iPhone a rischio privacy “Colpa dei super-aggregatori”

UN DATABASE di circa 75 milioni di utenti iPhone, ciascuno identificato dal codice seriale del proprio melafonino (UDID). Ma soprattutto, molti dei quali collegati al proprio account Facebook, in modo che dal codice dello smartphone, virtualmente anonimo, sia possibile risalire all’identità del suo proprietario. Tutto questo a disposizione di un singolo sviluppatore di applicazioni ma, per un lungo periodo di tempo, accessibile a chiunque via Internet. Il nuovo rischio privacy per gli utenti iPhone (e iPad) ha un nome piuttosto tecnico, oltre che oscuro: “deanonimizzazione dell’UDID”. Per spiegarlo, in realtà, basta una domanda: cosa succederebbe se uno sviluppatore iPhone, o una delle società che intercettano i dati di utilizzo delle app, potesse identificare gli utenti che usano le applicazioni, creando un database con i dati personali di ciascuno?

Ogni iPhone, come noto solo ai più esperti, conta su un codice unico (UDID) che, quando utilizziamo un’app in rete, viene inviato online e può essere registrato o inoltrato a terzi, anche senza la nostra autorizzazione. “Una ricerca – spiega sul suo blog Aldo Cortesi, esperto di sicurezza neozelandese di Nullcube – mostra che il 68% delle app invia “silenziosamente” l’UDID a server su Internet. Questo è spesso accompagnato da informazioni su come, quando e dove il dispositivo viene usato. La destinazione più comune per questo traffico è Apple, seguita dal network di analisi Flurry e dalla società di social gaming OpenFeint”.

“Queste compagnie – prosegue Cortesi – sono super-aggregatori di informazioni degli utenti collegate agli UDID, in quanto molte app usano il loro software. Dietro i tre grandi, ci sono migliaia di siti di sviluppatori, di server pubblicitari e di piccole società di analisi. La fortuna è che l’UDID del telefono non è collegato alla propria identità reale. Fosse possibile “deanonimizzarlo” si porrebbe un serio problema privacy. Apple ne è a conoscenza, e vieta esplicitamente agli sviluppatori di collegare pubblicamente UDID e account dell’utente”.

Questo fino a qualche settimana fa. Poi, chiediamo ad Aldo Cortesi, cos’è successo?
“Ho scoperto che è possibile collegare un UDID all’identità reale di un utente usando OpenFeint. Nello specifico, usando il codice seriale di un’iPhone, è possibile risalire al profilo Facebook dell’utente in circa il 10% dei casi. Oltre questo, si può ottenere la sua posizione GPS nel 30% dei casi, e altre informazioni potenzialmente identificatrici nel 20% dei casi. Se si considera che OpenFeint ha 75 milioni di utenti, questo è un problema”.

Come è riuscito a risalire a questi dati?
“Il mio lavoro consiste nel collaudare la sicurezza del software e dei dispositivi elettronici. In questo contesto ho scritto “mitmproxy”, un software che mi permette di intercettare il traffico web criptato. Ho usato mitmproxy sul mio iPhone per pura curiosità. E il problema con OpenFeint è stato subito ovvio: 5 minuti dopo sapevo di aver trovato una falla importante. Ho reso disponibile mitmproxy gratuitamente per diffondere tra gli sviluppatori la consapevolezza di questo rischio”.

Continua a leggere su Repubblica

Cellulari non intercettabili

Software spia: Apple ripara con iOs 4.3.3

L’aggiornamento è già disponibile su iTunes: i dati sulla posizione geografica dell’utente non verranno più conservati per un anno, ma si cancelleranno dopo una settimana. E l’opzione Location Services si può disabilitare
Apple risponde alle polemiche sul suo software spia-dati pubblicando tempestivamente l’aggiornamento al suo sistema operativo iOS 4.3.3, che contiene le modifiche da tempo promesse alla cache del database che raccoglie i dati sulla posizione geografica.

IOS 4.3.3 – disponibile su iTunes e compatibile con gli iPhone 3GS e iPhone 4, la terza e quarta generazione di iPod touch, iPad e iPad 2 – riduce le dimensioni della memoria del location database da un anno a circa una settimana, blocca il backup di memoria verso iTunes e cancella la cache completamente quando l’utente disattiva la funzione Location Services del device.

In pratica l’aggiornamento iOS 4.3.3 corregge quel software bug lamentato da Apple come causa della creazione del file di memoria che conservava “a tempo indeterminato” (fino a un anno, in realtà) i dati sulla posizione geografica dell’utente.

Ma IOS 4.3.3 non è solo una replica al fuoco delle polemiche dei giorni scorsi: Apple cerca di giocare d’anticipo rispetto all’udienza cui deve partecipare, insieme alla rivale Google, il 10 maggio presso il sottocomitato alla Privacy del Senate Judiciary Committee americano, che ha invitato le due aziende a illustrare il proprio punto di vista nel dibatito sulla mobile privacy e la raccolta dei dati personali.

Fonte: Corriere Comunicazioni

Apple: «Dentro ad iPhone solo le informazioni che servono a migliorare il servizio»

Apple a distanza di qualche giorno risponde ufficialmente alle accuse di “spiare” gli utenti di iPhone registrando la loro posizione attraverso il GPS. «Dentro ai nostri telefoni solo le informazioni che servono a migliorare la velocità del sistema di localizzazione. E non registriamo la posizione del telefono, ma solo quella della torri di telefonia e degli hot spot Wi-Fi». Basterà a spegnere le polemiche?

Apple non traccia la localizzazione dell’iPhone. Non l’ha mai fatto e non ha alcun piano di farlo; Apple registra la posizione degli utenti solo per fornire un migliore servizio ai suoi clienti. Quel che Jobs aveva detto in via ufficiosa con una email diventa ora un documento ufficiale, distribuito sotto forma di comunicato stampa lanciato solo alcuni minuti fa. La nota per i giornali, molto puntuale e dettagliata, è redatta sotto forma di domande e risposte che cercano di dissipare ogni dubbio e preoccupazione suscitate dalle notizia secondo cui negli iPhone sarebbe presente un file-registro che tiene nota di tutte le posizioni geografiche memorizzate dal GPS del cellulare.

Apple, dopo avere negato in maniera recisa di “tracciare” i possessori del suo telefono, fa una premessa che appare come una sorta di mea culpa: «fornire agli utenti mobili un veloce e puntuale localizzazione delle informazioni, cercando di preservare al massimo la sicurezza e la privacy è quel che stiamo facendo. Un abbinamento che suscita problematiche molto complesse e difficili da spiegare in poche parole. Se gli utenti sono confusi in parte è anche colpa nostra – dice Apple -; non abbiamo fornito abbastanza chiarimenti su questa vicenda fino ad oggi».

La ragione per cui esiste il log di registro, dice Apple è «per mantenere un database degli hot spot e delle torri di telefonia per aiutare iPhone a calcolare rapidamente e accuratamente la sua posizione quando viene richiesta e offrirla, invece che in un tempo che si calcola i minuti, in qualche secondo. Questo calcolo viene effettuato attingendo ad una database di hot spot Wi-Fi e torri di comunicazione che sono generati da decine di milioni di iPhone che mandano la loro posizione geolocalizzata in forma anonima e criptata direttamente ad Apple». Quel che Apple non fa è, appunto, tracciare gli utilizzatori del telefono. «Registriamo non la posizione dell’iPhone – dice il comunicato – ma quella degli hot spot e delle antenne di telefonia che possono essere anche a centinaia di miglia della posizione del telefono stesso e Apple non è in grado di identificare l’utente specifico il cui telefono sta mandando informazioni gelocalizzate». E la ragione per cui dentro ad iPhone ci sono grandi quantità di dati, fino ad un anno, deriva dal fatto che Apple manda al telefono una parte del suo database per aiutarlo a trovare più rapidamente la sua posizione «non si tratta di informazioni generate dal telefono – dice Apple – ma parte delle informazioni che generiamo sui nostri server».

Continua a leggere su Macity

Cellulari non intercettabili

Il telefono, la tua spia

Dal Giugno 2010, Apple ha aggiunto una nuova, apparentemente insignificante clausola alle direttive per la protezione dei dati dei suoi prodotti. Oltre a riconoscersi il diritto di salvare informazioni precise “sui luoghi in cui si trovano i propri computer o apparecchi in tempo reale”, il gruppo informatico si concede anche la facoltà di utilizzare anonimamente i dati in questione e di trasmetterli ad altri.

A rendere noto il volume effettivo dei dati raccolti da Apple e la gravità della situazione ci hanno pensato Alasdair Allan e Pete Warden, due informatici inglesi che hanno dimostrato la facilità con cui chiunque può accedere a tali informazioni, salvate senza l’autorizzazione consapevole dell’individuo e che dovrebbero, teoricamente, appartenere alla sua memoria.

Durante la recente conferenza Where 2.0, tenutasi a santa Clara, negli Stati Uniti, Allan e Warden hanno dimostrato che, dall’acquisto, iPhone registra regolarmente nelle sue cartelle ogni singolo spostamento del proprietario e, durante la cosiddetta “sincronizzazione” tramite iTunes, passa le informazioni al computer collegato, dove vengono registrate per la seconda volta senza protezione alcuna. Da questo momento in poi, le informazioni su tutti gli spostamenti di iPhone (e rispettivo proprietario) sono accessibili a chiunque utilizzi il computer e conosca un minimo di web 2.0, il mondo dei software scaricabili dalla rete.

Perché per tracciare il profilo completo degli spostamenti di un iPhone servono delle conoscenze informatiche di base, ma non serve certo essere degli hacker. Allan e Warden, i due informatici inglesi in questione, hanno sviluppato un software in grado di tracciare in pochi minuti i movimenti di un qualsiasi apparecchio iPhone o iPad con tanto di indicazione di periodo di permanenza.

Continua a leggere su Altrenotizie

Protezione della privacy del vostro cellulare

Android spia gli utenti come Apple? Non proprio…

Sicuramente molti di voi avranno sentito la polemica venuta fuori in questi giorni riguardo i device casa Apple; in pratica è stato scoperto che gli iPhone e gli iPad, dotati di connessione 3G, memorizzano continuamente tutti gli spostamenti dell’utente nell’arco di un anno, salvando l’ID della cella a cui il device è connesso e se possibile, le coordinate geografiche (latitudine e longitudine). Tutte queste informazioni, vengono salvate in un database che in seguito viene copiato sul pc utilizzato per sincronizzare i device con iTunes, e poi, su questo punto non c’è ancora molta chiarezza, il database viene inviato ai server Apple. Ma cosa ancora più sconcertante è che il database in questione non è per niente criptato e quindi facilmente accessibile da chiunque.

Dunque dopo lo scandalo Apple, molti si sono concentrati sul sistema di casa Google (ovviamente Android), per verificare se anche in questo caso, l’utente venisse tenuto sotto controllo. Ebbene anche in questo caso si è scoperto che gli spostamenti dell’utente vengono salvati in un database, che poi verrà inviato ai server di Google, tuttavia in realtà le cose sono molto diverse rispetto al sistema utilizzato da Apple.

Infatti cosa molto importante e grossa differenza rispetto al sistema concorrente, è che viene chiesto all’utente se attivare o meno la localizzazione delle posizioni, quindi siamo noi a decidere se abilitare o meno questa funzione. Altro dettaglio importante consiste nel fatto che i dati vengono raccolti in forma anonima, e quindi non riconducibili all’utente o al telefono, inoltre il database contenente le posizioni salvate dispone solo di 200 voci (quindi vengono salvate solo le ultime 200 posizioni), è criptato, e non facilmente raggiungibile.

Fonte: Android Playa

Cellulari non intercettabili

Stallman: i cellulari sono strumenti del Big Brother

Il fondatore della Free Software Foundation ha ammesso di non possedere cellulari per timore di essere controllato e intercettato. In un’intervista a NetworkWorld ha spiegato il suo credo basato sulle libertà software.

Richard Stallman, il guru della Free Software Foundation, è convinto che il cellulare sia uno strumento di controllo del Grande Fratello e quindi ha ammesso di non possederne uno. “È un sogno staliniano. I cellulari sono strumenti del Big Brother”, ha dichiarato in un’intervista con NetworkWorld. “Non ho intenzione di portare con me un dispositivo che registra i miei spostamenti ogni momento, e ancora meno un dispositivo di sorveglianza che può essere usato per intercettare”.

Stallman come sempre sembra essere ossessionato dalle prigioni virtuali. Nel software com’è risaputo è sempre stato sostenitore della libertà di utilizzo, modifica e distribuzione. Persino Android si discosta a suo parere da questa strada. “Se il produttore può sostituire l’eseguibile ma tu no, il prodotto è una prigione”, ha dichiarato. Tanto più che a suo parere il free software potrebbe (potenzialmente ) proteggere dalle stesse intercettazioni.

Stallman ha comunque riconosciuto che molte persone non sono disposte a pagare il prezzo per questa libertà. Ad esempio lui stesso ha ammesso che la sua ortodossia lo ha portato a utilizzare un portatile Lemote Yeeloong con distribuzione Linux gNewSense – con tutte le conseguenze prestazionali negative del caso.

Il credo di Stallman si basa su quattro livelli di “libertà”. Fredoom Zero, 1, 2, e 3 caratterizzati rispettivamente da libertà di accesso (decrescenti) al codice. “Senza queste quattro libertà il proprietario controlla il programma e i programmi controllano gli utenti. Quindi il software è semplicemente uno strumento di potere ingiusto. Gli utenti piegano la loro libertà per controllare il loro computer. Un programma non-free è un sistema di potere ingiusto e non dovrebbe esistere. L’esistenza e l’uso di software non-free è un problema sociale. È il male. E il nostro obiettivo è un mondo senza questo problema”, ha dichiarato messianicamente Stallman.

Personalmente credo che le opinioni di Stallman stimolino la riflessione, soprattutto in senso filosofico – e anche psicologico. Mettendo da parte per un attimo gli elementi strettamente tecnici c’è da domandarsi se tanta ortodossia non porti a ottenere un effetto contrario e quindi a restringere la libertà di azione, invece che ampliarla. Non è forse la più terribile delle gabbie esistenziali quella dell’ossessione compulsiva?

Fonte: Tom’s Hardware

Come usare il cellulare senza paura di intercettazioni

Condannato in primo grado, maresciallo dei carabinieri di Cuneo viene assolto in appello

Per lui l’accusa era di rivelazione di segreto d’ufficio in merito ad un’indagine nei confronti di Pier Renzo Calleris, attualmente a processo per appropriazione indebita ed estorsione aggravata

Con la sentenza di piena assoluzione emessa lo scorso 28 gennaio dalla Corte d’Appello di Torino, si è conclusa positivamente la vicenda giudiziaria che aveva coinvolto il maresciallo dei carabinieri di Cuneo, ora in pensione, Giuseppe Iorio. Il militare, che aveva svolto servizio presso la Polizia Giudiziaria del tribunale di Cuneo, era stato accusato di rivelazione di segreto d’ufficio e favoreggiamento personale. In particolare, l’accusa nei confronti del maresciallo era di aver rivelato a Pier Renzo Calleris – all’epoca autista presso l’ufficio del magistrato di sorveglianza di Cuneo e indagato di appropriazione indebita aggravata e di estorsione aggravata – notizie relative all’indagine nei suoi confronti: lo avrebbe avvisato che in Procura c’era un procedimento pendente che avrebbe potuto essere a suo carico e di stare attento a fare telefonate in quanto aveva il cellulare intercettato.

I fatti risalgono all’inizio del 2007, quando la Procura presso il tribunale avviò una indagine nei confronti di Pier Renzo Calleris e Giuseppe Tucci, indagati rispettivamente di appropriazione indebita ed estorsione il primo e di riciclaggio il secondo. Nel corso delle indagini i telefoni dei due indagati vennero sottoposti ad intercettazioni telefoniche. Il fascicolo relativo alle indagini venne secretato in quanto uno dei due indagati, il Calleris, era un dipendente del tribunale. Nonostante la cautela, e il fatto che le intercettazioni venissero effettuate presso gli uffici della Questura di Cuneo, il Calleris venne a conoscenza del fatto e, a partire dal 19 maggio di quell’anno, ridusse il numero delle conversazioni telefoniche senza più parlare dei fatti rilevanti per le indagini.

Secondo l’accusa fu proprio il maresciallo Iorio ad avvisare l’indagato sia del procedimento nei suoi confronti, sia di stare attento al telefono. Nella condanna di primo grado i giudici hanno ritenuto attendibile la testimonianza dell’altro indagato nel reato, Giuseppe Tucci, il quale avrebbe riferito che fu lo stesso Calleris a confidargli che dell’indagine in corso avrebbe avuto notizia dal maresciallo Iorio. Riconsiderate però le testimonianze rese al processo di primo grado dagli altri impiegati del tribunale, i giudici della Corte d’Appello hanno rilevato che era un fatto notorio che in quel periodo fosse in corso una indagine i cui atti erano stati secretati e che quindi doveva riguardare qualcuno interno al tribunale e che, essendo le intercettazioni effettuate presso gli uffici della Questura, il maresciallo Iorio non poteva avere alcuna informazione in merito all’indagine in corso.

Continua a leggere su Targato CN

Per acquistare cellulari non intercettabili

Perso un iPhone? Perse le password!

Se avete perso il vostro iPhone (o iPod touch/iPad) e non avete la possibilità di fare un ripristino in remoto, sperate solo che la persona che lo trovi non sia un hacker in gamba. Se lo fosse, sarebbe consigliabile fare un cambio di tutte le password. Tramite jailbreak è infatti possibile trovare tutte le password memorizzate nel terminale in appena sei minuti.

L’hacking prende di mira il Portachiavi, che è il sistema di gestione delle password di Apple. Sul dispositivo viene effettuato il jailbreak; successivamente si installa un server SSH, e infine si accede al portachiavi stesso, tramite uno script.
Questo tipo di attacco sfrutta gli attuali exploit di iOS, che consentono l’accesso a grandi porzioni di codice del file system di iOS anche se un dispositivo è bloccato. L’interessante (e forse anche un po’ inquietante per gli utenti) ricerca è stata portata a termine dai ricercatori del Fraunhofer Institute Secure Information Technology (Fraunhofer SIT).

Fonte: Italia Mac

30 milioni di intercettazioni in 10 anni: come proteggersi

Prendere in considerazione il numero delle intercettazioni effettuate nell’ultimo decennio, circa 30 milioni, e confrontarlo con le 21.600.000 famiglie, equivale a dire che in questi dieci anni, in media, ogni famiglia è stata ascoltata almeno una volta, con un costo totale per lo stato di circa 300 milioni di euro annui.

Il numero delle intercettazioni è stato stimato dall’Eurispes, calcolando che ogni intercettazione effettuata su un singolo numero telefonico possa avere riguardato almeno 100 diverse persone tra contatti professionali e personali, telefonate di lavoro o rapide chiamate a casa, per un totale di circa 30 milioni di persone che, almeno una volta, si possono essere trovate inconsapevolmente coinvolte in una telefonata intercettata.

Nonostante la legge regoli in maniera precisa il ricorso alle intercettazioni, consentendole solo in presenza di gravi indizi di reato con decreto del GIP, a volte l’utilizzo di tale modalità investigativa potrebbe apparire come una sorta di “scorciatoia” per ottenere più informazioni possibili in un breve lasso di tempo, contestando il reato di associazione a delinquere per motivare il ricorso alle microspie anche per reati meno gravi.

In breve si può dire che le intercettazioni sono necessarie per le indagini, ma non tutte le indagini hanno bisogno di intercettazioni, che potrebbero avere come unico effetto quello di rendere pubbliche conversazioni di persone estranee ai fatti, mettendole pubblicamente alla berlina a mezzo stampa e TV, per reati commessi magari dai loro interlocutori e nei quali essi non sono coinvolti, insomma violandone la privacy, con danno alla loro reputazione, per il solo fatto di essersi trovati al telefono con la persona sbagliata nel momento sbagliato.

Per evitare di correre tale rischio, la soluzione migliore è quella di dotarsi di strumenti di difesa dalle intercettazioni, sistemi di comunicazione non intercettabili quali ad esempio un telefono cellulare criptato, che usa una codifica a 256 bit per proteggere le vostre telefonate da orecchie indiscrete, le quali, intercettando una chiamata tra due cellulari di questo tipo, finirebbero per ascoltare soltanto un rumore inintelligibile.
Insomma, un sistema sicuro per parlare liberamente al telefono senza timore che il Grande Fratello sia all’ascolto.

Fonte: Endoacustica Blog

Microsoft ci spia?

Secondo un’indagine della BBC, i nuovi Windows Phone 7 fanno registrare consumi sospetti di dati, in quantità costante. Che a Redmond stiano raccogliendo dati sulle performance del software?

L’indagine interna sarebbe già aperta: alcuni telefoni Windows Phone 7, infatti, avrebbero il vizietto di consumare traffico dati senza che ci sia alcuna connessione attiva, almeno non intenzionalmente aperta dall’utente.

Secondo le informazioni raccolte dalla BBC, alcuni telefoni consumano da 30 a 50 MB al giorno, anche se lasciati costantemente in stand-by. ” Nonostante non ci sia alcun indizio che lo suggerisca, l’ipotesi più verosimile è che questi apparecchi inviino dati sulla performance del software o sull’utilizzo del telefono direttamente a Microsoft, cosa verosimile se confermato – come avrebbero notato alcuni utenti – che la trasmissione dati avviene ogni giorno alla stessa ora”. Altra ipotesi è che gli smartphone non siano così smart e continuino a usare la connessione 3G anche in presenza di una Wi-Fi.

Il problema riguarda contemporaneamente due temi molto caldi di questi giorni, privacy e connessioni dati a consumo. Se fosse provato che davvero uno smartphone è in grado di inviare silenziosamente informazioni alla propria casa madre, quali dati verrebbero inviati e in che modo verrebbero raccolti? E che ruolo hanno in questo processo il software e le applicazioni sviluppate da parti terze?

Senza contare che, mentre il mercato vede sempre più gli operatori abbandonare i piani di connessione illimitata, a favore di pacchetti fissi, il consumo incontrollato può causare un danno agli utenti, che vedrebbero diminuire i dati a propria disposizione, con il rischio di raggiungere il tetto massimo più in fretta del previsto.

Fonte: Wired

Cellulari non intercettabili

VoIP: il telefono a prova di intercettazioni

Il Voice over IP è una tecnologia oggi sempre più utilizzata anche dalla telefonia mobile grazie alla ormai diffusissima presenza delle reti ADSL in tutto il territorio globale. Adesso Snom Technology e GSMK CryptoPhone presentano il telefono VoIP CryptoPhone IP 19, un dispositivo telefonico che integra algoritmi di crittografia di tipo AES 256 e Twofish rispondendo alle necessità di riservatezza delle comunicazioni militari e garantendo quindi la massima privacy sulle conversazioni effettuate dagli utenti.

Si tratta di un apparecchio nato dalla fusione del telefono da tavolo Snom 870 e il firmware per la cifratura di voce e messaggi di GSMK. I destinatari di questo prodotto sono prevalentemente le pubbliche amministrazioni, laboratori di ricerca e tutti quei provati che tengono molto alla riservatezza delle proprie conversazioni.

Si tratta di un dispositivo utilizzabile in qualsiasi impianto telefonico realizzato secondo lo standard aperto SIP. La società è talmente orgogliosa e convinta delle potenzialità del telefono tanto da offrire, ai potenziali utenti, il codice completo al fine di effettuare dei controlli di sicurezza indipendenti prima di acquistarlo.

Il telefono sarà commercializzato entro la fine del mese di gennaio ad un costo raccomandato di circa 2.900 euro, un costo che lo esclude per un utilizzo privato.

Fonte: TrackBack

Telefono Criptato

Pericolo sms della morte e rischio sicurezza gsm

Gli hacker del Chaos Computer Club mettono in guardia sugli “sms della morte”, ovvero messaggini che sfruttano le vulnerabilità dei vecchi cellulari per mandare in tilt le reti degli operatori telefonici. E poi, dimostrano, ancora una volta, quando sia insicura la rete Gsm.

Reti a rischio – Siamo un po’ tutti preoccupati della vulnerabilità degli smartphone che rivaleggiano con i computer in termini di funzionalità e collegamento veloce al web. Gli hacker dell’associazione tedesca Chaos Computer Club, già conosciuti per aver dimostrato in una trasmissione televisiva come fosse semplice “rubare” i dati personali dalle nuove carte di identità tedesche , mettono in guardia adesso sulla sicurezza dei normali telefonini. Non è ancora successo, ma l’85% di tutti i cellulari in uso a livello mondiale è di “vecchio stampo” e rischia di ricevere un “sms della morte”, ossia messaggini che potrebbero mandare seriamente in tilt le reti degli operatori telefonici. Gli hacker puntano il dito su modelli come, per esempio, il Nokia S40, l’LG 320, i Samsung S5230 Star e S3250, e i Motorola RAZR, ROKR e SVLR L7. Questi modelli, o altri simili, soffrono di una serie di bug (vulnerabilità) che renderebbero possibile la diffusione di virus, worm e trojan con il risultato di costringere gli operatori a disattivare le reti.

GSM insicuro – Gli hacker del Chaos Computer Club, in occasione del loro recente congresso, hanno anche dimostrato come sia possibile decrittare le comunicazioni sui telefono Gsm usando quattro modelli da meno di 15 dollari che fungono da “sniffer”, un portatile e una manciata di programmi open source. Un kit, insomma, alla portata di tutti i malintenzionati. La rete Gsm è insicura e più la studiano è più saltano fuori delle pericolose vulnerabilità.

Fonte: JackTech

Come funziona l’intercettazione di un cellulare

Per compromettere il vostro telefono cellulare, un hacker dotato di attrezzature radio poco costose e software open source può facilmente, ascoltare le vostre conversazioni, intercettare i dati, o più semplicemente farvi arrivare bollette astronomiche.

Durante il convegno DeepSec di Vienna, è stato dimostrato come qualsiasi cellulare sia esposto a tali rischi, a causa di errori di programmazione che possono essere sfruttati dagli hackers per ottenere il controllo del vostro telefono tramite attacchi praticamente impossibili da rilevare grazie a un piccolo apparecchio di ricezione e trasmissione, piazzato in zone affollate quali ad esempio un aeroporto, che può portare il suo attacco nel giro di pochi secondi.

Tali attacchi sfruttano la debolezza strutturale del codice di base che si occupa della gestione delle connessioni e delle trasmissioni radio di una rete cellulare, un codice sviluppato negli anni 90 all’inizio della diffusione dei telefoni cellulari, e mai aggiornato. Tale codice considera gli elementi che costituiscono la rete, quali appunto le stazioni trasmittenti, come “amici” e pertanto non ritiene necessaria alcuna protezione.

Secondo la ricerca presentata al DeepSec, molti gestori di rete trascurano questo aspetto, concentrandosi prevalentemente sulla protezione contro applicazioni che nascondano attacchi o virus Trojan. Invece, le moderne stazioni mobili riescono a farsi riconoscere dal gestore di rete come “amiche”, inserendo dei codici all’interno della rete e riuscendo ad accedere ai dati di un singolo utente con conseguenze facilmente immaginabili.

Una volta fatto questo, possono monitorare tutte le comunicazioni effettuate tramite un cellulare, o addirittura spiarne il possessore, dando istruzioni al telefono di rispondere automaticamente a tutte le chiamate senza squillare, fungendo pertanto come un vero e proprio cellulare spia. Il telefono infettato può essere usato come “ponte” per raggiungere la stazione di base ed infettare altri cellulari, il tutto in una maniera assai difficile da rilevare.

Questa minaccia è assai realistica anche sotto il punto di vista dei costi, in quanto la stazione base di una rete cellulare è un’apparecchiatura dal costo assai elevato, mentre i materiali usati per fabbricare questi apparecchi di intercettazione sono a buon mercato, ed il software open source per gestire le stazioni di base GSM è ormai facilmente reperibile.

I ricercatori che hanno dimostrato queste debolezze provengono da un gruppo di ricerca della University of Luxembourg, e sono già in collaborazione con vari operatori di rete cellulare per porre rimedio ad eventuali errori di programmazione, e soprattutto per impedire che in futuro tali errori possano permettere intrusioni non autorizzate.

Attualmente, per difendersi da simili attacchi contro la propria privacy telefonica, è consigliabile prendere delle precauzioni, se proprio non si può fare a meno di usare il telefono cellulare per il proprio lavoro o per motivi personali.
La migliore maniera è certamente quella di usare un telefono cellulare criptato, che aggiunge alla codifica usata dal gestore di rete un ulteriore livello di sicurezza.

Infatti, la conversazione tra due cellulari di questo tipo viene criptata tramite una chiave di codifica a 256 bit, grazie ad un software di criptaggio installato sui due telefoni.

Se entrambi i cellulari impegnati in questa conversazione sono dotati di tale software e della stessa chiave, il segnale audio inviato da uno dei due telefoni viene trasformato in un rumore inintelligibile, che l’altro telefono trasforma in suoni e voci grazie al suo programma di decodifica e alla chiave di sicurezza.

In questo modo, una eventuale intercettazione avrebbe come unico risultato l’ascolto di un rumore incomprensibile.
Per scoprire il funzionamento dei cellulari criptati e di altre apparecchiature per la difesa della vostra privacy, vi consigliamo di visitare il sito di Endoacustica, azienda impegnata nella sicurezza con un’esperienza pluriennale.

Fonte: Endoacustica Blog