da oltrepassare, eliminare, superare.
Potete scoprirne di più nel nostro report dedicato.
#10 – Avast e Waze diventano adware su Google Play
Anche le grandi firme possono cadere vittima della propria, stessa popolarità: è il caso di Waze, la celebre applicazione per gli spostamenti di Google, e di Avast – che paradossalmente è un antivirus per smartphone, e che in questo caso diventa uno specchietto per le allodole per il download di adware e malware. A scoprire la minaccia è Lukas Stefanko, manager di ESET – stesso scopritore del ransomware DoubleLocker – che segnala su Twitter la presenza su Google Play dei cloni delle due app, entrambi dotati di un aspetto molto simile a quello delle app ufficiali.
Fake app impersonates "Avast Internet Security" on #GooglePlay. Fake @avast_antivirus wants 5★ rating and displays excessive amount of ads. pic.twitter.com/KaXtv20UlK
— Lukas Stefanko (@LukasStefanko) 10 ottobre 2017
Sia la descrizione delle due app che gli screenshot allegati possono infatti trarre in inganno l’utente meno navigato, portandolo poi al download di file infetti che svolgono tutt’altro lavoro. Fortunatamente pare che Google abbia già proceduto alla loro rimozione – ma la loro presenza è comunque un’altra crepa sul muro che Google Play Protect avrebbe dovuto realizzare contro l’intrusione di virus nello store di app ufficiale di Android.
#11 – Cuphead arriva su Android, ma non per davvero
Anche Cuphead, il famoso gioco indie che in queste ultime settimane ha saputo guadagnarsi una grande popolarità, è diventato oggetto delle attenzioni degli sviluppatori di malware. Su Google Play si sono infatti moltiplicati le guide e le app-clone di un gioco che ancora non ha annunciato alcun progetto di sbarco su Android, e che nella più grande totalità dei casi nascondono al proprio interno trojan, adware e spyware.
Non solo naturalmente vi invitiamo dal diffidare di simili applicazioni, ma anche di segnalarne la presenza a Google.
Vulnerabilità & exploit
#12 – Il 41% degli smartphone Android è suscettibile alla nuova, temibile vulnerabilità del WiFi
Avete cercato per tanto tempo di ottenere l’ultimo aggiornamento di Android? Forse la vostra fretta è stata cattiva consigliera, o forse – più semplicemente – siete caduti vittime di una nuova vulnerabilità, scoperta quest’oggi da un gruppo di ricercatori che ha dimostrato come i livelli di protezione WPA e WPA2 delle reti WiFi siano attaccabili e superabili in un numero impressionante di modalità.
Si tratta di una vulnerabilità di ampia portata, i cui effetti potrebbero ripercuotersi per anni: nonostante colpisca indiscriminatamente tutti i più popolari sistemi operativi fissi e mobili (tra cui anche Mac OS, Windows e iOS) sembra che Android e Linux siano le piattaforme più suscettibili agli attacchi dimostrati dai ricercatori, includendo tutti i device Android Marshmallow 6.0 e superiori nella lista degli obbiettivi a rischio. Con il 41% degli smartphone indicati come target potenziali, non c’è dubbio che i produttori (insieme a Google, che ha già affermato di essere al lavoro per una soluzione) si adopereranno per l’invio di patch correttive nelle prossime settimane, anche se è probabile che solamente gli exploit più letali verranno risolti.
La vulnerabilità va infatti a colpire i due protocolli crittografici WPA e WPA2 non durante la trasmissione delle informazioni, ma nel momento del 4-way handshake, ossia quando la rete WiFi e lo smartphone confrontano le password in proprio possesso per verificare l’accesso alla rete. Così facendo un hacker sarebbe in grado di controllare, accedere e modificare ogni dato inviato tramite la suddetta rete, compresi coordinate bancarie, codici d’accesso, password, chat e così via.
Per proteggersi, vi possiamo suggerire di seguire i nostri Saggi Consigli per la protezione della privacy online, che vi aiuteranno ad abilitare la modalità HTTPS Everywhere che aumenterà il livello di crittografia della connessione; ma dato che non si tratta di una difesa sufficiente alla minaccia, è consigliabile anche scaricare una di QUESTE reti VPN per la messa in sicurezza della rete in entrata ed uscita.
Preoccupato per la tua sicurezza? Scopri QUI tutti i Saggi Consigli per evitare virus su Android!
Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a [email protected], e dai un’occhiata QUI per le modalità di contatto. Non essere timido!
Se non volete perdervi nè le prossime News nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).
Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!
