Commenti a: Un’applicazione per Android ruba dati a milioni di utenti http://www.melamorsicata.it/mela/2010/07/30/un-applicazione-per-android-ruba-dati-a-milioni-di-utenti/ Tue, 14 Feb 2012 11:22:22 +0000 hourly 1 http://wordpress.org/?v=3.3.1 Di: slash http://www.melamorsicata.it/mela/2010/07/30/un-applicazione-per-android-ruba-dati-a-milioni-di-utenti/comment-page-1/#comment-62711 slash Sat, 31 Jul 2010 11:37:21 +0000 http://www.melamorsicata.it/mela/?p=22530#comment-62711 @Link il controllo di tutte le applicazioni è impossibile... difatti anche sull'App Store, seppur controllato, ogni tanto compare qualche applicazione ribelle. Poco tempo fa uno sviluppatore era riuscito a farsi approvare un'applicazione con funzione di "torcia" che in realtà conteneva un intero proxy SOCKS (http://www.macrumors.com/2010/07/20/flashlight-app-sneaks-tethering-into-app-store-for-now/)... una cosa del genere con il sistema di permessi di Android sarebbe stata subito scoperta. Un altro esempio è un'applicazione per il calcolo delle mance al ristorante (!) che inviava dati sulla propria posizione (http://blog.iphone-dev.org/post/164789333/a-pinch-too-much). Dallo studio di Lookout (http://blog.mylookout.com/2010/07/introducing-the-app-genome-project/), che poi è lo stesso studio che ha portato alla scoperta della collezione di sfondi "maligna", si evince come le applicazioni che accedono a dati sensibili sono più numerose su iPhone piuttosto che su Android, e purtroppo sulla piattaforma di Apple non c'è modo di sapere se un'applicazione ha accesso o meno a certi dati - ad eccezione delle informazioni sulla posizione. Sarebbe interessante se Apple decidesse di implementare un sistema di permessi sul modello di Android, di modo tale da consentire agli utenti di sapere cosa le applicazioni installate possono fare. P.S. Come si può leggere da un post successivo degli stessi autori della ricerca (http://blog.mylookout.com/2010/07/mobile-application-analysis-blackhat/) l'analisi iniziale è stata un po' ingigantita... l'applicazione non legge SMS, password e altro - come erroneamente riportato - ma bensì "solo" il proprio numero di telefono, il numero di telefono della segreteria e l'IMSI della SIM. E' chiaro che anche questi sono dati sensibili, ma la situazione è molto meno grave di quanto inizialmente ipotizzato, e come specificano i ricercatori di Lookout la raccolta di questi dati non sono necessariamente collegabili a un comportamento malevolo. @Link il controllo di tutte le applicazioni è impossibile… difatti anche sull’App Store, seppur controllato, ogni tanto compare qualche applicazione ribelle. Poco tempo fa uno sviluppatore era riuscito a farsi approvare un’applicazione con funzione di “torcia” che in realtà conteneva un intero proxy SOCKS (http://www.macrumors.com/2010/07/20/flashlight-app-sneaks-tethering-into-app-store-for-now/)… una cosa del genere con il sistema di permessi di Android sarebbe stata subito scoperta.
Un altro esempio è un’applicazione per il calcolo delle mance al ristorante (!) che inviava dati sulla propria posizione (http://blog.iphone-dev.org/post/164789333/a-pinch-too-much).
Dallo studio di Lookout (http://blog.mylookout.com/2010/07/introducing-the-app-genome-project/), che poi è lo stesso studio che ha portato alla scoperta della collezione di sfondi “maligna”, si evince come le applicazioni che accedono a dati sensibili sono più numerose su iPhone piuttosto che su Android, e purtroppo sulla piattaforma di Apple non c’è modo di sapere se un’applicazione ha accesso o meno a certi dati – ad eccezione delle informazioni sulla posizione. Sarebbe interessante se Apple decidesse di implementare un sistema di permessi sul modello di Android, di modo tale da consentire agli utenti di sapere cosa le applicazioni installate possono fare.

P.S. Come si può leggere da un post successivo degli stessi autori della ricerca (http://blog.mylookout.com/2010/07/mobile-application-analysis-blackhat/) l’analisi iniziale è stata un po’ ingigantita… l’applicazione non legge SMS, password e altro – come erroneamente riportato – ma bensì “solo” il proprio numero di telefono, il numero di telefono della segreteria e l’IMSI della SIM. E’ chiaro che anche questi sono dati sensibili, ma la situazione è molto meno grave di quanto inizialmente ipotizzato, e come specificano i ricercatori di Lookout la raccolta di questi dati non sono necessariamente collegabili a un comportamento malevolo.

]]> Di: Link http://www.melamorsicata.it/mela/2010/07/30/un-applicazione-per-android-ruba-dati-a-milioni-di-utenti/comment-page-1/#comment-62687 Link Fri, 30 Jul 2010 23:02:57 +0000 http://www.melamorsicata.it/mela/?p=22530#comment-62687 Come si deve stare attenti a ciò che si scarica ???? Cacchio, è lo store ufficiale di google, controllato da google, io DEVO avere la garanzia che qualsiasi app che scarica non sia pericolosa. La apple forse avrà adottato delle regole troppo rigide e delle restrizioni ma è sempre meglio che avere malware che girano nel telefono ! Come si deve stare attenti a ciò che si scarica ????
Cacchio, è lo store ufficiale di google, controllato da google, io DEVO avere la garanzia che qualsiasi app che scarica non sia pericolosa.
La apple forse avrà adottato delle regole troppo rigide e delle restrizioni ma è sempre meglio che avere malware che girano nel telefono !

]]> Di: slash http://www.melamorsicata.it/mela/2010/07/30/un-applicazione-per-android-ruba-dati-a-milioni-di-utenti/comment-page-1/#comment-62666 slash Fri, 30 Jul 2010 14:57:58 +0000 http://www.melamorsicata.it/mela/?p=22530#comment-62666 @Jack: ogni applicazione, su Android, contiene al suo interno la lista dei servizi che usa (e.g. "Accesso ai contatti", "Ricerca posizione via GPS", "Comunicazione via Internet"...). Quando installi l'applicazione, il sistema presenta all'utente questa lista, evidenziando eventuali permessi "pericolosi", di modo tale che l'utente possa venirne a conoscenza ed eventualmente annullare l'installazione. Una volta installata l'applicazione, Android conserva una copia di questa lista in una locazione inaccessibile all'applicazione (di modo tale che essa non possa essere modificata), e ogni volta che viene richiesto un servizio il sistema operativo controlla che sia tra quelli consentiti. Nel caso che non lo sia, il servizio viene negato. In questo modo quando installi l'applicazione hai la certezza che la lista che ti viene presentata è la stessa dei servizi effettivamente usati. A me questo modello non sembra male... consente lo sviluppo di applicazioni che sfruttano ogni caratteristica del terminale ma allo stesso tempo garantisce la sicurezza, un ottimo compromesso direi. @Jack: ogni applicazione, su Android, contiene al suo interno la lista dei servizi che usa (e.g. “Accesso ai contatti”, “Ricerca posizione via GPS”, “Comunicazione via Internet”…). Quando installi l’applicazione, il sistema presenta all’utente questa lista, evidenziando eventuali permessi “pericolosi”, di modo tale che l’utente possa venirne a conoscenza ed eventualmente annullare l’installazione. Una volta installata l’applicazione, Android conserva una copia di questa lista in una locazione inaccessibile all’applicazione (di modo tale che essa non possa essere modificata), e ogni volta che viene richiesto un servizio il sistema operativo controlla che sia tra quelli consentiti. Nel caso che non lo sia, il servizio viene negato. In questo modo quando installi l’applicazione hai la certezza che la lista che ti viene presentata è la stessa dei servizi effettivamente usati.
A me questo modello non sembra male… consente lo sviluppo di applicazioni che sfruttano ogni caratteristica del terminale ma allo stesso tempo garantisce la sicurezza, un ottimo compromesso direi.

]]> Di: j0sh http://www.melamorsicata.it/mela/2010/07/30/un-applicazione-per-android-ruba-dati-a-milioni-di-utenti/comment-page-1/#comment-62659 j0sh Fri, 30 Jul 2010 13:38:46 +0000 http://www.melamorsicata.it/mela/?p=22530#comment-62659 piccolo OT... trovo civile che android market permetta il rimborso per le applicazioni entro 48 ore... sullo store dell'iphone l'applicazione la compri e basta piccolo OT… trovo civile che android market permetta il rimborso per le applicazioni entro 48 ore… sullo store dell’iphone l’applicazione la compri e basta

]]> Di: Jack http://www.melamorsicata.it/mela/2010/07/30/un-applicazione-per-android-ruba-dati-a-milioni-di-utenti/comment-page-1/#comment-62656 Jack Fri, 30 Jul 2010 13:01:59 +0000 http://www.melamorsicata.it/mela/?p=22530#comment-62656 @neodago: perché tu se vuoi fare una applicazione con codice malevolo, tra le specifiche includi i servizi che usa il codice malevolo? @neodago: perché tu se vuoi fare una applicazione con codice malevolo, tra le specifiche includi i servizi che usa il codice malevolo?

]]> Di: Paul http://www.melamorsicata.it/mela/2010/07/30/un-applicazione-per-android-ruba-dati-a-milioni-di-utenti/comment-page-1/#comment-62655 Paul Fri, 30 Jul 2010 12:51:51 +0000 http://www.melamorsicata.it/mela/?p=22530#comment-62655 Non serve censurare e filtrare le applicazioni. Semplicemente, come dice Enrico, ogni applicazione all'avvio dovrebbe chiedere il permesso prima di poter usare servizi specifici, in maniera analoga a quello che succede con la posizione GPS o con le notifiche Push. Tra l'altro il controllo fatto da Apple molto spesso risulta essere banale, visto che mi è capitato molte volte che applicazioni dopo gli aggiornamenti andassero in crash appena avviate. Se (a volte) non verificano neanche che un applicazione parta, figuriamo se vanno a controllare il codice alla ricerca di comportamenti strani. Non serve censurare e filtrare le applicazioni.

Semplicemente, come dice Enrico, ogni applicazione all’avvio dovrebbe chiedere il permesso prima di poter usare servizi specifici, in maniera analoga a quello che succede con la posizione GPS o con le notifiche Push.

Tra l’altro il controllo fatto da Apple molto spesso risulta essere banale, visto che mi è capitato molte volte che applicazioni dopo gli aggiornamenti andassero in crash appena avviate.
Se (a volte) non verificano neanche che un applicazione parta, figuriamo se vanno a controllare il codice alla ricerca di comportamenti strani.

]]> Di: wlyit http://www.melamorsicata.it/mela/2010/07/30/un-applicazione-per-android-ruba-dati-a-milioni-di-utenti/comment-page-1/#comment-62639 wlyit Fri, 30 Jul 2010 09:17:56 +0000 http://www.melamorsicata.it/mela/?p=22530#comment-62639 Qualche giorno fa Apple ha rimosso dall'apple store un'applicazione che attivava il tethering di nascosto. Evidentemente, anche dove vengono controllate, le app possono nascondere qualcosa. Qualche giorno fa Apple ha rimosso dall’apple store un’applicazione che attivava il tethering di nascosto.
Evidentemente, anche dove vengono controllate, le app possono nascondere qualcosa.

]]> Di: neodago http://www.melamorsicata.it/mela/2010/07/30/un-applicazione-per-android-ruba-dati-a-milioni-di-utenti/comment-page-1/#comment-62638 neodago Fri, 30 Jul 2010 09:15:44 +0000 http://www.melamorsicata.it/mela/?p=22530#comment-62638 Se chi installa applicazioni a caso e senza fare attenzione è un allocco è giusto che finisca così. come ha detto correttamente enrico durante l'installazione all'utente viene presentata la lista dei servizi che il programma utilizza, se premo OK senza leggere non è colpa di Google. Forse gli utenti Apple si scandalizzano perchè stanno "disimparando" a pensare con la loro testa dato che ci sono altri che lo fanno per loro (piccola provocazione). Se chi installa applicazioni a caso e senza fare attenzione è un allocco è giusto che finisca così.
come ha detto correttamente enrico durante l’installazione all’utente viene presentata la lista dei servizi che il programma utilizza, se premo OK senza leggere non è colpa di Google.
Forse gli utenti Apple si scandalizzano perchè stanno “disimparando” a pensare con la loro testa dato che ci sono altri che lo fanno per loro (piccola provocazione).

]]> Di: Marco http://www.melamorsicata.it/mela/2010/07/30/un-applicazione-per-android-ruba-dati-a-milioni-di-utenti/comment-page-1/#comment-62637 Marco Fri, 30 Jul 2010 08:41:43 +0000 http://www.melamorsicata.it/mela/?p=22530#comment-62637 Be ora mi aspetto uno scandalo di proporzioni bibliche, MILIONI di dati sensibili O_o non sono mica 400 (giusto per dire un numero) ^__^. Quote @ FabrizioC e Cydia? Non valgono le stesse considerazioni finali? Identiche considerazioni finali, con una piccola differenza, Cydia è uno store non ufficiale dove chiunque scarica (gratis o a pagamento) sà che non vi è nessuna garanzia, anzi sà che la garanzia dell'iphone l'ha persa per ora (ora vediamo l'evolversi della situazione JB), invece, l'android market è LO STORE UFFICIALE di google e farsi rubare milioni di dati non fa sperare niente di buono. Be ora mi aspetto uno scandalo di proporzioni bibliche, MILIONI di dati sensibili O_o non sono mica 400 (giusto per dire un numero) ^__^.

Quote @ FabrizioC
e Cydia?
Non valgono le stesse considerazioni finali?

Identiche considerazioni finali, con una piccola differenza, Cydia è uno store non ufficiale dove chiunque scarica (gratis o a pagamento) sà che non vi è nessuna garanzia, anzi sà che la garanzia dell’iphone l’ha persa per ora (ora vediamo l’evolversi della situazione JB), invece, l’android market è LO STORE UFFICIALE di google e farsi rubare milioni di dati non fa sperare niente di buono.

]]> Di: FabrizioC http://www.melamorsicata.it/mela/2010/07/30/un-applicazione-per-android-ruba-dati-a-milioni-di-utenti/comment-page-1/#comment-62635 FabrizioC Fri, 30 Jul 2010 08:20:59 +0000 http://www.melamorsicata.it/mela/?p=22530#comment-62635 e Cydia? Non valgono le stesse considerazioni finali? e Cydia?
Non valgono le stesse considerazioni finali?

]]>