In questi giorni sto viaggiando in treno in Italia e ho notato che spesso gli utenti di iPhone e iPad lasciano aperta a tutti la funzione AirDrop, che permette di inviare file da un dispositivo Apple a un altro. La funzione non richiede che i dispositivi siano collegati alla stessa rete Wi-Fi.

Per esempio, facendo una semplice scansione (con il normale Finder del mio Mac) dei dispositivi raggiungibili via AirDrop ho trovato questi utenti:

“CIA Asset 4752” è il mio iPhone di test, che ho lasciato aperto per l’occasione. Ma l’iPad di Lele, gli iPhone di Viola, Dany ed Eradis e il Macbook Air di Lorenza non sono miei. Non ho tentato di inviare file, per non allarmarli.

Non è prudente tenere AirDrop aperto a tutti: chiunque vi può mandare foto indesiderate o malware, fare stalking o commettere altre molestie o abusi. AirDrop andrebbe attivato solo quando serve per trasferire dati da un dispositivo all’altro. Queste sono le opzioni disponibili sull’iPhone in Impostazioni - Generali - AirDrop: Ricezione non attiva (che consiglio come impostazione da tenere attiva normalmente), Solo contatti e Tutti per 10 minuti.

Per ridurre la vostra esposizione di dati personali quando attivate AirDrop, attivatelo solo verso i vostri contatti e in ogni caso togliete il vostro nome e il tipo di dispositivo dalla stringa del nome che viene trasmesso. Non accettate mai dati da sconosciuti.

Se avete un iPhone, iPad o Mac, andate in Impostazioni - Generali - Info - Nome, poi cambiate nome. 

Siate creativi. Io, per esempio, ho scelto questo:

Ultimo aggiornamento: 2023/06/07 1:35. 

Ieri (5 giugno) Apple ha presentato il Vision Pro, il suo dispositivo indossabile per realtà aumentata o mista (attenzione: non virtuale, che è una cosa differente). Molti hanno avuto un sussulto per il suo prezzo, che parte da 3500 dollari, ma va ricordato che i concorrenti di questo prodotto non sono i visori per realtà virtuale di Oculus o simili: sono Hololens e Magic Leap, che hanno prezzi paragonabili.

La distinzione fra realtà aumentata/mista e realtà virtuale è fondamentale: nella realtà virtuale, tutto quello che si vede è generato dal software. Nella realtà aumentata, invece, il dispositivo mostra una visuale del mondo reale, sulla quale viene sovrapposta e integrata un’immagine di oggetti sintetici che si muovono, interagiscono e cambiano prospettiva come se fossero fisicamente reali. Un componente meccanico complesso o un paziente chirurgico possono essere mostrati virtualmente, sovrapposti al banco di lavoro o al tavolo operatorio, e se ci si sposta l’immagine ruota e trasla di conseguenza.

Normalmente questo effetto viene ottenuto inserendo nel dispositivo uno schermo semitrasparente che copre una parte del campo visivo e il resto dell’ambiente reale viene mostrato semplicemente per trasparenza. Questo ha il difetto di generare oggetti virtuali che hanno un “effetto fantasma”, ossia sono semitrasparenti e non danno una sensazione di solidità. Inoltre l’illusione è limitata a una porzione ridotta del campo visivo, per cui gli oggetti virtuali vengono brutalmente troncati se superano i margini dello schermo.

Nel caso del Vision Pro, invece, da quel che s’è capito nella presentazione, particolarmente povera di dati tecnici, il display mostra una rappresentazione digitale del mondo esterno acquisita attraverso le telecamere e i sensori e vi sovrappone gli oggetti virtuali. Questo ha il grande vantaggio di dare solidità a questi oggetti, rendendo molto più naturale la loro integrazione. Niente effetto fantasma e niente troncamento.

L’abbondanza di telecamere esterne serve anche per un’altra distinzione importante di Vision Pro rispetto ai dispositivi analoghi: l’assenza di controller (o perlomeno la loro mancanza nei kit di base). Qui l’utente non è tenuto a impugnare qualcosa con dei bottoni che facciano da telecomando e indicatore di posizione delle mani: le telecamere riconoscono direttamente le mani e rispondono ai gesti. Questo, se funziona bene, è molto più naturale ed estremamente utile per chi deve usare questi dispositivi per fare qualcosa con le proprie mani (per esempio intervenire su un macchinario o un paziente avendo davanti agli occhi tutte le informazioni essenziali).

Apple ha cercato in tutti i modi di mostrare il Vision Pro minimizzandone le dimensioni e gli ingombri (la foto frontale qui sopra fa sembrare che sia poco più di un occhiale da sci, ma non è così e c’è pure un pacco batterie esterno) e offrendo le solite immagini cool di gente strafiga, straricca e spensierata, ma questo è un prodotto orientato principalmente alle applicazioni tecniche e industriali (e a qualche appassionato di tecnologie con più soldi che buon senso), come appunto Hololens e Magic Leap.

Il problema è che dalla curatissima presentazione di Apple mancano (se non mi sono perso qualcosa) due dati importanti: la risoluzione e l’angolo del campo visivo (oltre al peso, ma lasciamo stare). Inizialmente ai giornalisti non è stato concesso di indossare il Vision Pro: anzi, non ci si poteva neppure avvicinare più di tanto. Poi alcuni hanno avuto modo di provarli brevemente e in condizioni molto controllate.

Apple ha parlato di risoluzione dicendo che è come avere un televisore 4K per ciascun occhio, ma queste sono parole di marketing: quello che serve sapere è il numero di pixel per grado. Se non è elevatissimo, l’illusione di realtà crolla rapidamente. E la stessa cosa succede se l’angolo del campo visivo è ristretto, e Apple ha parlato di schermi “grandi come francobolli”. Provate a mettervi un francobollo a pochi centimetri dagli occhi e ditemi quanto del vostro campo visivo ne viene coperto.

Finché non saranno disponibili questi dati, è difficile valutare il prodotto. L’unica cosa che si può ragionevolmente dire è che il video di Apple che mostra quello che in teoria si vede attraverso un Vision Pro è probabilmente una versione molto patinata di una realtà tecnica un po’ meno fantascientifica.

L’uscita del film Glass Onion - Knives Out di Rian Johnson ha fatto riemergere una teoria informatico-cinematografica quasi classica: esisterebbe una regola segreta in base alla quale nessun cattivo, in un film o telefilm, può maneggiare un iPhone o in generale un prodotto Apple, e questo permetterebbe agli spettatori più attenti di capire in anticipo chi è il cattivo o il traditore nascosto nelle sceneggiature.

Questa regola è stata descritta dal regista Rian Johnson in un’intervista a Vanity Fair del 2020, rilasciata in occasione dell’uscita del primo film della serie Knives Out:

Johnson spiega (a partire da 2:50) che non sa se rivelarlo o no, perché potrebbe causargli guai nel prossimo film d’intrigo che scriverà, ma “Apple ti lascia usare gli iPhone nei film ma – e questo è molto centrale se state mai guardando un film d’intrigo – i cattivi non possono avere un iPhone che venga inquadrato” e dice che ora “ogni regista che ha nel proprio film un cattivo che deve restare segreto ora voglia ammazzarmi”.

Also another funny thing, I don't know if I should say this or not... Not cause it's like lascivious or something, but because it's going to screw me on the next mystery movie that I write, but forget it, I'll say it. It's very interesting.

Apple... they let you use iPhones in movies but – and this is very pivotal if you're ever watching a mystery movie – bad guys cannot have iPhones on camera.

So, there you go... oh nooooooo, every single filmmaker that has a bad guy in their movie that's supposed to be a secret wants to murder me right now.

E infatti nel suo film, il primo della serie Knives Out, guardando la marca di telefonino usata dai vari personaggi si può dedurre quali sono buoni e quali sono cattivi. Nel secondo no, grazie a una soluzione molto semplice ed elegante. Non dico altro per non fare troppi spoiler.

Non è la prima volta che si parla di questa faccenda, ma mancava una dichiarazione esplicita da parte di un addetto ai lavori. La teoria dei prodotti Apple usabili solo dai “buoni” era emersa già oltre vent’anni fa, quando fu trasmessa la prima stagione della serie TV 24, nella quale un traditore inaspettato sarebbe stato in realtà smascherabile dagli spettatori, secondo la teoria presentata da alcuni fan, per il fatto che usava un laptop della marca Dell mentre tutti i suoi colleghi usavano dei Mac, e viceversa il personaggio che la trama sembrava suggerire come possibile traditore sarebbe stato scartabile immediatamente perché usava un PowerBook di Apple.

Una ricerca del sito Wired.com condotta all’epoca segnalava anche altri casi cinematografici nei quali i buoni usavano Apple e i cattivi altre marche: per esempio nei film C’è posta per te (You’ve Got Mail), La rivincita delle bionde (Legally Blonde), Austin Powers, e anche il celebre critico cinematografico Roger Ebert aveva notato nel 2003 che “siccome molti computer Windows hanno lo stesso aspetto, Apple è una delle poche case produttrici che può avere convenienza a fare product placement (pubblicità indiretta)”, aggiungendo che secondo lui “l’industria del cinema e i tipi creativi in generale preferiscono il Mac” (l’articolo originale è oggi irreperibile).

La tendenza sembra essere ben documentata, insomma, ma non è chiaro se questa regola sia una consuetudine nata per motivi estetici e narrativi oppure un’imposizione di Apple. Vanity Fair ha chiesto chiarimenti ad Apple in seguito alle parole di Rian Johnson, ma non ha ottenuto risposta; ci ha provato anche Ars Technica, con lo stesso risultato.

Secondo l’esperto di proprietà intellettuale John Bergmayer dell’associazione Public Knowledge, consultato da Ars Technica, chi realizza un film non ha bisogno di permessi o licenze dei fabbricanti per far usare dai propri personaggi dei prodotti comuni in maniere normali, ed è improbabile che una casa produttrice possa vincere una causa argomentando che far usare a un cattivo una certa marca di telefono o di auto costituisca uno screditamento di quella marca. Quindi, nota Ars Technica, la regola “i cattivi non usano prodotti Apple” non sarebbe un obbligo legale.

Le cose cambiano, però, se Apple paga per il product placement, ossia sponsorizza il film in modo che i personaggi mostrino i suoi prodotti, per esempio fornendo degli esemplari gratuiti da usare come oggetti di scena e altri dispositivi o servizi. In questo caso sarebbe normale che Apple mettesse dei vincoli sul modo in cui vengono usati e a chi vengono associati.

In altre parole: la regola non è un obbligo di legge, ma è quasi sicuramente una consuetudine diffusa regolamentata da accordi commerciali, e quindi la si può applicare per tentare di scoprire indizi utili nei film e nei telefilm.

Se riuscite a trovare altri esempi di serie TV o di film che applicano questa regola o la smentiscono, segnalateli nei commenti. Senza spoiler, mi raccomando! E sempre dai commenti arriva la segnalazione (grazie a Ivan) di Product Placement Blog, un sito che raccoglie esempi di product placement, ordinato per tipo di prodotto e per titolo di film.

Fonti aggiuntive: MacRumors, MacObserver, Iphoneitalia.com,

Questo articolo è disponibile anche in versione podcast audio.

Gli AirTag, i localizzatori elettronici di Apple grandi quanto una moneta, sono ottimi non solo per ritrovare le chiavi smarrite ma anche per scoprire che fine hanno fatto le nostre valigie dopo un volo in aereo, soprattutto quando la compagnia aerea le smarrisce.

Molti viaggiatori hanno preso l’abitudine di infilare uno di questi localizzatori nelle proprie valigie prima dell’imbarco, usando sia gli AirTag sia i prodotti analoghi di altre marche, e in parecchi casi questo ha rivelato dove si trovavano gli effetti personali smarriti ben prima che venissero localizzati dalle compagnie aeree, causando imbarazzi e cattiva pubblicità. Ad aprile 2022, per esempio, la compagnia Aer Lingus ha perso i bagagli di un passeggero, dichiarando di non avere idea di dove si trovassero, ma il proprietario ha usato gli AirTag per indicare alla compagnia aerea dov’erano e li ha recuperati con l’aiuto della polizia.

Tuttavia l’8 ottobre scorso Lufthansa ha dichiarato pubblicamente che vietava gli AirTag accesi lasciati nei bagagli “perché – ha detto – sono classificati come pericolosi e devono essere spenti”. È stata la prima compagnia a vietarli esplicitamente. Ma il 12 ottobre Lufthansa ha fatto dietrofront, dicendo che le autorità tedesche avevano dato il via libera.

Il divieto iniziale era dovuto al fatto che gli AirTag sono considerati “dispositivi elettronici portatili” e quindi sono soggetti alle norme sulle merci pericolose emesse dall’Organizzazione Internazionale dell'Aviazione Civile (ICAO) per il trasporto sugli aerei. Avendo un trasmettitore, in teoria andrebbero spenti, come si fa per i telefonini, i computer portatili, i tablet e simili messi nel bagaglio e stivati.

Ma si tratta di un trasmettitore Bluetooth Low Energy, alimentato oltretutto da una batteria minuscola, una CR2032 approvata per l’uso negli orologi e nei telecomandi per automobili, per cui le emissioni radio e la pericolosità di questi localizzatori non sono paragonabili per esempio a quelle di un telefonino, tablet o computer. Infatti alcune compagnie aeree li accettano esplicitamente e negli Stati Uniti sono consentiti dalla FAA, l’ente che si occupa della regolamentazione dell’aviazione civile.

Al momento attuale, insomma, sembra che gli AirTag e i localizzatori affini si possano mettere tranquillamente nelle valigie, ma è sempre opportuno chiedere alla specifica compagnia aerea con la quale si vola.

Comunque stiano le cose, la vicenda è un esempio notevole della potenza della tecnologia informatica moderna, che permette a un singolo utente di essere più efficace di un servizio bagagli smarriti di un’intera compagnia aerea.

Fonti aggiuntive: Airwaysmag, 9to5Mac, New York Times, Watson.ch.

Questo articolo è disponibile anche in versione podcast audio.

Il 12 settembre scorso Apple ha rilasciato la nuova versione, la 16, dei suoi sistemi operativi per smartphone, smartwatch e Apple TV, con molte novità significative, come la nuova schermata di blocco, e alcuni aggiornamenti di sicurezza. Ma la particolarità più interessante è che ha rilasciato gli stessi update di sicurezza anche per le versioni meno recenti di questi sistemi operativi, cosa che non capita spesso.

Sono stati infatti messi a disposizione degli aggiornamenti per gli iPhone e iPad meno recenti, che li portano alla versione 15.7 di iOS e di iPadOS, e anche per i Mac vecchiotti, che li portano alla versione Monterey 12.6 oppure alla Big Sur 11.7. 

In questo modo chi usa ancora dispositivi che hanno qualche annetto sulle spalle e non sono più aggiornabili alle nuove versioni di punta di iOS e iPadOS, come l’iPhone 6S e l’iPhone 7, può restare comunque protetto. 

La stessa protezione è offerta anche a chi ha dispositivi ancora aggiornabili ma per qualunque ragione, per esempio la compatibilità con app aziendali, non può o non vuole passare ai nuovi sistemi operativi con tutte le loro novità. 

Le falle di sicurezza corrette da questi aggiornamenti sono piuttosto pesanti, tanto da spingere appunto Apple a distribuire aggiornamenti anche per le vecchie versioni dei suoi sistemi operativi, perché almeno una di queste falle viene già usata dai criminali informatici per compiere attacchi, per cui è essenziale andare appena possibile nelle impostazioni del dispositivo e avviare la sua procedura di aggiornamento software. 

Gli smartphone e tablet Apple che non possono più ricevere aggiornamenti di nessun genere non dovrebbero essere usati per navigare nel Web, mandare mail o per qualunque altra attività che richieda un collegamento a Internet.

---

La casa produttrice ha infatti diffuso un annuncio nel quale segnala che sta circolando un ransomware, denominato Deadbolt (che inglese vuol dire “catenaccio”), che cifra tutti i dati presenti sui NAS collegati direttamente a Internet e agisce sfruttando una falla nell’app di gestione delle immagini di questi dispositivi, chiamata Photo Station.

Molti utenti che comprano questi dischi di rete li usano per archiviare le foto di famiglia e li rendono accessibili via Internet per consentire di condividere le immagini con parenti e amici e per poterle consultare da remoto. Un attacco ransomware a questi dispositivi diventa quindi un disastro per le vittime, perché nessuno è disposto a perdere tutte le proprie foto di famiglia e quindi il pagamento del riscatto per riaverle è quasi certo.

QNAP sollecita urgentemente tutti gli utenti di NAS ad aggiornare Photo Station alla versione più recente, oppure a passare a QuMagie, che è un’alternativa a Photo Station. La casa produttrice è altrettanto perentoria nel raccomandare di non collegare direttamente a Internet i propri prodotti, ma di farlo solo tramite la funzione cloud apposita oppure tramite VPN.

Molti utenti di questi dispositivi si sentono al sicuro perché pensano che sia impossibile per gli aggressori scoprire che hanno un NAS affacciato a Internet, ma in realtà è facilissimo farlo grazie agli appositi motori di ricerca come Shodan.io.

Attacchi di questo genere sono quindi estremamente diffusi e quindi non vanno sottovalutati: la Censys ha contato oltre 20.000 dispositivi infetti, e l’Italia, con oltre 4400 infezioni, è al terzo posto fra i paesi maggiormente colpiti, dopo Stati Uniti (con 8.500) e Germania (con 5.700). La Svizzera si piazza comunque abbastanza in alto in questa classifica, con oltre 1600 NAS colpiti [la raffica di attacchi in Svizzera mi è stata confermata direttamente anche da colleghi].

La spavalderia dei criminali, fra l’altro, non conosce limiti: i gestori del ransomware Deadbolt includono nelle loro schermate di avviso un’offerta rivolta alla casa produttrice, proponendole di acquistare da loro la chiave di sblocco universale del ransomware, che QNAP potrebbe poi dare agli utenti colpiti dall’attacco. Finora non risulta che l’azienda abbia ceduto al ricatto.

Se avete uno di questi dispositivi, insomma, seguite appena possibile le istruzioni del fabbricante, proteggeteli e aggiornateli.

Fonti aggiuntive: Ars Technica, Intego, Ars Technica, Graham Cluley.

Ogni tanto MacOS si rifiuta di vedere i dischi condivisi, specialmente dopo uno scollegamento imprevisto a causa di un inciampo su un cavo o simili (tipo quello che mi è successo stamattina): il Finder mostra la condivisione, ma non riesce più ad accedere al contenuto della condivisione. Normalmente si “risolve” il problema riavviando il Mac, ma se succede nel bel mezzo di un lavoro importante riavviare è una scocciatura notevole. 

Se vi dovesse capitare, aprite Terminale e digitate

sudo ifconfig en0 down

oppure

sudo ifconfig en1 down

a seconda della rete (Ethernet o Wi-Fi) sulla quale c’è il problema, digitate la vostra password utente, aspettate un paio di secondi e poi digitate

sudo ifconfig en0 up

oppure

sudo ifconfig en1 up

Bingo! Problema risolto. I servizi di rete vengono riavviati senza dover far ripartire il Mac. Me lo segno qui, così me lo ricordo e magari può essere utile a qualcuno.

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto, montato e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

I podcast del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano i testi e i link alle fonti di questa puntata, sono qui sotto.

Prologo

CLIP AUDIO: Musica anni '90 tratta da video promozionale dell’Apple Newton

Siamo nel 1992; è il 29 maggio. Apple presenta al pubblico un dispositivo digitale tascabile con schermo sensibile al tocco, un processore innovativo e app integrate che darà il via a un intero nuovo settore informatico. No, non è l’iPhone: quello uscirà quindici anni più tardi, nel 2007.

Questa è la storia di Newton, un quasi-flop oggi dimenticato da molti, che però ha creato le basi per gli smartphone e per tutta l’informatica tascabile. Prima di lui c’erano stati altri computer da taschino, ma Newton è formalmente il primo PDA: personal digital assistant. Un assistente personale digitale, pensato per sostituire agende, calcolatrici e taccuini. In occasione del trentennale del suo debutto, ripercorro le tappe della sua sofferta gestazione tecnica e la sua sorprendente eredità digitale, presente in ogni smartphone di oggi. Io sono Paolo Attivissimo, e vi do il benvenuto a questa puntata del Disinformatico, il podcast della Radiotelevisione Svizzera dedicato alle notizie e alle storie strane dell’informatica.

SIGLA DI APERTURA

Se è vera la teoria dei multiversi, da qualche parte esiste un universo nel quale gli smartphone sono arrivati con quindici anni di anticipo, negli anni Novanta invece che alla fine della prima decade del Duemila, e Apple ha evitato un tonfo commerciale così memorabile da essere parodiato anche dai Simpsons.

È il 29 maggio 1992. Il CEO di Apple, che in questa fase della crescita dell’azienda non è Steve Jobs, che ha lasciato Apple nel 1985, ma è John Sculley, annuncia e presenta al Consumer Electronics Show di Chicago, una delle più grandi fiere mondiali del settore informatico, un prodotto che definisce, con il classico stile Apple, “una rivoluzione”. È un computer, alimentato da quattro batterie stilo, che sta in un taschino ed è dotato di app per gestire agende e rubriche di indirizzi, prendere appunti scritti a mano libera, fare calcoli, trasmettere dati, inviare messaggi e leggere libri digitali (con quindici anni di anticipo rispetto al Kindle di Amazon). Sculley ha coniato pochi mesi prima per l’occasione il nome che caratterizzerà tutti i dispositivi di questo genere: personal digital assistant, abbreviato in PDA. In sostanza, un assistente personale digitale.

Quello presentato da Sculley si chiama Newton MessagePad, o più brevemente Newton; non è il primo del suo genere, perché Psion ha già presentato qualcosa di vagamente simile, il suo Organiser, nel 1984, e il suo popolarissimo Series 3 nel 1991, ma Newton è un salto di qualità, con uno schermo tattile sul quale si può disegnare con uno stilo appositamente fornito, e anche scrivere in corsivo appunti che il software di riconoscimento della scrittura trasforma in caratteri alfabetici digitali. Si possono disegnare forme a mano libera, che vengono riconosciute e trasformate in oggetti geometrici che possono essere trascinati sullo schermo e cancellati scarabocchiandovi sopra. Newton è in grado di inviare fax e di trasmettere dati ad altri Newton tramite una porta a infrarossi.

In un’epoca nella quale, tenete presente, il Wi-Fi ancora non esiste, visto che verrà inventato cinque anni più tardi, e i computer sono ancora oggetti fissi sulle scrivanie e quelli portatili sono pesanti, ingombranti e costosi, le caratteristiche del Newton sono impressionanti e futuribili e fanno gola a chiunque debba viaggiare molto e gestire dati per lavoro.

---

La dimostrazione di Sculley del Newton stupisce il pubblico, ma questo effetto wow è stato ottenuto a caro prezzo. Il progetto iniziale, partito sei anni prima, è stato afflitto da carenze tecnologiche enormi. I processori scelti, per esempio, sono lentissimi, il dispositivo verrebbe a costare seimila dollari agli utenti, consuma tantissima energia ed è troppo ingombrante. Molti degli sviluppatori lasciano Apple per la disperazione.

È qui che entra in gioco, stranamente, una piccola azienda informatica britannica, la Acorn, che è incredibilmente riuscita a creare un nuovo tipo di processore che offre prestazioni ragionevoli con un consumo energetico ridottissimo. Apple ci prova: investe tre milioni di dollari in quest’azienda e ottiene in cambio un processore finalmente adatto a un computer tascabile. Trent’anni più tardi, i discendenti di quel processore saranno presenti in miliardi di smartphone di tutte le marche e nei computer odierni di Apple: li conosciamo con la sigla ARM, dove la A in origine stava appunto per Acorn.

Anche il software di riconoscimento della scrittura del Newton è nei guai. Leggenda vuole che Apple riceva un aiuto in questo campo in una maniera decisamente insolita. Al Eisenstat, vicepresidente del marketing di Apple, si trova in visita a Mosca quando qualcuno bussa alla porta della sua camera d’albergo: è un ingegnere informatico russo estremamente agitato, che gli porge un dischetto e se ne va. Sul dischetto c’è una versione dimostrativa di un software di riconoscimento della scrittura nettamente superiore a quello sviluppato fino a quel punto da Apple. È leggenda, ma sia come sia, poco dopo Apple sigla un accordo con il creatore di questo software, Stepan Pachikov, e lo usa per il Newton.

Poi c’è anche la questione delle dimensioni. Il CEO di Apple, John Sculley, impone che il Newton debba essere sufficientemente compatto da stare nella tasca della sua giacca. Fra i progettisti impegnati in questa sfida c’è anche un giovane Jony Ive, oggi famoso per il suo design degli iPhone, iPod, iPad, iMac, Apple Watch e AirPod. Alla fine i progettisti ce la fanno, ma l’esemplare mostrato da Sculley in quella fatidica presentazione di trent’anni fa è incompleto e zoppicante. Sculley fa vedere al pubblico soltanto le poche funzioni del Newton che non lo mandano in crash, esattamente come farà Steve Jobs nel 2007 per la prima dimostrazione pubblica dell’iPhone.

---

Newton, insomma stupisce il pubblico e la stampa. Viene messo in vendita un anno dopo, ad agosto del 1993, al prezzo non certo regalato di circa 700 dollari dell’epoca. Il suo schermo è in bianco e nero, non è retroilluminato e ha una risoluzione di 240 per 320 pixel, che oggi farebbe sorridere ma è la norma per quegli anni. Soprattutto, però, è un prodotto incompleto: nonostante un anno di lavoro impossibilmente febbrile da parte degli ingegneri di Apple, uno dei quali, Ko Isono, si è tolto la vita per lo stress, i primi acquirenti si rendono conto ben presto che la funzione più preziosa di Newton, cioè il riconoscimento della scrittura naturale, non funziona bene, neanche dopo l’addestramento previsto appositamente.

In breve tempo il Newton diventa l’esempio tipico dei dispositivi costosi e high-tech che però falliscono miseramente nel sostituire le tecnologie analogiche precedenti. L’inaffidabilità del suo software di riconoscimento della scrittura viene parodiata un po’ovunque, persino dai Simpsons, nella puntata Lisa sul ghiaccio.

CLIP AUDIO: Spezzone della puntata dei Simpsons (originale inglese)

Apple migliorerà il Newton per qualche anno, risolvendo quasi tutti i suoi difetti iniziali, ma sarà troppo tardi: nel frattempo altre aziende, come IBM, Palm, Microsoft e Nokia, ispirate da quell’effetto wow ottenuto dalla presentazione del Newton, avranno fiutato l’affare e avranno messo sul mercato dispositivi tascabili forse meno mirabolanti ma sicuramente più affidabili e meno costosi, molti dei quali includeranno anche la connettività cellulare, come il Nokia Communicator.

In tutto verranno venduti non più di trecentomila esemplari delle varie versioni di Newton, mentre le vendite del solo rivale Palm Pilot ammonteranno a milioni di pezzi. Nel 1998 Steve Jobs, tornato a dirigere Apple, cancellerà il progetto Newton e ne farà cessare la commercializzazione. Il prodotto era troppo in anticipo sui tempi.

---

Oggi sono in pochi a ricordare il Newton, e chi lo fa lo rievoca con molta nostalgia. Ci sono ancora degli appassionati che adoperano ancora i propri Newton adesso e li hanno dotati di browser e Wi-Fi; ma pochi sanno che l’eredità di questo dispositivo è un po’ovunque. Oltre ai processori ARM e ai primi passi di design di Jony Ive, infatti, ci sono piccole chicche, come lo sbuffo di fumo animato che compare quando si cancella qualcosa sul Mac, o le icone che si aggiornano in tempo reale, che sono nate proprio con il Newton. E ci sono anche altre funzioni ben più sostanziose, come l’assistente “intelligente” che consente di fare cose sul Newton usando il linguaggio naturale, come facciamo oggi con Siri o in generale con gli assistenti vocali. Nel Newton c’è la ricerca universale all’interno di tutti i dati e di tutte le applicazioni, oggi normale nei dispositivi digitali. Il linguaggio di programmazione, NewtonScript, ha influenzato la creazione del JavaScript, linguaggio onnipresente nei siti Web di tutto il mondo.

Oggi l’intero settore dei PDA, o personal digital assistant, è stato assorbito da quello degli smartphone e in parte da quello degli smartwatch, e il termine stesso comincia a svanire dalla memoria. Ma senza quel Newton e l’idea folle di realizzare un computer grafico da taschino negli anni Novanta non saremmo qui a dettare i nostri appuntamenti e a scambiare foto, musica e messaggi sui nostri telefonini. Buon trentesimo compleanno, Apple Newton, e congratulazioni per un fallimento di grande successo.

Fonti aggiuntive: Ars Technica, iMore.com, History-computer.com, Cult of Mac.

A volte le notizie false si avverano: un finto allarme informatico che risale a vent’anni fa è diventato realtà. Se avete un iPhone, questa storia vi riguarda.

Il primo aprile 2002 fu diffuso su Internet l’allarme per il virus informatico Power-Off o pHiSh, che aveva “un'efficacia notevolissima, in quanto riscrive direttamente il BIOS, rendendo quindi inaccessibili e inservibili i dischi rigidi, il mouse e la tastiera (i dati sono recuperabili soltanto smontando immediatamente i dischi rigidi e installandoli su un altro computer non infetto), ma soprattutto perché agisce prima dell'avvio del sistema operativo, ossia proprio quando l'antivirus non può fare nulla per fermarlo.”

L’allarme forniva molti altri dettagli sul funzionamento di questo virus, facendo notare che era particolarmente pericoloso perché agiva quando il computer era spento: “anche l'antivirus più moderno e aggiornato è attivo soltanto quando il sistema operativo è in funzione (e in realtà si avvia alcuni secondi dopo che è stato avviato il sistema operativo stesso, lasciando quindi una finestra di vulnerabilità anche verso altri virus meno sofisticati).”

Ma l’antivirus non può fare nulla prima che il sistema operativo si avvii e soprattutto non può' fare nulla quando il computer è spento. E qui, spiegava l’allarme, “entra in funzione pHiSh. Molti dei computer moderni, infatti, non si "spengono" mai completamente. Quando ad esempio dite a Windows di arrestare il sistema, alcune parti del computer rimangono sotto tensione. Il filo telefonico del modem rimane alimentato (come potete verificare con un tester), i condensatori e i compensatori di Heisenberg presenti nel computer mantengono un residuo di corrente e soprattutto il BIOS rimane alimentato da una batteria interna. Il computer è insomma in "sonno", ma non è del tutto inattivo, ed è a questo punto che agisce il nuovo virus.”

Questo avviso era un pesce d’aprile, scritto in un’epoca nella quale i pesci d’aprile non erano stati ancora travolti dalle fake news e dalle notizie vere ma surreali alle quali ci ha abituato la cronaca di questi ultimi anni, e si sa esattamente quando è stato creato e da chi. L’autore sono io, e trovate il testo integrale dell’allarme qui su Attivissimo.net.

Gli indizi del fatto che si trattasse di un pesce d’aprile erano tanti: a parte l’assurdità tecnica, la citazione dei “compensatori di Heisenberg” (che non esistono ma sono un’invenzione degli autori della serie di fantascienza Star Trek), il fatto che il nome del virus fosse pHiSh, ossia “pesce” in inglese, e la data di pubblicazione erano segnali abbastanza evidenti. Ma molti ci cascarono, vent’anni fa. A mia discolpa preciso che l’allarme suggeriva di rimediare al problema cambiando un’impostazione di Microsoft Outlook in un modo che migliorava davvero la sicurezza degli utenti.

Ma gli anni passano, la tecnologia corre, e quello che sembrava palesemente assurdo vent’anni fa oggi è reale. Un gruppo di ricercatori all’Università Tecnica di Darmstadt, in Germania, ha infatti pubblicato un articolo tecnico nel quale spiega che quando si “spegne” un iPhone, in realtà lo smartphone non si spegne completamente, e che questo fatto può essere sfruttato per far funzionare un malware che resta attivo anche quando un iPhone sembra spento.

In sostanza, anche quando si dà il comando di spegnimento a un iPhone, alcuni circuiti integrati dentro il telefono continuano a funzionare in modalità a bassissimo consumo per circa 24 ore, per esempio per tenere attive le funzioni che consentono di ritrovare gli iPhone smarriti o rubati. Uno di questi circuiti integrati, quello che gestisce le comunicazioni Bluetooth, non ha nessun meccanismo di verifica del software (firmware) che esegue: non c’è firma digitale e non c’è neppure una cifratura. I ricercatori hanno approfittato di queste carenze per creare un software ostile che consente all’aggressore di tracciare la localizzazione del telefono e di eseguire funzioni quando il telefono è formalmente spento.

La tecnica di attacco descritta dai ricercatori di Darmstadt è abbastanza difficile da mettere in pratica, perché richiede accesso fisico al telefonino e richiede che lo smartphone sia stato sottoposto a jailbreak, ma il fatto che i componenti elettronici restano attivi quando l’utente crede che il telefonino sia spento apre la porta a scenari piuttosto preoccupanti. Se venisse scoperta una falla che consente di attaccare questi componenti tramite segnali radio, come è già accaduto per i dispositivi Android nel 2019, sarebbe un guaio notevole, perché rilevare un’infezione nel firmware di un componente elettronico è molto più difficile che rilevarla in iOS o Android, e correggere un difetto di sicurezza in un componente elettronico è praticamente impossibile.

Purtroppo l’idea di lasciare attivi alcuni componenti negli smartphone anche quando sono “spenti” è abbastanza diffusa, perché questo consente di usare il telefono per pagare o per aprire la serratura dell’auto anche quando la batteria è quasi totalmente scarica; ma crea una situazione per nulla intuitiva, nella quale l’utente crede che il proprio telefonino sia spento quando in realtà è ancora acceso. E l’informatica è già abbastanza complicata senza aggiungervi anche questi inganni terminologici.

Fonte aggiuntiva: Ars Technica.

Già sentire che Apple, Google e Microsoft si alleano per fare qualcosa insieme fa notizia. Se poi l’alleanza in questione ha lo scopo di abolire definitivamente le password, la notizia diventa quasi incredibile. Ma stavolta pare proprio che si faccia sul serio e che ci si possa preparare alla scomparsa delle password, che verranno sostituite da un sistema semplice e universale chiamato FIDO. Provo a raccontarvi come funzionerà e come un sistema più semplice possa essere più sicuro di quello complicato attuale.

Ci sono tre modi fondamentali per autenticarsi informaticamente: qualcosa che sai (per esempio una password o un PIN), qualcosa che hai (un dispositivo, tipo una tessera o smart card) e qualcosa che sei (un’impronta digitale oppure un altro dato biometrico, come per esempio il volto).

Proteggere i propri dati e i propri account usando soltanto il “qualcosa che sai”, ossia le password, come facciamo oggi, è scomodo, macchinoso e profondamente insicuro. Molti utenti cercano di ridurre questa scomodità utilizzando password facili da ricordare (e quindi facili da indovinare per i ladri) e adoperando la stessa password dappertutto, col rischio di vedersi rubare tutti gli account in caso di furto di quella singola password.

Alcuni utenti usano l’autenticazione a due fattori: per collegarsi a un account su un dispositivo nuovo devono digitare non solo la password ma anche un codice usa e getta, ricevuto tramite mail o SMS o generato da un’app sullo smartphone. Questo migliora parecchio la sicurezza, perché il ladro deve scoprire la password e anche intercettare questo codice usa e getta: deve insomma scoprire il “qualcosa che sai” e impossessarsi fisicamente di un “qualcosa che hai” (ossia lo smartphone della vittima sul quale arriva il codice). Ma questo sistema è macchinoso, richiede che l’utente si ricordi la password e digiti anche un codice distinto per ciascun servizio, e comunque i ladri informatici di oggi sanno creare trappole per carpire anche questi dati.

Microsoft, Google e Apple propongono invece, tramite il sistema FIDO, di lasciar perdere le password e i codici da digitare manualmente e di usare al loro posto una chiave digitale unica, valida per tutte e tre queste aziende e probabilmente anche per molti altri fornitori di servizi che si accoderanno a questa alleanza di giganti informatici. Questa chiave è un codice crittografico estremamente complesso che viene conservato sullo smartphone, sul tablet o sul computer dell’utente (o anche su tutti questi dispositivi contemporaneamente) e, volendo, viene conservato anche su Internet, e che l’utente non ha mai bisogno di digitarlo. FIDO è un sistema di sicurezza completamente passwordless, ossia senza password.

In pratica, se voglio accedere a un mio account, mi basta il “qualcosa che sei”, per esempio il sensore d’impronta o il riconoscimento facciale del mio dispositivo. Tutto qui. Il volto o l’impronta non vengono trasmessi via Internet: restano nel dispositivo.

Se cambio o perdo il mio dispositivo, posso recuperare questa chiave usando un altro dispositivo già autenticato sul quale ho già la medesima chiave. Anche qui, niente password di recupero. Il sistema FIDO resiste ai furti perché non posso essere indotto con l’inganno a digitare password o codici nel sito dei truffatori, visto che non ho nulla da digitare.

Inoltre quando accedo a un sito usando un nuovo dispositivo, il mio smartphone o altro dispositivo che contiene la mia chiave deve essere fisicamente nelle immediate vicinanze di quel nuovo dispositivo mentre lo autorizzo. Questa vicinanza viene verificata tramite una trasmissione Bluetooth. E così se voglio, per esempio, leggere la mia posta di Gmail sul computer di qualcun altro, devo solo visitare Gmail con quel computer, scrivere il mio indirizzo di mail e poi toccare il sensore d’impronta o guardare la telecamera del mio smartphone per autenticarmi.

Il controllo di vicinanza tramite Bluetooth impedisce a un ladro remoto di entrare nel mio account convincendomi con l’astuzia a confermare il suo accesso sul mio smartphone, e durante questo scambio di dati via Bluetooth il mio telefonino verifica anche che il computer si stia collegando al sito vero e non a un sito truffaldino che gli somiglia nel nome e nella grafica. In caso di furto del telefonino, il ladro dovrebbe riuscire a scavalcare il sensore d’impronta o il riconoscimento facciale per poter tentare di usare la chiave.

Tutto questo dovrebbe funzionare con qualunque sistema operativo (Windows, iOS, Android o altri), con qualunque browser moderno e con qualunque dispositivo recente.

Troppo semplice per essere sicuro? Troppo bello per essere vero? Lo scopriremo presto. La FIDO Alliance, che coordina lo sviluppo di questo sistema e include anche Intel, Qualcomm, Amazon e Meta oltre a banche e gestori di carte di credito, prevede che FIDO comincerà ad entrare in funzione entro la fine del 2022. In Giappone, già circa 30 milioni di utenti Yahoo sono già passwordless.  

È vero che si sente parlare di eliminazione delle password da almeno un decennio, ma la collaborazione di Apple, Google e Microsoft e il fatto che con il sistema FIDO tutto il necessario è già nelle mani di alcuni miliardi di utenti, che non devono comprare dispositivi appositi, potrebbero fare davvero la differenza.

Maggiori dettagli sul sistema FIDO sono reperibili sul sito Fidoalliance.org, nel blog ufficiale di Google e sul sito di Microsoft.

Fonte aggiuntiva: Ars Technica.

È disponibile subito il podcast di oggi de Il Disinformatico della Radiotelevisione Svizzera, scritto e condotto dal sottoscritto: lo trovate presso www.rsi.ch/ildisinformatico (link diretto) e qui sotto.

I podcast del Disinformatico sono ascoltabili anche tramite feed RSS, iTunes, Google Podcasts e Spotify.

Buon ascolto, e se vi interessano il testo e i link alle fonti di questa puntata, sono qui sotto.

---

Sto pedinando digitalmente una donna per le vie di Lugano. La vedo mentre va a trovare un’amica, ha un incontro di lavoro, si ferma davanti ai negozi, entra in un centro commerciale e prende l’autobus per tornare a casa. La seguo comodamente, tramite un’apposita app sul mio smartphone, fino al suo indirizzo di abitazione. La cosa più strana è che i passanti mi stanno dando una mano a pedinarla, e neanche lo sanno.

Niente paura: la donna in questione è mia moglie e si è offerta volontaria per un test degli AirTag, i localizzatori elettronici di Apple, piccoli come bottoni, basati sulla tecnologia Bluetooth già usata per gli auricolari e per tanti altri accessori per smartphone, tablet e computer. Si attaccano per esempio alle chiavi di casa o a qualunque oggetto che si tema di perdere e permettono di ritrovarlo in caso di smarrimento. 

Non sono i primi localizzatori del genere sul mercato, ma gli AirTag hanno una caratteristica molto particolare: funzionano a grandi distanze, anche fuori dalla normale portata del Bluetooth, che è di qualche decina di metri, perché si appoggiano a tutti i telefonini Apple che si trovino nelle vicinanze. Lo fanno anche altri localizzatori di altre marche, come per esempio gli SmartTag di Samsung, ma nessun concorrente può contare su un numero così elevato di smartphone degli utenti, che diventano sensori inconsapevoli di una rete di tracciamento vastissima e capillare.

Finché un AirTag è a pochi metri dal suo proprietario, comunica direttamente usando i segnali radio del suo piccolo trasmettitore Bluetooth e gli può anche indicare in che esatta direzione e a che distanza si trova. Ma questo trasmettitore è intenzionalmente molto debole, per far durare a lungo la batteria incorporata. Così Apple usa una tecnica ingegnosa per estendere il raggio d’azione del suo localizzatore: qualunque iPhone che passi nelle vicinanze di qualunque AirTag e abbia il Bluetooth attivo riceve automaticamente il segnale identificativo di quell’AirTag e lo inoltra via Internet ad Apple. Se avete un iPhone, fate parte della rete di rilevamento degli AirTag e magari non lo sapete nemmeno.

[CLIP da Il Cavaliere Oscuro]

Lucius Fox: Hai trasformato ogni cellulare di Gotham in un microfono spia.

Batman: E in un generatore ricevitore ad alta frequenza.

Lucius Fox: Lei ha preso il mio concetto di sonar e lo ha applicato a tutti i telefoni della città. Con mezza città che le dà segnali, può tracciare la mappa di Gotham.

Per tutelare la privacy, il segnale di ogni AirTag ha una chiave digitale che è nota soltanto al localizzatore stesso e al proprietario, e i dati che vengono trasmessi sono ulteriormente mascherati tramite hashing. In parole povere, un passante il cui iPhone riceva   il segnale Bluetooth di un AirTag non può sapere a chi appartiene quel localizzatore o altre informazioni: si limita a ricevere gli impulsi radio e a inoltrare automaticamente i dati ricevuti, che non può decifrare. Ci sono anche vari altri strati di protezione digitale che permettono, in sostanza, soltanto al legittimo proprietario di un AirTag di ricevere informazioni da quell’AirTag.

Ma di fatto, praticamente tutti gli iPhone in circolazione sono sensori della rete di tracciamento di Apple. Questo è incredibilmente utile quando si tratta di ritrovare le proprie chiavi smarrite, o di localizzare la propria valigia in aeroporto magari mentre qualcuno la sta portando via per errore al posto della propria identica o la sta proprio rubando. Ma cosa succede se qualcuno decide di usare questo potere per pedinare una persona senza il suo consenso? È già accaduto: per esempio, negli Stati Uniti la modella Brooks Nader ha raccontato di aver trovato un AirTag non suo nella tasca del proprio cappotto dopo aver visitato un bar di Manhattan, e non è l’unico caso del suo genere.

Questi localizzatori, facilissimi da configurare, estremamente piccoli e discreti, poco costosi, con una durata che si misura in mesi e una portata enorme, possono essere annidati facilmente: in una tasca di un indumento, in uno zaino di scuola, in una cucitura di un cappotto, nelle pieghe della carrozzeria di un’automobile. Il loro design ultraminimalista non li identifica vistosamente come dei dispositivi di tracciamento. Sembrano, effettivamente, dei grossi bottoni bianchi. Si apre insomma l’era dello stalking digitale di massa, a portata dell’utente comune. Non occorre nessuna conoscenza tecnica.

----

Ovviamente Apple, come gli altri produttori di dispositivi analoghi, si è resa conto del rischio di abusi e ha integrato negli AirTag una serie di limitazioni apposite. 

Per esempio, qualunque AirTag che si allontani a lungo dal proprietario e rilevi di essere in movimento farà suonare un cicalino, per cui una vittima di stalking potrebbe udire questo avviso acustico e accorgersi di avere un localizzatore addosso. Ma dai primi test sembra che “a lungo” significhi fino a 24 ore, per cui c’è tempo in abbondanza per un pedinamento quotidiano, per esempio di una persona convivente. Inoltre il cicalino può essere difficile da udire se l’AirTag è sepolto sul fondo di una borsetta o applicato a un’automobile. E inevitabilmente è nato anche un mercato di AirTag modificati, nel quale il cicalino è completamente silenziato.

Apple ha predisposto anche un’altra misura antipedinamento: un AirTag che sia lontano dal proprietario e si muova insieme a voi farà comparire un avviso sul vostro telefonino, ma soltanto se avete un iPhone. Se avete uno smartphone di qualunque altra marca, niente avviso.

Chi ha uno smartphone Android può installare un’app di nome Tracker Detect, disponibile nel Play Store di Google, che permette di cercare manualmente eventuali AirTag indesiderati e indurli a produrre un avviso acustico (sempre che non siano stati modificati). Ci sono anche altre app che fanno una scansione generica di qualunque dispositivo Bluetooth, come LightBlue e BLE Scanner per iPhone o BLE Scanner e Bluetooth Scanner per Android. Anche Samsung offre un’app analoga, SmartThings, per i propri dispositivi di localizzazione [Android; iOS]. Ma in ogni caso si tratta di un procedimento macchinoso e manuale, che l’utente deve fare appositamente e periodicamente.

Chi trova un AirTag sconosciuto può inoltre appoggiarlo contro il proprio smartphone di qualunque marca (basta che sia dotato di sensore NFC) e riceverà un link che rivelerà il numero seriale e le tre cifre finali del numero di telefono del proprietario del localizzatore. Lo stesso link informerà anche su come disabilitare un AirTag trovato: in sostanza, spiegherà come si toglie la sua batteria.

Attenzione, però , ai falsi allarmi: alcuni utenti di iPhone hanno segnalato che il loro smartphone avvisava di aver rilevato un accessorio sconosciuto e quindi hanno temuto che si trattasse di un AirTag abusivo. In realtà l’avviso veniva prodotto da alcuni modelli di cuffie senza filo. Va chiarito anche che la localizzazione remota funziona bene soltanto se ci sono degli iPhone nelle immediate vicinanze. Se siete da soli in aperta campagna o su una strada poco battuta, gli AirTag non potranno comunicare la vostra presenza.

Se temete che qualcuno vi stia tracciando, insomma, queste app sono un aiuto, ma conviene abbinarne l’uso alla tecnica classica manuale di frugare nelle proprie borse, negli indumenti e in qualunque altro luogo in cui un malintenzionato potrebbe nascondere un localizzatore.

Da parte sua, Apple sta aggiornando iOS in modo che chi configura un AirTag riceva un avviso molto chiaro del fatto che usare questo dispositivo per tracciare le persone senza il loro consenso è un reato in molte regioni del mondo e del fatto che il dispositivo è progettato per essere rilevato da eventuali vittime e per consentire alle forze dell’ordine di richiedere informazioni che consentano di identificare il proprietario dell’AirTag. L’azienda dice di aver già collaborato con la polizia in diverse occasioni per rintracciare chi aveva piazzato abusivamente degli AirTag. È confortante, ma è anche una conferma del fatto che il problema è reale.

---

Una dimostrazione positiva della potenza di questi dispositivi di tracciamento è arrivata dalla Germania, dove la ricercatrice di sicurezza e attivista informatica berlinese Lilith Wittmann ha usato gli AirTag per dimostrare che un’agenzia governativa tedesca è in realtà una copertura di un’attività di spionaggio. Ha spedito per posta dei plichi contenenti questi localizzatori e ne ha tracciato il percorso, scoprendo che venivano reinviati a strutture usate dai servizi di intelligence tedeschi. Il tracciamento ha funzionato sfruttando presumibilmente gli iPhone degli stessi addetti dell’intelligence. Chi si occupa di sicurezza dovrà ora fare i conti anche con questo aspetto delle tecnologie commerciali.

---

I ricercatori di sicurezza, infatti, si sono lanciati sugli AirTag per studiarli e capire come ottimizzare le loro funzioni positive e indebolire quelle negative. L’Università di Darmstadt ha già messo gratuitamente a disposizione AirGuard, un’app disponibile nello store ufficiale di Android che per certi versi è più potente delle app fornite da Apple, perché fa una scansione periodica automatica alla ricerca di AirTag e simili. Se trova ripetutamente lo stesso dispositivo di tracciamento, l’app avvisa l’utente. Se usate quest’app, tutte le informazioni di localizzazione restano nel vostro telefonino. Se nessuno vi sta tracciando, l’app vi lascia in pace, restando vigile.

È indubbio che avere un dispositivo economico che permette di trovare i propri oggetti smarriti sia utile: la sfida tecnologica è trovare il modo di consentire questo potere senza allo stesso tempo rendere troppo facile un abuso. La soluzione perfetta è ancora tutta da trovare: nel frattempo, qualche aiuto tecnologico c’è, ma come sempre è indispensabile affidarsi anche al buon senso pratico. Ogni tanto vuotate la borsa, lo zaino e il cassetto dell’auto: magari troverete cose che credevate perse per sempre.

E se vi siete persi qualcuno dei nomi delle app citate in questo podcast, non c’è bisogno di un AirTag per recuperarli: trovate il testo integrale, con i link alle singole app, sul mio blog Disinformatico.info.

[il testo della seconda parte del podcast è qui]

Fonti aggiuntive: Sophos, Gizmodo, New York Times, Gizmodo, Engadget.

Ultimo aggiornamento: 2022/01/28 2:40.

Se avete un computer Apple, aggiornatelo appena possibile alla versione più recente di macOS, la 12.2. Un informatico, Ryan Pickren, ha infatti scoperto una serie di falle davvero notevoli nella sicurezza dei computer di questa marca, che permettevano di prendere il controllo di tutti gli account aperti della vittima e, ciliegina sulla torta, anche della sua webcam. 

La buona notizia è che l’aggiornamento a macOS 12.2 chiude queste falle e Pickren è un hacker buono, ossia uno di quelli che invece di tenere per sé un potere del genere o rivenderlo a qualche banda di criminali informatici contatta le aziende e segnala le vulnerabilità, tenendole segrete fino al momento in cui sono disponibili delle correzioni. Per questa sua scelta responsabile Apple lo ha ricompensato con 100.500 dollari, come previsto dal programma di bug bounty dell’azienda, che prevede premi variabili a seconda della gravità della falla segnalata responsabilmente.

Ma come è possibile che delle falle di un sistema operativo (in questo caso macOS) permettano di prendere il controllo degli account della vittima? A prima vista sembrerebbero due cose molto distinte. Pickren ha spiegato i dettagli della sua tecnica di attacco.

Il primo passo è molto banale: convincere la vittima a visitare con Safari, il browser standard di Apple, un sito che fa da trappola. Il sito non contiene virus o altro: ospita semplicemente un documento innocuo, per esempio un’immagine di un tenerissimo cucciolo o il classico buongiornissimo caffé, collegato tramite un link (URI) speciale, icloud-sharing:, che viene usato normalmente da Safari per i documenti condivisi tramite iCloud.

In pratica la vittima, quando visita il sito-trappola, riceve un invito a scaricare un documento condiviso innocuo. Se accetta, come è probabile se il documento ha un nome allettante, Safari scarica il documento stesso. La vittima apre il documento, vede che è una foto non pericolosa e non ci pensa più.

Fin qui niente di speciale. Ma la falla di macOS scoperta da Ryan Pickren ha un effetto molto insolito: siccome il documento è stato scaricato usando la funzione di condivisione di Apple, il creatore del documento condiviso può cambiare a proprio piacimento il contenuto della copia scaricata sul computer della vittima. In altre parole: la foto del cucciolo puccioso viene sostituita per esempio da un programma eseguibile, che a questo punto l’aggressore può attivare sul Mac della vittima quando vuole.

L’astuzia non è finita. Normalmente macOS non consente di eseguire programmi non approvati (grazie a Gatekeeper). Ma Pickren ha scoperto un modo per eludere questi controlli. Il programma ostile iniettato nel Mac della vittima può quindi agire indisturbato, senza che la vittima riceva richieste di approvazione, ed eseguire per esempio del JavaScript che può fingere di provenire da Twitter, Google, Zoom, PayPal, Gmail, Facebook o qualunque altro sito (è possibile impostarne l’origin a piacimento) e può fare tutto quello che può fare la vittima nel proprio account presso questi servizi: pubblicare messaggi, cambiare impostazioni, cancellare contenuti e anche attivare la webcam.

Questa falla, comunque, è stata ora corretta, insieme a un’altra molto grave che permetteva di prendere il controllo dei Mac e di sorvegliarne le attività (creando una backdoor).

Morale della storia: non fidatevi delle offerte di scaricare documenti condivisi da siti che non conoscete, neanche se i documenti sembrano innocui, e aggiornate il vostro macOS appena possibile, naturalmente dopo aver creato una copia di sicurezza dei vostri dati.

A proposito di aggiornamenti Apple: ce ne sono anche per gli Apple Watch, per i media player della stessa marca, per i suoi altoparlanti smart (che finalmente introducono il riconoscimento vocale multiutente in italiano),  per gli iPhone e per gli iPad. Smartphone e tablet passano alla versione 15.3 e risolvono una falla che permetteva ai siti ostili di scoprire quali altri siti avevate visitato e di ottenere altri dati personali. Anche qui, conviene aggiornarsi al più presto. Le istruzioni per farlo sono come sempre sul sito di Apple.

Ultimo aggiornamento: 2022/01/05 18:05.

Se si compone *3001#12345#* sulla tastiera di un iPhone e si preme l’icona di chiamata non parte una telefonata ma si ottiene il Field Test Mode: una modalità nascosta che permette di avere informazioni tecniche sulla propria connessione cellulare. Per uscire da questa modalità è sufficiente premere il tasto Home.

Normalmente questa modalità serve soltanto ai tecnici per fare analisi e diagnosi delle connessioni, ma può essere interessante da conoscere per curiosità e da far vedere per mostrare quante cose avvengono dietro le quinte in uno smartphone. Magari è anche un “trucchetto” carino per stupire gli amici.

I dati che compaiono sono molto criptici e, appunto, utili soltanto agli addetti ai lavori. Però ci sono sezioni abbastanza comprensibili anche per i non iniziati, come per esempio quella denominata Serving Cell Measurements, che fornisce informazioni sulla qualità del segnale cellulare, per esempio nelle voci Measured RSSI, Average RSRP e Average RSRQ, spiegati qui su Digi.com: RSRP (Reference Signal Receive Power) indica la potenza media ricevuta da un singolo segnale di riferimento; RSRQ indica la qualità del segnale ricevuto e e RSSI (Received Signal Strength Indicator) è legato ai primi due valori e rappresenta in sostanza il totale della potenza ricevuta.

Sul mio iPhone 8 di test, aggiornato con iOS 15.2, non mi compaiono le voci e le informazioni dettagliate che invece vedo descritte altrove (per esempio qui, qui e qui). Negli screenshot non ho oscurato i dati perché la SIM è una prepagata che uso solo per i test. Riuscite a trovare qualche altra info interessante?

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

Per esempio, macOS 12.1 aggiunge SharePlay, per condividere musica o video oppure il contenuto di un’app durante le videochiamate, ma con alcune limitazioni. Sono migliorati anche i controlli parentali, che permettono di attivare avvisi se i figli minori ricevono o inviano foto intime tramite l‘app Messaggi. Le correzioni di sicurezza sono elencate qui.

iOS e iPadOS 15.2 contengono una nuova impostazione che permette di vedere meglio quali app hanno avuto accesso alle informazioni personali, ma sono aggiornamenti importanti soprattutto per le correzioni di sicurezza, che sono davvero tante. Alcune delle falle corrette da questi aggiornamenti consentivano di prendere il controllo del dispositivo usando semplicemente un’immagine o un file audio appositamente alterato.

Anche gli Apple Watch e le Apple Tv hanno i loro bravi aggiornamenti, rispettivamente alle versioni 8.3 e 15.2, ma non sono particolarmente significativi, a parte la correzione di una falla che permetteva di prendere il controllo degli Apple Watch tramite un’immagine appositamente confezionata.

C’è invece una novità interessante che riguarda Android: la cosa può sembrare strana, visto che Apple normalmente non produce software per Android, ma stavolta è così. L’azienda ha infatti rilasciato una nuova app Android, chiamata Tracker Detect, che permette anche agli smartphone di questo tipo, oltre che agli iPhone, di rilevare i dispositivi di tracciamento e localizzazione AirTag di Apple. Gli iPhone possono farlo andando nell’app Dov’è, scegliendo Oggetti e poi Identifica l’oggetto trovato.

Questi dispositivi, grandi come una moneta, sono pensati per rintracciare oggetti smarriti o rubati, come chiavi o valigie, ma sono utilizzabili anche in modo illecito per pedinare le persone a distanza e quindi è importante che anche gli utenti Android possano usare il proprio smartphone come rilevatore di eventuali AirTag nascosti da qualcuno nelle loro cose.

Una volta tanto non è urgente installarli: non introducono miglioramenti importanti della sicurezza, perlomeno per l’utente comune, per cui aggiornatevi se volete, ma non sentitevi particolarmente in obbligo. Non c‘è fretta: Windows 10 continuerà a essere supportato fino a ottobre del 2025.

Come sempre, prima di aggiornare un sistema operativo, fate un backup completo dei vostri dati e delle vostre applicazioni (meglio ancora, dell’intero sistema), controllate che le applicazioni che usate e il vostro hardware siano compatibili con la nuova versione di Windows/MacOS e ritagliatevi un paio d’ore di tempo per l’aggiornamento. 

Ho provato a installare sia Windows 11 sia MacOS Monterey, e anche sui miei computer non particolarmente potenti o recenti non sembrano causare rallentamenti. In entrambi i casi, il computer stesso vi avvisa se è compatibile o meno con l’aggiornamento non appena tentate di avviarlo.

Windows 11

La nuova versione del sistema operativo di Microsoft offre un nuovo design molto pulito, che però ha una scelta probabilmente controversa: il pulsante Start, che per decenni è stato nell’angolo in basso a sinistra, ora sta in basso al centro della Taskbar, sovvertendo abitudini e automatismi ben radicati nella memoria muscolare degli utenti. Si può riportare a sinistra andando nelle impostazioni di Windows 11.

A parte questo, una novità interessante di Windows 11 è che vi girano o gireranno anche le applicazioni Android, grazie al Windows Subsystem for Android (WSA), anche se con alcune limitazioni hardware e geografiche. C’è una gestione più potente dei monitor multipli e delle finestre multiple, arriva un nuovo Store delle app Microsoft e ci sono alcune migliorie per i gamer. Ma non ho visto nulla che mi faccia correre ad installarlo.

MacOS 12 (Monterey)

Il nuovo MacOS è installabile anche su computer piuttosto vecchiotti (ho appena finito di installarlo su un Mini del 2014). Anche qui non ci sono miglioramenti che fanno venire fretta di installarlo: sono arrivati gli shortcut, ossia dei “programmi” o script che permettono di automatizzare le operazioni ripetitive (tipo creare una GIF partendo da un video). I Mac possono ora essere usati come monitor e altoparlanti per altri dispositivi, tramite AirPlay: si può mostrare sullo schermo del Mac lo schermo di un iPhone, per esempio. I MacBook recenti hanno una funzione di consumo energetico ridotto (è nelle impostazioni della batteria). C’è un’opzione che consente di limitare notifiche e distrazioni.

La novità forse più interessante è lo Universal Control, che però non è ancora disponibile ma dovrebbe consentire prossimamente di usare una sola tastiera e un solo trackpad o mouse di un Mac per comandare altri Mac e iPad nelle sue vicinanze (che siano sulla stessa rete Wi-Fi e usino lo stesso Apple ID e soprattutto permetterà di trascinare e mollare un file da un dispositivo all’altro.

I nuovi MacBook Pro, per contro, rivelano una magagna piuttosto comica: il loro schermo ha una tacca, il notch, per ospitare la webcam, ma la barra menu situata in alto non ne tiene conto e alcune sue voci finiscono per essere nascoste dalla tacca. Piuttosto imbarazzante, per un’azienda che ha il culto del design e dell’estetica.

Questo tweet https://twitter.com/thelazza/status/1453307197115490317 mostra un problema serio dei nuovi Mac con la tacca per la webcam:

WTF HAHAHAHA HOW IS THIS SHIPPABLE? WHAT IS THIS?! pic.twitter.com/epse3Cv3xF

— Quinn Nelson (@SnazzyQ) October 26, 2021

Il problema è parzialmente risolvibile cambiando le impostazioni dello schermo in modo da sacrificarne una fettina.

Fonti aggiuntive: Howtogeek, Gizmodo.