Le settimane non sono tutte uguali, sia per le persone comuni che ogni lunedì mattina si alzano dal letto per andare al lavoro, sia per le aziende (che fanno lo stesso, solo più in grande): per OnePlus non è scorretto dire che gli scorsi sette giorni siano corrisposti con una serie di debacle sul piano della privacy da cui difficilmente riuscirà a rialzarsi. Al contempo Android ha sperimentato l’arrivo di tre nuovi malware ed una serie di guai legati alla protezione dei dati personali degli utenti che hanno chiamato in causa sia il sistema operativo, sia le aziende che vi lavorano e guadagnano attraverso.
Siete pronti per scoprire tutto ciò che è accaduto negli scorsi sette giorni su privacy, sicurezza e dati personali?
NB: usando i cursori verdi potrete navigare tra le due sezioni dell’articolo.
Privacy
Smartphone & Dispositivi
Gli smartwatch per bambini sono un pericolo per la privacy, e vanno distrutti
La risoluzione potrà sembrare forse eccessiva, ma è segno della grande importanza che la Bundesnetzagentur, l’ente per la regolamentazione delle telecomunicazioni tedesco, ha deciso di dare al caso degli smartwatch “spioni”, accusati dalle autorità germaniche di spiare i propri clienti.
Sembrerebbe trattarsi di uno dei tanti episodi di utilizzo malevolo di software e/o hardware – l’ultimo dei quali ha visto protagonista Lovesense, una casa di produzione di sex-toys intelligenti scoperti a spiare i “test del prodotto” tramite la propria app. Solamente che gli smartwatch in questione erano indirizzati ad un pubblico dall’età compresa tra i 5 ed i 12 anni, rendendo dunque il crimine ancora più odioso, e che alla sbarra degli imputati non erano state poste le società produttrici, bensì i genitori dei bambini stessi – rendendo dunque il crimine sempre più strano. Secondo la Bundesnetzagentur tutti gli smartwatch in possesso di una SIM, e capaci di effettuare chiamate senza che l’utente (o il bambino) sia in grado di rendersene conto, vanno eliminati poichè i genitori se ne sarebbero serviti per spiare ed ascoltare gli insegnanti all’interno degli edifici scolastici.
Core de mamma e privacy tedesca non vanno d’accordo, ma siamo contenti di trovare un ente capace di assumere con la dovuta gravità i pericoli per la privacy posti dall’Internet of Things.
Aziende & Servizi
OnePlus ha “dimenticato” un’app che permette di rootare uno smartphone in pochi minuti
OnePlus è una società che negli ultimi anni ha guadagnato una discreta, per non dire soddisfacente reputazione presso il proprio segmento d’utenza, ma che potrebbe perderla in un lasso di tempo molto più breve dopo l’eclatante scoperta di un’app capace di effettuare il root del dispositivo in pochi minuti, e senza dover sbloccare il bootloader primariamente.
<Thread> Hey @OnePlus! I don't think this EngineerMode APK must be in an user build...🤦♂️
— Elliot Alderson (@fs0c131y) 13 novembre 2017
This app is a system app made by @Qualcomm and customised by @OnePlus. It's used by the operator in the factory to test the devices. pic.twitter.com/lCV5euYiO6
L’applicazione in questione è EngineerMode, che normalmente viene utilizzata dagli ingegneri della società per sessioni di testing in fase di produzione e viene fornita direttamente da Qualcomm (l’azienda produttrice dei chipset dei principali smartphone Android); l’app è stata mantenuta all’interno degli ultimi modelli dell’azienda (OnePlus 3, 3T e 5) per via di una dimenticanza, dato che solitamente si procede con la sua rimozione al momento della vendita del prodotto finito Stando a quanto scoperto dal giovane programmatore Elliot Anderson, EngineerMode sarebbe capace di ottenere i permessi di root senza sbloccare il bootloader servendosi semplicemente di alcuni comandi inviati tramite l’Android Debug Bridge (meglio conosciuto come ADB) che, va detto, richiede la connessione fisica del dispositivo al PC dal quale vengono digitate le istruzioni di avvio.
L’operazione viene completata dall’inserimento di una semplice password (nel caso specifico: “angela”) che esegue il rooting del device; normalmente si sarebbe trattata di una feature più che apprezzata, ma la presenza non annunciata di EngineerMode, insieme alla possibilità che un malware se ne possa servire per rootare il device della vittima e farlo proprio ha spinto l’utenza a protestare vivamente contro OnePlus. Che è dovuta correre ai ripari con un aggiornamento OTA che ha privato l’applicazione della facoltà di effettuare il root.
OnePlus ha “dimenticato” un’altra applicazione (questa volta per spiare le attività degli utenti)
Non erano passati che pochi giorni dalla scoperta di EngineerMode che Elliot Anderson ha trovato all’interno del proprio device una seconda vulnerabilità del software che espone la privacy degli utenti a qualunque malfattore riesca a metterci le mani sopra.
So if I summarise:
— Elliot Alderson (@fs0c131y) 15 novembre 2017
1. By dialling a number and clicking on a button everybody can record your media, BT logs, Wifi logs, GPS logs,...
2. All this stuff are stored unencrypted in the sdcard
3. Any apps with the READ_EXTERNAL_STORAGE can read these files
Si tratta dell’OnePlusLogKit: un’app (disabilitata di default) mantenuta all’interno delle righe di codice del sistema che, se attivata, sarebbe in grado di tenere traccia di un numero impressionante di attività. Connessioni WiFi, GPS, Bluetooth o NFC sono completamente alla portata dell’app e, grazie alla classe GrabOtherActivity, è persino in grado di scaricare tutti i file multimediali salvati nel device. Qualora fosse stata anch’essa dimenticata accidentalmente nel software – un errore che ci ricorda di un altro episodio: quando OnePlus fu scoperta raccogliere un gran numero di dati personali dei propri utenti – siamo rimasti basiti davanti alla facilità con cui un utente può procedere alla sua attivazione.
Sarà sufficiente infatti digitare il codice *##800## nel dialer per accedere ad un menu nascosto e da qui selezionare la voce “GetWirelessLog”. Naturalmente, così come un utente anche un malware potrebbe attivare (di nascosto) quest’app: è sufficiente infatti possedere il permesso READ_EXTERNAL_STORAGE – visto che le informazioni sono archiviate completamente in chiaro, senza crittografia di sorta.
Huawei installa “per errore” (e senza il consenso degli utenti) un nuovo bloatware
Ma gli utenti OnePlus, questa settimana, sono in buona compagnia: Huawei ha infatti provveduto ad installare su alcuni dei principali modelli distribuiti in Europa (principalmente il Mate 10 Pro e l’Honor 9, ma ci sono segnalazioni su device differenti) l’app per l’editing video Quick, realizzata da GoPro.
Naturalmente l’installazione della suddetta app – avviata senza il consenso dei proprietari – ha suscitato una viva reazione di protesta da parte delle vittime italiane, spagnole, olandesi che l’hanno improvvisamente trovata nell’app drawer. Huawei Netherlands si è scusata ai microfoni di Android Planet citando un “errore tecnico”, e promettendo la rimozione dell’app tramite un aggiornamento successivo. Che sia stato un abbaglio oppure no, possiamo considerare questa svista come una prova generale per il prossimo aggiornamento EMUI 5.1, che vedrà Quick come app di sistema quale frutto della nuova partnership con l’azienda.
App & Social Media
UC Browser espulsa dal Play Store
Come un fulmine a ciel sereno, UC Browser è stato espulso dal Play Store. L’applicazione, gestita dalla compagnia cinese Alibaba tramite la controllata UCWeb, è stata cacciata senza tanti complimenti da Google Play subendo un ban di 30 giorni per violazione dei TOS dello store, senza che però siano state fornite maggiori delucidazioni in merito.
“The exact reason for UC Browser’s unavailability on Google Play is because of a certain setting of UC Browser that was not in line with Google’s policy. The reason for the removal has nothing to do with alleged data security breach or malicious promotion.”
Nè Google nè UCWeb Inc. hanno infatti spiegato le ragioni dell’avvenimento: la prima ha risposto ai cronisti dell’Economic Times di essere solita bannare unicamente le app che falliscano nel fornire “a safe and positive experience for users.” La seconda invece si è limitata a citare “alcune impostazioni di UC Browser che non erano in linea con la policy di Google”. A gettare ulteriore benzina sul fuoco è stato il profilo Twitter di un sedicente sviluppatore di UC Browser, chiamato Mike Ross, che avrebbe addotto quale motivazione del ban la visualizzazione di pubblicità improprie, identificate e segnalate a Google. L’azienda cinese ha affermato di non conoscere nessuno sviluppatore con questo nome, ma ha comunque mantenuto il riserbo sulle vere motivazioni dell’espulsione.
Sicurezza & Malware
Applicazioni & Malware
TOASTAMIGO è il nuovo malware che si spaccia per App Locker
CHE COS’È Qualche settimana fa vi avevamo parlato dell’Android Toast Overlay Attack, ossia una vulnerabilità di Android il cui perno ruota attorno la possibilità da parte delle app presenti su Google Play di sfruttare i permessi di scrittura in overlay. Ogni app che sia stata caricata con successo sul Play Store gode automaticamente dei permessi SYSTEM_ALERT_WINDOW e BIND_ACCESSIBILITY_SERVICE – e, nelle mani di un malware, si tratta di un’arma molto potente: l’app maligna sarebbe così in grado di ricreare pop-up informativi (le cosiddette “Notifiche toast”) nascondendo però quanto visualizzato al di sotto della notifica, e portando l’utente ad accettare l’installazione di app o la concessione di permessi di cui non è veramente consapevole, e che spesso portano alla diffusione completa dell’infezione.
COME ATTACCA GLI SMARTPHONE I malware Android sono noti per le capacità di mimetizzazione, ma TOASTAMIGO è sicuramente uno dei più originali: l’app infatti si era mascherata da App Locker e diffusa su Google Play sotto diversi nomi – uno dei quali aveva totalizzato tra le 100.000 e 500.000 installazioni al momento dell’espulsione. Dopo l’installazione, TOASTAMIGO si sforzava di assumere un atteggiamento realistico, mostrando una UI credibile e chiedendo all’utente di interagire con alcuni pop-up, che in realtà nascondevano al di sotto della superficie visibile le richieste d’installazione di un secondo malware e la concessione di alcuni permessi fondamentali. Da qui, TOASTAMIGO era in grado di installare ulteriori file APK, impedire agli antivirus già presenti di funzionare correttamente o di interrompere la propria disinstallazione.
COME DIFENDERSI L’unico vero modo per difendersi da TOASTAMIGO consiste nell’acquisto di un device Android 8.0 Oreo, l’unica versione che dispone di un sistema avanzato di permessi che impedisce l’accadimento di situazioni di questo genere. Altrimenti, vi suggeriamo di leggere QUI la nostra guida sulle app false presenti su Google Play (e come riconoscerle).
Un nuovo bankbot modulare si intrufola su Google Play
CHE COS’È I malware modulari sono la nuova frontiera dei virus che vogliono – e soprattutto riescono – intrufolarsi all’interno del Play Store. Dato che Google Play Protect sarebbe in grado di identificare un’app apertamente contaminata da codice malevolo, queste si assicurano che ogni controllo venga superato crittografando il contenuto sospetto, e lasciando alla libera interazione di utenti e supervisori tutto il resto.
COME ATTACCA GLI UTENTI Questo nuovo bankbot (distribuito sottoforma di varie applicazioni che, per fortuna, complessivamente non avevano superato il migliaio di installazioni) si distingue per la struttura modulare che, dividendo in quattro stadi la fase di contagio, gli permette di superare incolume qualsiasi procedura di sicurezza finora adottata da Google Play. Si tratta di una successione di passaggi: al momento del download infatti il primo stadio viene decrittografato ed avviato, pur mantenendo attivo il funzionamento di base dell’app che continua a servire da mascheramento – per evitare che l’utente si insospettisca. Dopodichè si procede con il secondo stadio, che esegue il download di un file APK maligno travestito da aggiornamento di sistema o da update di Adobe Flash Player – nonostante non sia più supportato su Android da anni. Qualora l’utente decida ingenuamente di acconsentire all’installazione, si procede con il terzo ed il quarto stadio, durante i quali il bankbot cerca di ottenere le credenziali d’accesso all’account bancario della vittima simulando una schermata d’accesso al relativo portale online.
COME DIFENDERSI Nonostante il malware si sia diffuso principalmente in Olanda (l’URL malevolo era confezionato tramite l’URL Shortner bit.ly, che ha permesso di analizzare la provenienza geografica delle vittime), non è da escludere che qualche caso abbia raggiunto anche l’Italia. Vi suggeriamo dunque di accedere a “Impostazioni” > “Sicurezza” > “Amministratori dispositivo”, e da qui controllare che nessuna app sospetta sia presente nell’elenco. Al contempo, sarà bene verificare che nessuna di queste app (MEX Tools, Clear Android, Cleaner for Android, World News, WORLD NEWS, World News PRO, Игровые Автоматы Слоты Онлайн or Слоты Онлайн Клуб Игровые Автоматы) sia presente nella lista delle app installate nel dispositivo.
La minaccia delle offerte WAP tornano con un nuovo malware-truffa
CHE COS’È Xafecopy è il nuovo malware che deruba l’utente utilizzando vecchi metodi: chi infatti non si ricorda delle tante vicissitudini causate dal WAP-billing? Ci stiamo riferendo al Wireless Access Protocol, una tecnologia che ha alimentato a lungo quella categoria di servizi che, negli anni ‘90, permetteva di accedere ad Internet e scaricare a pagamento contenuti di vario genere, dagli oroscopi alle suonerie. Definitivamente, scomparsi con l’avvento delle applicazioni, ora sono tornati con il malware Xafecopy.
COME ATTACCA GLI UTENTI Il malware Xafecopy è probabilmente il più subdolo avversario con cui dovrete confrontarvi – anche se ci auguriamo non debba accadere mai. Il virus infatti, una volta intrufolatosi all’interno del device della vittima sottoforma di app per il risparmio energetico, provvede ad iscrivere il numero di telefono del malcapitato utente a numerosi servizi WAP-billing, nelle due forme previste di fatturazione (per click, e per servizio). Nessuna perdita di dati personali dunque, ma “solo” (o, meglio: soprattutto) una forte perdita economica, dato che Xafecopy può iscrivere l’utente ad un numero illimitato di servizi grazie all’abilità di superare il RECAPTCHA di Google o gli SMS di conferma dell’attivazione, simulando pressioni fisiche sullo schermo del device.
COME DIFENDERSI La difesa più plausibile al momento consiste nell’avanzare al proprio operatore la richiesta di annullare qualsiasi iscrizione subita, in caso di contagio, e di procedere con la disattivazione permanente di qualunque servizio WAP-billing sul proprio numero, rendendo così impossibile l’iscrizione. Senza contare l’installazione di un buon antivirus.
Vuoi sapere quali sono i migliori canali Telegram? Scopri QUI tutti i vincitori del nostro concorso!
Vorresti scrivere per AppElmo? Mettiti in gioco: stiamo cercando collaboratori! Scrivi a myjob@appelmo.com, e dai un’occhiata QUI per le modalità di contatto. Non essere timido!
Se non volete perdervi nè le prossime Rassegne Stampa nè gli altri articoli di AppElmo (e sappiamo che non volete), allora potete iscrivervi alla nostra newsletter inserendo il vostro indirizzo email nel form qui in basso (tranquilli, vi assicuriamo che non vi invieremo spazzatura o spam; in caso contrario, vi saremmo immensamente grati se ci segnalaste il problema).
Oppure potete seguirci sulla nostra pagina Facebook, sul nostro account Twitter, sulla nostra pagina Google Plus, sulla nostra rivista Flipboard e sul nostro canale Telegram oppure, in alternativa, potete sempre scaricare la nostra app da Google Play, cliccando QUI o sull’immagine nella sidebar! Grazie mille!