Ultimo aggiornamento: 2020/09/28 13:25.

Oggi (27/9) mi è stato segnalato che c‘è un sito di e-commerce italiano che custodisce (si fa per dire) i dati dei propri clienti senza usare password. Basta tirare a indovinare il numero di login, e si entra.

A ogni cliente viene infatti semplicemente assegnato un numero di login progressivo. Per vedere i dati degli altri basta digitare quel numero.

Digitando un numero di login esistente (i numeri sono a sei cifre e sono sequenziali) si entra nell’account senza ulteriori formalità.

Si leggono i dati dell’utente.

I dati di tutti non sono solo visibili a chiunque tramite una semplice enumerazione dei login (ossia tentandoli tutti in automatico, uno dopo l'altro), ma sono anche modificabili. Senza password. Un utente mi ha dato il permesso di provare a cambiare i dati del suo account. Sì, sono modificabili.

La Privacy Policy dice che i dati "Saranno custoditi con le misure... di sicurezza adeguate" (ho alterato il testo per non consentire di identificare il sito, ma il senso è quello). Certo, come no. E la policy dice che l'azienda, in caso di violazione dei dati personali, notificherà entro 72 ore al Garante Privacy.

C’è un cordialissimo servizio di assistenza clienti:

Vediamo se funziona, anche se quello che ha bisogno di aiuto non sono io, ma il DPO del sito. Gli ho scritto questo: “Buongiorno, sono un giornalista informatico. Mi è stato segnalato che tutti i dati dei vostri clienti sono accessibili e modificabili semplicemente digitando i loro numeri di login. Chiunque potrebbe entrare e vedere, cancellare o alterare uno per uno i dati dei vostri clienti. Sono a disposizione per eventuali chiarimenti.”

Messaggio inviato. Giusto per chiarezza: per colpa dell’incredibile incompetenza di chi ha creato questo sito, chiunque potrebbe entrare nel sito e acquisire, cancellare o alterare sistematicamente tutti i dati dei clienti.

Vediamo che succede fra 72 ore.

2020/09/28 13:25

Stamattina mi ha scritto il direttore commerciale dell’azienda, in risposta alla mia segnalazione, dicendo che la sua software house è già stata incaricata di bloccare l’accesso all’area clienti, che adotterà nome utente e password, e che i suoi consulenti hanno avuto l’incarico di attivare la procedura di data breach secondo policy aziendale e GDPR.

In effetti accedendo all’area clienti ora si vede questo:

Nessuno dei clienti del sito con i quali sono in contatto ha segnalato finora di aver ricevuto notifiche sull’accaduto.

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Falle di sicurezza così epiche e ridicolmente facili da sfruttare non càpitano spesso. Basta mandare una mail o un messaggio a un utente MacOS o iOS per rubargli file sensibili, come la cronologia di navigazione di Safari, se non è particolarmente attento. Sì, prendetevi pure il tempo di rileggere questa frase.

La trappola funziona così: l’aggressore manda alla vittima una mail o un messaggio contenente un link a una foto di un gattino (o altra immagine accattivante) e l’invito a condividere la foto con un amico. Una cosa tutto sommato normale.

Quando la vittima clicca sul link per vedere la foto (tipo quella mostrata qui sopra) e clicca sul pulsantino di condivisione, MacOS o iOS compone automaticamente una mail o un messaggio che contiene un allegato. Quell’allegato è il file history.db della vittima. Se la vittima invia la mail, invia anche quel file, che l’aggressore può esplorare per trovare informazioni compromettenti. Ta-da!

Una dimostrazione pratica di questa tecnica è stata pubblicata qui e i dettagli tecnici sono spiegati su Redteam.pl. Questo è il banalissimo codice, inseribile in qualsiasi sito Web, che fa scattare la trappola.


La dimostrazione qui sopra preleva il file /etc/passwd, che non contiene le password ma comunque contiene informazioni sensibili come i nomi degli account esistenti sul dispositivo bersaglio. Per ottenere il file con la cronologia di navigazione è sufficiente linkarlo come segue:



In sintesi: viene usata la funzione navigator.share abbinata a uno schema file:, che MacOS e iOS autorizzano ad andare a prendere file dal disco della vittima. Il resto del codice (la fila di \n) serve solo a creare un po’ di a capo per nascondere meglio la presenza dell’allegato.

La mail risultante (di Mail.app) ha un aspetto del tutto innocuo: solo scorrendo in basso si nota che è allegato un file di nome passwd o altro.


Anche il messaggio composto da Messages cliccando sul pulsante di condivisione non rivela dettagli dell’allegato.


Certo, in questa dimostrazione il file rubato viene mandato a una persona scelta dalla vittima. La tecnica per far mandare il file a un destinatario complice viene lasciata alla creatività e all’immaginazione del lettore.

Al momento non esiste alcun aggiornamento correttivo: Apple è stata avvisata del problema ad aprile scorso e secondo Redteam.pl dice che non rimedierà prima della primavera del 2021.

Morale della storia: se usate MacOs o iOS, fate attenzione agli inviti di questo genere.


Ringrazio @Decio per la segnalazione.

Ultimo aggiornamento: 2020/03/26 16:25.

Milioni di persone si affacciano improvvisamente per la prima volta al lavoro a distanza. Alcuni devono ancora imparare le basi. Concetti complessi come “se tu vedi loro, loro vedono te, anche quando porti il dispositivo al gabinetto” forse vanno ripassati. Altrimenti succede quello che si vede in un video che è diventato virale: durante una conferenza di gruppo su Zoom, una donna porta con sé il proprio dispositivo in bagno e lo lascia acceso e rivolto verso di sé mentre si cala pantaloni e mutande e si siede sul water, sotto gli occhi allibiti degli altri partecipanti alla teleconferenza.

Nota: inizialmente avevo pubblicato qui un tweet nel quale era incorporato il video, ritenendo che il suo valore di monito fosse importante e che l’anonimato della donna fosse protetto. Ma un’indagine tecnica ha permesso di risalire alla sua identità e quindi ho rimosso il video. Spero che la descrizione sia un monito sufficiente.

Siate prudenti. Siate consapevoli. E come regola generale, non portate in bagno i vostri dispositivi. Specialmente se hanno un microfono e/o una telecamera.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Cats, il film basato sul celeberrimo musical a sua volta basato sul libro di poesie di T.S. Eliot, è un disastro tecnico di proporzioni epiche. Chi è andato al cinema a vederlo ha notato che gli effetti speciali digitali che dovrebbero trasformare gli attori in umanoidi felini sono sbagliati, assenti o incompleti.

Spicca, per esempio, la mano umanissima di Judi Dench, con tanto di anello al dito. C’è anche la mano umana di Rebel Wilson, addirittura in uno dei trailer ufficiali.


Chi ha visto il film nella sua versione iniziale ha detto di aver notato anche “un uomo che se ne sta semplicemente in piedi in mezzo a una scena di un raduno di gatti” e “una donna che dovrebbe essere un gatto ma è stata soltanto colorata e si sono dimenticati di aggiungerle il pelo” e altro ancora. I corpi e i volti degli attori (nomi fra l’altro di altissimo livello) sono spesso fuori sincronismo: “si vede chiaramente la separazione fra i volti degli attori e il ‘pelo’ digitale [... e si vedono] le linee delle scarpette da danza sotto quelli che dovrebbero essere piedi o zampe nude” (Screenrant).

Gli attori hanno infatti girato le scene indossando tute per motion capture e poi gli artisti digitali hanno usato i dati posizionali acquisiti dalle tute per aggiungere il pelo digitale e fondere le forme umane con quelle feline, a volte con risultati esteticamente sconcertanti, come si può vedere nel trailer qui sotto.


Il regista, Tom Hooper, aveva detto di aver finito il film appena prima della sua anteprima mondiale, ma chiaramente si è perso per strada qualcosa. Ormai il film, costato oltre 100 milioni di dollari, è in circolazione in migliaia di sale.

Nell’era della pellicola questo sarebbe stato un disastro irreparabile, con migliaia di costose copie da buttare e rifare e un incubo logistico senza pari, ma dato che ormai quasi tutti i film sono distribuiti su supporto digitale o addirittura tramite download, la Universal, che distribuisce Cats, ha preso una decisione senza precedenti: sostituire tutte le copie digitali fallate con una versione aggiornata e corretta, che è in distribuzione da un paio di giorni. Siamo arrivati alle patch per i film.

In passato è già capitato che un film sia stato modificato o corretto dopo l’anteprima, ma questo solitamente è avvenuto prima della duplicazione in massa per la distribuzione. L’unico incidente vagamente analogo che mi viene in mente è il ritiro, nel 1999, di 3,4 milioni di copie su videocassetta di Le avventure di Bianca e Bernie, un cartone animato della Disney datato 1977: in una scena della pellicola originale qualcuno aveva infatti inserito abusivamente, per due fotogrammi, una piccola foto di una donna a seno nudo che si affacciava a una finestra dello sfondo disegnato.


Fonti aggiuntive: Hollywood Reporter, Screenrant.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Un ricercatore di sicurezza californiano, Joseph Tartaro, ha creduto di aver avuto un’idea geniale quando, nel 2016, ha ottenuto la targa automobilistica personalizzata NULL. Come ha spiegato alla conferenza d’informatica Defcon, in molti linguaggi informatici NULL è una parola riservata che rappresenta il valore “vuoto” o “non definito”.

È diverso da zero, perché zero è un valore definito (se Mario ha zero libri, sappiamo quanti ne ha; se Mario ha NULL libri, vuol dire che non sappiamo quanti ne ha e neanche se ne ha).

La speranza di Tartaro era che il sistema informatico di gestione delle multe, leggendo la stringa NULL nel campo del numero di targa, l’avrebbe interpretata come “targa non definita” e quindi non gli avrebbe potuto infliggere multe.

Non è andata come sperava: invece di eludere le multe, gli sono arrivate tutte le multe nelle quali l’agente di polizia non aveva indicato il numero di targa o il sistema di lettura automatico delle targhe non era riuscito a leggere correttamente.

A un certo punto il totale delle multe a carico del ricercatore è arrivato a 12.049 dollari. Gli sono arrivate anche sanzioni che risalivano a prima che avesse l’auto. Ora sta litigando con l’amministrazione californiana e con l’azienda privata che gestisce le multe per cercare di farsi togliere le sanzioni che non lo riguardano, ma è un procedimento lungo e pieno di rimpalli.

Se volete sapere tutti i dettagli, Wired.com li racconta e aggiunge la storia di un uomo che si è trovato con lo stesso problema, ma non per scelta: si chiama infatti Christopher Null, e la sua vita è, come dire, complicata. Immaginate di chiamarvi Nessuno o Assente di cognome e di dover compilare un modulo e comincerete a intuire quali possano essere le conseguenze.

Fra l’altro, non è l’unico caso del genere in campo automobilistico: nel 2014 è emerso che il sistema di lettura automatica delle targhe dei rilevatori automatici di eccesso di velocità in Francia non era in grado di gestire le nuove targhe belghe, che iniziano con un 1, e registrava soltanto la prima cifra. Risultato: le multe andavano tutte all’automobilista belga che ha la targa numero 1, ossia il Re Filippo, come riferice il Luxembourg Times di allora. Le multe sono state annullate.

Sì, lo so, c’è un celebre precedente mitologico conclusosi con successo di uno che ha usato Nessuno come nome: ma Ulisse doveva solo sfuggire a un ciclope, mica a un sistema informatico programmato al massimo ribasso e in subappalto.


Fonti aggiuntive: The Verge, Gizmodo, Ars Technica.

Ultimo aggiornamento: 2020/07/31 13:30

Se non ci sono stati cambiamenti di programma, questa sera alle 20.30 al Piccolo Eliseo di Roma verrà proiettato gratuitamente il video lunacomplottista American Moon alla presenza del suo creatore, Massimo Mazzucco.

Ci saranno vari Prezzolati Agenti del Nuovo Ordine Mondiale in borghese, che si mescoleranno tra il pubblico in maniera perfettamente dissimulata per documentare pacificamente la serata e schedare telepaticamente i presenti tramite scie chimiche miniaturizzate disciolte nelle bibite e chip sottopelle inseriti nelle poltrone. Se avete voglia di tenere loro compagnia e vedere come va a finire, la parola d’ordine è birra e salcicce. Pare che sia necessaria la prenotazione inviando una mail a comunicazione@teatroeliseo.com.



La metto sul ridere perché ho una storia comica da raccontarvi a proposito di Mazzucco: avete presente che Focus TV farà uno speciale sugli allunaggi il 18 luglio al quale parteciperò insieme a Massimo Polidoro, come ho preannunciato? Beh, il piano originale era molto diverso.

Infatti quando mi aveva contattato inizialmente Focus TV, la loro idea era di trasmettere il video di Mazzucco e poi lasciare a me e Massimo il compito di smontarne una dopo l’altra tutte le fandonie, le falsità e gli inganni.

Io ho fatto notare che due ore di video complottista avrebbero richiesto almeno altrettanto tempo per ribattere documentatamente, visto il numero vastissimo di baggianate asserite dal video. Insomma, sarebbe stata una maratona fantozziana di mortificazione che non avrebbe seguito nessuno. In confronto la Corazzata Potëmkin sarebbe sembrato Fast and Furious.

Ho proposto una sintesi: il complottista avrebbe presentato la sua top ten delle prove migliori (secondo lui) e noi avremmo analizzato quelle. Sembrava tutto deciso, e ho anche ricevuto una lista di queste presunte prove migliori, ma poi dalla produzione è arrivata la segnalazione che Mazzucco aveva rifiutato seccamente di presentare il suo video quando aveva saputo che sarebbe stato seguito da un debunking al quale avrei partecipato io e al quale non avrebbe potuto replicare (avendo già detto la sua all’inizio). Sono proprio la sua magnifica ossessione :-).

La cosa comica è che Mazzucco sarebbe stato regolarmente pagato da Focus TV per la messa in onda del suo video. Lo dice lui stesso: “A quel punto ho rinunciato a dargli il film, anche se mi è dispiaciuto parecchio perdere la possibilità di vederlo andare in onda, e di guadagnare anche qualche bel soldino” (copia archiviata qui su Archive.org).

E così, al posto di diffondere un video complottista in prima serata e di pagare un complottista, Focus ha scelto di trasmettere un documentario sugli allunaggi molto ben fatto, Il giorno che camminammo sulla Luna (The Day We Walked on the Moon), curato dallo Smithsonian Channel, e poi di mandare in onda una chiacchierata fra Massimo Polidoro e il sottoscritto in cui avremmo sbufalato le principali tesi di complotto. Comprese quelle presentate da Mazzucco.

Non poteva andare meglio:

• non andrà in onda un video complottista,
• il complottista ci ha pure rimesso dei soldi,
• e al posto del suo video andranno in onda due ore di documentario che confermano splendidamente gli allunaggi e poi un’oretta di allegro debunking.

Non c’è che dire, i complottisti hanno uno spiccato senso della comunicazione e degli affari.

La versione degli eventi raccontata da Mazzucco è, guarda caso, completamente opposta: potete leggerla senza regalargli traffico sempre qui su Archive.org. In sintesi, secondo lui lo scopo di Mediaset/Focus TV “non era affatto quello di appurare la verità sui viaggi lunari, ma piuttosto di confondere il pubblico, lasciandolo intenzionalmente nel dubbio, anche se questo avesse comportato il mandare in onda delle bugie plateali [...]“.

Addirittura, stando a quello che scrive pubblicamente Mazzucco, qualcuno della produzione di Focus TV gli avrebbe detto "Ma è proprio questo che noi vogliamo", ossia fare in modo che il pubblico non capisca dove sta la verità.

Queste insinuazioni diffamatorie non sono piaciute alla produzione, che ora si riserva di agire in sede legale.

Complimenti per l’autogol. Se andate al Piccolo Eliseo stasera, chiedetegliene conto e salutatemelo garbatamente.

2019/07/19 18:30

Mediaset/Focus TV è molto contenta del risultato della trasmissione: mi ha scritto che il documentario ha ottenuto 226.000 telespettatori e la chiacchierata fra me e Massimo Polidoro ne ha raggiunti 268.000, che è il doppio degli ascolti abituali.

Immagino che a questo punto Mazzucco stia riflettendo sulla saggezza della sua scelta di non partecipare alla trasmissione. Avrebbe potuto esporre le sue tesi a quasi trecentomila persone, e oltretutto essere pagato per farlo, e invece le ha presentate a forse trecento in un teatro. Geniale.

2020/07/31 13:30

L’intera trasmissione è ora disponibile qui sotto e su Youtube.



Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Samsung ha ottenuto un bel po’ di pubblicità gratuita quando ha presentato in pompa magna il suo smartphone con schermo pieghevole, il Samsung Galaxy Fold. Veder concretizzare un’idea che per anni è sembrata pura fantascienza è stato spettacolare. Anche il prezzo del dispositivo è stato sensazionale: poco meno di duemila dollari.

Questa pubblicità gratuita è diventata un autogol quando Samsung ha iniziato a dare i primi esemplari del Galaxy Fold ad alcuni giornalisti affinché ne scrivessero delle recensioni. Non è andata come sperato: Dieter Bohn, su The Verge, ha pubblicato le foto del suo Fold con lo schermo rotto dopo un solo giorno di utilizzo.

Lo stesso hanno fatto altri giornalisti recensori, mostrando i loro Samsung Galaxy Fold con lo schermo pieghevole rotto a metà.

After one day of use... pic.twitter.com/VjDlJI45C9

— Steve Kovach (@stevekovach) 17 aprile 2019

In alcuni casi i giornalisti hanno rimosso per errore una pellicola protettiva che hanno intepretato erroneamente come una protezione temporanea fatta per essere tolta, ma in altri la rottura totale dello schermo è avvenuta anche senza togliere la pellicola.

Considerato che mancano due settimane scarse alla messa in commercio di questo smartphone pieghevole (il 26 aprile) e che i preordini sono numerosissimi, sarà interessante vedere come Samsung gestirà il problema a livello tecnico. Gli schermi OLED flessibili che usa stanno dimostrando di deformarsi e guastarsi proprio lungo la linea di piegatura, e questo non sembra un difetto facile da risolvere, nonostante le dichiarazioni di Samsung che lo schermo è in grado di “sopportare oltre 200,000 cicli di piegatura”.

Nel frattempo l’azienda ha risposto con un laconico comunicato stampa nel quale dice che “un numero limitato di esemplari iniziali di Galaxy Fold è stato dato ai media per la recensione. Abbiamo ricevuto alcune segnalazioni riguardanti lo schermo principale sugli esemplari forniti. Ispezioneremo approfonditamente queste unità di persona per determinare la causa della questione.” Ha inoltre accennato alla rimozione della pellicola da parte di alcuni recensori, segnalandola però come questione distinta.

Staremo a vedere. Nel frattempo, per il momento lo smartphone pieghevole sembra un miraggio ancora lontano, e oltretutto di dubbia utilità una volta superato l’effetto wow iniziale.


Fonti aggiuntive: Ars Technica.

Facebook piange e Telegram ride. Per circa 14 ore Facebook è rimasto inaccessibile in buona parte del mondo. È stato il blackout più lungo nella storia di questo social network. Ora tutto è tornato a posto, ma non si sa cosa sia successo.

Facebook dice (BBC) che si è trattato di un “cambiamento di configurazione di server” che ha “innescato una serie di problemi in cascata” che hanno toccato anche WhatsApp e Instagram. Non c’è stato nessun attacco informatico, secondo l’azienda.

Per contro, Telegram, rivale di WhatsApp, ha aggiunto tre milioni di nuovi utenti nel giro di ventiquattro ore, festeggiando pubblicamente questo incremento. Il distacco fra Telegram e WhatsApp resta comunque grande: i 200 milioni di utenti dell’app di messaggistica di Pavel Durov sembrano tanti finché non si considera che WhatsApp ne ha circa un miliardo e mezzo. Tuttavia l’improvviso balzo indica che molti utenti sono prontissimi a cambiare social network e a portare con sé i propri amici, con un probabile effetto valanga.

Anche gli inserzionisti non sono contenti del blackout, perché hanno pagato Facebook per le proprie campagne pubblicitarie ma nessuno le vede. La sospensione del servizio sarebbe costata alle aziende di Zuckerberg circa 90 milioni di dollari di ricavi mancati. La BBC segnala intanto che Facebook ha perso circa 15 milioni di utenti negli Stati Uniti.

Ultimo aggiornamento: 2019/02/08 21:30.

Per settimane, qualunque dispositivo Apple recente, dagli iPhone agli iPad ai computer Mac, poteva essere trasformato in una perfetta “cimice” per ascoltare di nascosto le conversazioni altrui e anche spiare tramite la telecamerina incorporata. Era sufficiente usare in maniera particolare (ma non troppo complicata) FaceTime, l’app di videochat di Apple, chiamando la persona da spiare. Anche se la persona non rispondeva alla chiamata, il suo dispositivo apriva il microfono e attivava la telecamera.

Una falla imbarazzante, risolta provvisoriamente da Apple in maniera drastica, ossia bloccando il servizio FaceTime in attesa di realizzare e distribuire un aggiornamento correttivo.

La schermata di stato dei sistemi e servizi Apple, consultabile qui.

L’imbarazzo è stato acuito dal fatto che Apple sta puntando molto, in termini di immagine aziendale, sulla sua attenzione alla sicurezza e alla privacy, e dal dettaglio non trascurabile che il difetto non è stato scoperto dai suoi esperti di controllo qualità ma da un ragazzo quattordicenne, Grant Thompson, a metà gennaio scorso.

Grant stava giocando a Fortnite e stava attivando una chat di gruppo con FaceTime quando si è accorto che poteva sentire anche le voci degli amici che non avevano ancora risposto all’invito a partecipare alla chat.

Come se non bastasse, Apple non ha risposto alle ripetute segnalazioni del problema fatte dalla madre del ragazzo ed ha reagito solo alcuni giorni dopo che la falla è stata rivelata pubblicamente.

L’azienda si è scusata e ha promesso di distribuire un aggiornamento di sicurezza entro questa settimana. Se avete un iPhone o un iPad, quindi, ogni tanto andate nelle Impostazioni e cercate la voce Generali e poi Aggiornamento software per vedere se l’aggiornamento è disponibile. Se avete un Mac, usate l’app dell’App Store e cliccate sulla sezione Aggiornamenti oppure andate nelle Preferenze di Sistema.

Imbarazzi a parte, però, la falla aveva una limitazione importante: lasciava sul dispositivo della vittima una chiara indicazione dell’identità dello spione o ficcanaso. Era quindi poco sfruttabile da intrusi professionisti o governativi, che preferiscono non lasciare tracce, ma era una pacchia per stalker ossessivi e partner gelosi che non avevano problemi a far sapere di stare origliando le proprie vittime. Vittime che spesso non sapevano come impedire questa persecuzione.

Incidenti come questo sono un promemoria molto chiaro del fatto che circoliamo tenendo in tasca, in ufficio e sul comodino un microfono che può essere attivato a distanza ed è gestito da un software molto complesso che a volte non funziona esattamente come vorrebbero i suoi creatori e utenti.

Le raccomandazioni apparentemente paranoiche degli esperti di sicurezza e privacy, che invitano a spegnere i telefonini o lasciarli fuori dalla stanza per qualunque conversazione o attività privata, sono insomma giustificate. Lo sa bene Larry Williams, un avvocato di Houston, che ha fatto causa ad Apple sostenendo che la falla di FaceTime ha consentito a qualcuno di origliare durante una delicatissima deposizione giurata di un suo cliente. Pensateci la prossima volta che andate dal medico o dal vostro avvocato o vi trovate in altre situazioni nelle quali fate confessioni molto personali.

2019/02/08 21:30

Apple ha rilasciato MacOS 10.14.3 e iOS 12.1.4, che risolvono questa falla.


Fonti aggiuntive: Graham Cluley, New York Times, The Inquirer, New York Times, CNet.

Tumblr ha mantenuto la parola e dal 17 dicembre scorso non accetta più contenuti ritenuti “per adulti, compresi i contenuti sessuali espliciti e la nudità (con alcune eccezioni)”, dichiarando di voler diventare così “un Tumblr migliore e più positivo”. Ha iniziato a nascondere i contenuti di questo genere e ha eliminato il pulsante che consente agli utenti di chiedere un riesame della valutazione.

C’è un piccolo problema in questa transizione: per valutare l’enorme massa di contenuti pubblicati dagli utenti, Tumblr ha deciso di utilizzare una sorta di intelligenza artificiale: “Ci affidiamo a strumenti automatizzati per identificare i contenuti per adulti e gli esseri umani per aiutare ad addestrare e tenere sotto controllo i nostri sistemi. Sappiamo che ci saranno errori“, scrive Tumblr. Mai parole finali furono più profetiche.

Gli “strumenti automatizzati” di Tumblr sono diventati la barzelletta di Internet, bloccando di tutto, comprese immagini religiose e persino i post che prendono in giro i suoi errori di riconoscimento in una sorta di Inception ricorsiva, come nota Boingboing (l’errore è stato poi corretto grazie all’intervento manuale di un moderatore):


Forse l’errore più comico è che Tumblr segnala come inaccettabili anche gli esempi di immagini che Tumblr stesso ha creato per mostrare cosa è accettabile e cosa non lo è:




Infatti, puntualmente i prodigiosi “sistemi automatizzati” di Tumblr hanno immediatamente bloccato queste immagini:


Mentre l’ilarità continua, casi come questo possono servire da promemoria ben più serio per tutti quelli che periodicamente partoriscono l‘idea di affidare la sorveglianza dei contenuti e delle persone ai sistemi di riconoscimento automatico. Senza un esercito di esseri umani addestrati a valutare i singoli casi e un modo di contestare gli inevitabili errori, questi sistemi rischiano di essere un autogol formidabile.

Ultimo aggiornamento: 2018/12/07 18:00. 

Tumblr ha annunciato che dal 17 dicembre prossimo verranno banditi tutti i contenuti ritenuti “per adulti”, dopo anni di ampia tolleranza che ne avevano fatto, fra l’altro, un rifugio per molti utenti che volevano evitare la pornografia commerciale e i suoi cliché e cercavano invece un luogo sicuro nel quale esprimere senza tabù e senza essere giudicati le proprie opinioni e visioni su argomenti altrove vietati. Uno studio del CNR di Pisa ha rilevato che le donne giovani sono fra le principali creatrici e frequentatrici di Tumblr.

La scelta è probabilmente legata al fatto che poche settimane fa Apple ha rimosso l’app di Tumblr dall’App Store per iOS in seguito alla scoperta di contenuti pedopornografici su Tumblr. L’app è rimasta disponibile su Google Play.

La decisione in sé può far discutere, ma la modalità usata per realizzarla è sicuramente un flop informatico di dimensioni spettacolari: il sistema di “intelligenza artificiale” adoperato per riconoscere i contenuti non più accettabili sta segnalando come inaccettabile ogni sorta di immagine assolutamente non pornografica e lasciando passare altre immagini estremamente esplicite. Ecco alcuni esempi:





Ne trovate altri qui, qui, qui e qui, dove si segnala che persino l’annuncio delle nuove regole da parte di Tumblr è stato etichettato come inaccettabile. Una dimostrazione perfetta del concetto che già è difficile per gli esseri umani decidere la differenza fra arte e pornografia, figuriamoci per un sistema di machine learning usato al posto di moderatori umani nella vana speranza di risparmiare soldi.

Su Twitter potete seguire l’hashtag #toosexyfortumblr.

Per ora la segnalazione è appellabile, ma stando agli utenti lo staff di Tumblr che dovrebbe vagliare i casi sta facendo più che altro confusione e discriminazione (i contenuti nazisti, per esempio, passano indisturbati).

Il risultato è una fuga in massa degli utenti verso altri siti come Pillowfort.io, con buona pace di Verizon, proprietaria di Tumblr, che forse sperava di guadagnare soldi ripulendolo.

Per il 17 dicembre è stata proposta una protesta di massa: 24 ore di inattività totale da parte degli utenti di Tumblr. Staremo a vedere.


Fonti: Wired, BBC, Wired.

Il furto dei dati di circa 500 milioni di clienti degli alberghi della catena internazionale Marriott, che include anche altri marchi noti (come per esempio Sheraton, Westin, Element, Aloft, The Luxury Collection, Tribute Portfolio, Le Méridien, Four Points e altri ancora), è il secondo più grande di tutti i tempi per numero di persone colpite. Al primo posto c’è il furto subìto da Yahoo nel 2013, quando furono trafugati i dati di tre miliardi di account.

Ma che cosa se ne fanno, esattamente, i criminali di questi dati?

A prima vista l’archivio dei clienti di una catena d’alberghi non sembra particolarmente allettante, visto che oltretutto sembra per ora che i dati delle carte di credito dei clienti Marriott non siano stati violati. Ma in realtà anche gli altri dati sottratti hanno un valore notevole: nomi e cognomi, indirizzi di mail, numeri di telefono, numeri di passaporto, date di nascita e date di partenza e arrivo possono infatti essere usati per moltissime truffe informatiche.

Le più ovvie sono quelle che contattano la vittima, via mail o per telefono, spacciandosi per il servizio clienti della catena alberghiera e offrendo un rimborso da versare sulla carta di credito, se la vittima è così gentile da fornirne il numero e il codice di sicurezza. Questo genere di raggiro è estremamente convincente se viene accompagnato da così tanti dati personali: chi altro, se non l’albergo, saprebbe per esempio le date di arrivo e di partenza?

È vero che molte persone fiuteranno comunque il tranello, ma nella massa ci sarà sempre qualcuno che abboccherà. E qui la massa è grande: con cinquecento milioni di bersagli, anche un successo ogni mille tentativi frutterà cinquecentomila carte di credito di persone economicamente ben dotate, e i tentativi possono essere completamente automatici.

Ci sono anche truffe meno ovvie: per esempio, molti utenti usano la stessa password dappertutto, per cui quella che hanno usato per prenotare camere presso questa catena è quella che usano anche per la mail o per i social network. Accedere alla mail aziendale di qualcuno permetterebbe di mandare istruzioni di lavoro fasulle, come un cambio di conto corrente su cui pagare un fornitore, in modo che il pagamento finisca sul conto dei criminali. Accedere a un account su un social network consentirebbe di trovare foto imbarazzanti da usare per estorsioni e ricatti oppure permetterebbe di fare spamming.

Ma c’è anche un altro modo per sfruttare dati alberghieri rubati: i numeri dei passaporti possono essere usati per creare passaporti falsi o per aprire conti correnti spacciandosi per le vittime. Lo spionaggio governativo ne può approfittare per sorvegliare gli spostamenti dei funzionari dei governi spiati, grazie per esempio al fatto che negli Stati Uniti esiste un archivio pubblico di tracciamento dei viaggi che si basa proprio sul numero di passaporto.

Insomma, quello che poteva sembrare un problema marginale ha implicazioni molto serie. Se negli ultimi anni siete stati ospiti di questi alberghi, vi conviene cambiare le vostre password, visitare il sito info.starwoodhotels.com per avere istruzioni e tenere d’occhio gli estratti conto della vostra carta di credito.


Fonti: Wired, Kroll.com, Ars Technica, Gizmodo, Naked Security, Il Post.

La recente trasmissione della RSI Dataland ha raccontato il sistema di controllo sociale automatizzato adottato in alcune città della Cina, dove telecamere dotate di riconoscimento facciale identificano chi attraversa le strisce pedonali quando ha il semaforo rosso. Il volto e il nome della persona vengono mostrati istantaneamente su un megaschermo.

A Shenzhen, per esempio, chi viene colto a commettere ripetutamente questo comportamento vietato viene punito perdendo punti nel proprio “credito sociale”: perde l’accesso a prestiti, non può prendere un aereo o un treno ad alta velocità, e altro ancora. No, non è una puntata di Black Mirror: questa è la realtà resa possibile dai costi bassissimi dei sistemi di sorveglianza di massa.

Gli amanti dell’ordine sociale potrebbero dire “Beh, ma dove sta il problema? Basta rispettare la legge.” Ma cosa succede quando questi sistemi automatizzazi sbagliano e riconoscono una persona che non c‘entra nulla?

È successo proprio questo, secondo quanto riporta il South China Morning Post: nella città portuale di Ningbo, il sistema ha colto in fallo la signora Dong Mingzhu, perché ne ha riconosciuto il volto, e l‘ha denunciata pubblicamente facendo comparire il suo volto e il suo nome sul megaschermo della vergogna.

Ma Dong Mingzhu non aveva affatto attraversato le strisce col rosso: il suo volto era presente nella pubblicità sulla fiancata di un autobus che transitava sul passaggio pedonale. La signora, infatti, è una notissima imprenditrice che dirige una grande azienda di impianti per l’aria condizionata.

La polizia locale si è prontamente scusata e ha detto che il sistema è stato completamente aggiornato. La signora Dong ha orwellianamente ringraziato la polizia per il proprio lavoro e invitato la popolazione a rispettare le regole del traffico. Ma viene da chiedersi cosa sarebbe successo se la persona erroneamente riconosciuta non fosse stata una celebrità capace di far sentire la propria voce.


Fonte: Naked Security.

Ultimo aggiornamento: 2018/12/05 9:50.

Quando pensi di averle viste tutte in informatica, arriva sempre qualche notizia ancora più bizzarra. Installare un software di gestione per cuffie rendeva permanentemente vulnerabili i computer Windows.

L’azienda di sicurezza informatica Secorvo ha scoperto che Headsetup e Headsetup Pro, i programmi che installano i driver per le cuffie Sennheiser Office e Call center, installavano anche due certificati digitali di root malamente configurati (tanto per dirne una, la chiave privata e la passphrase per usarla erano scritte in chiaro in due file, e la passphrase era SennheiserCC).

Questo consentiva a qualunque criminale informatico di generare certificati digitali con i quali creare siti-trappola che si spacciavano perfettamente per Google, Apple, Microsoft o una banca, rendendo facili gli attacchi informatici sui computer nei quali era stato installato il software Sennheiser.

Cosa peggiore, i computer restavano vulnerabili anche dopo che era stato disinstallato il software, perché la disinstallazione non rimuoveva i certificati digitali difettosi.

Sennheiser ha pubblicato un aggiornamento correttivo e Microsoft ha diffuso un aggiornamento che disabilita i certificati digitali erronei. Chi usa le cuffie di questa marca dovrebbe quindi aggiornare il software; chi ha installato il software in passato dovrebbe eliminare il certificato digitale fallato seguendo queste istruzioni per Mac e queste per PC Windows.

2018/12/05 9:50

Ho ricevuto dall’ufficio stampa italiano di Sennheiser la precisazione che si trattava di un problema riguardante esclusivamente le cuffie Sennheiser usate per applicazioni office e call center. Riporto qui sotto integralmente la nota dell’ufficio stampa:

Per consentire alle cuffie Office e Call-Center e agli Speakerphones Sennheiser di lavorare senza problemi con PC e Mac, l’app HeadSetup stabilisce un websocket crittografato con un browser, come riporta ArsTechnica. Lo fa con l’installazione di un certificato TLS autofirmato in una posizione che i sistemi operativi riservano per la memorizzazione di certificati browser attendibili. Su Windows, questa posizione è chiamata Root CA certificate store, su Mac invece, è nota come Trust Store.

La vulnerabilità del software Sennheiser HeadSetup era derivata da un certificato autofirmato installato dalla versione 7.3 della stessa applicazione, che teneva la chiave privata di crittografia in un formato facilmente estraibile. Peraltro, poiché la chiave generata era identica per tutte le installazioni del software, sarebbe stata sufficiente una singola estrazione per generare certificati TLS falsi in grado di impersonare qualsiasi sito web HTTPS su Internet. Anche se i certificati autofirmati erano palesemente falsi, sarebbero stati accettati come autentici su tutti quei computer che avevano memorizzato il certificato creato dalla companion app di Sennheiser.

Una problematica che l’azienda tedesca ha risolto immediatamente rendendo disponibile la release di aggiornamento che, al tempo stesso, elimina il certificato vulnerabile; in ogni caso l’opzione più sicura rimane quella di eliminarlo manualmente.

Come ulteriore misura di rimedio, Sennheiser ha contattato Microsoft per ottenere l'invalidazione globale dei certificati interessati tramite un aggiornamento software mondiale, rilasciato il 27 novembre per gli utenti Windows. L'aggiornamento del sistema Windows elimina il rischio, anche per coloro che hanno scelto di eliminare il vecchio software HeadSetup attraverso un processo di disinstallazione.

Fonti aggiuntive: BoingBoing, Bleeping Computer, Ars Technica.

Fonte della foto: Repubblica.

Ricordate il famoso “tunnel Gelmini”? Quello che nel 2011, secondo un disastroso comunicato stampa dell’allora ministra dell’Istruzione Mariastella Gelmini, avrebbe magicamente collegato il Gran Sasso con il CERN di Ginevra su una distanza di oltre settecento chilometri? Ne avevo scritto qui.

A sette anni di distanza questa scempiaggine continua a fare danni. Non su Internet: su carta. Peggio ancora: su un libro di testo scolastico.

La foto che vedete qui sopra, pubblicata da Repubblica in questo articolo di Corrado Zunino, è tratta da un sussidiario della Mondadori usato nelle quinte elementari, intitolato ambiziosamente Capire il presente e scritto da Tiziana Canali. Sta a pagina 158. Il sussidiario costa 21.76 euro ed è stato acquistato in una libreria di Belluno pochi giorni fa, come riferisce Repubblica.

Il libro dice testualmente: "Oggi il Gran Sasso ospita un Parco Nazionale e dei laboratori sotterranei per la ricerca scientifica, per lo studio della fisica e dell’astrofisica. Un lungo tunnel collega questi Laboratori al CERN (Consiglio Europeo per la Ricerca Nucleare), il più grande laboratorio di fisica, che si trova al confine tra la Svizzera e la Francia, vicino alla città di Ginevra."

A quanto pare Tiziana Canali non solo ha difficoltà a capire il presente, visto che il tunnel non esiste, ma ha anche problemi di comprensione del passato, essendo ormai trascorsi sette anni dalla perla della ministra Gelmini.

Meno male che le fake news e la disinformazione sono colpa di Internet.

No, mi spiace: la colpa è dei cialtroni e dei loro complici. Quelli che quando scrivono una cazzata, invece di dire “Scusate, abbiamo sbagliato, correggiamo e staremo più attenti, ecco una copia gratis corretta”, si difendono inventando le giustificazioni più patetiche.

Infatti Mondadori, sempre secondo Repubblica, si è giustificata dicendo di essersi accorta dell’errore “due anni fa” e di aver “sospeso il libro, corretto e ristampato.” Ma evidentemente non ritirato, perché il sussidiario con l’errore è stato acquistato pochi giorni fa, e resta il fatto che l’errore era stato fatto. Un errore che mette in dubbio le competenze di Tiziana Canali. Se ha scritto questa cazzata, come facciamo a sapere che non ce ne siano altre nei suoi libri? Quelli sui quali si devono formare i bambini che vanno a scuola?

Mondadori dice che si è trattato di un “incidente grafico. In tipografia hanno dovuto stringere il box di cinque righe in cui si parla di Gran Sasso e Cern e hanno tagliato male il testo.” Che è la versione moderna di “maestra, il cane mi ha mangiato i compiti”, perché per quanto io mi sforzi non riesco davvero a immaginare una versione sensata di questo testo nella quale tagliando cinque righe venga fuori miracolosamente proprio quella stessa fesseria che c’era nel comunicato stampa della Gelmini di sette anni fa.

Sbagliare è umano. Ma bisognerebbe avere almeno la dignità di ammettere l’errore e rimborsarlo, invece di inventare giustificazioni da pagliacci e dare colpa agli altri.

 

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Ricordate la storia del lucchetto “smart” da cento dollari della Tapplock, che trasmette pubblicamente il proprio codice di sblocco? Già questo è un disastro informatico, ma c’è di peggio: è emerso che il sito Web attraverso il quale si gestiscono questi lucchetti, se interrogato con un semplice comando, rivelava non solo tutti i dati necessari per calcolare il codice di sblocco ma anche la localizzazione di ogni singolo lucchetto Tapplock.

La falla è stata risolta, ma la figuraccia no.

Un’altra azienda, della quale non è stato rivelato il nome, ha fatto ancora di peggio. Ha mandato uno dei suoi lucchetti smart a LockPickingLawyer, un esperto di sicurezza fisica, e quando lui ha fatto notare che il lucchetto era apribile semplicemente svitando tre viti, ha risposto che “il lucchetto è invincibile per chi non ha un cacciavite”:

The company that sent me the pictured fingerprint lock has provided the security quote of the year: “...the lock is invincible to the people who do not have a screwdriver.” pic.twitter.com/dmpYHAmMiY

— LockPickingLawyer (@LockPickingLwyr) 15 giugno 2018

Cento dollari per un lucchetto sono una bella cifra, ma quello venduto dalla Tapplock è un lucchetto speciale, perché è “smart”: contiene un processore e un sensore d’impronte digitali e si sblocca appoggiando sul sensore un dito autorizzato. Niente chiavi da perdere, nessuna combinazione da ricordare. C’è anche un’app per gestire fino a 500 impronte. Pratico, no?

Praticissimo, e specialmente per i ladri. I ricercatori della Pen Test Partners hanno scoperto infatti che le promesse di sicurezza del lucchetto erano decisamente fantasiose. Hanno scritto un’app che sblocca qualunque lucchetto smart di questa marca in due secondi.

Come hanno fatto? Hanno comprato uno di questi lucchetti e hanno analizzato il traffico Bluetooth fra il lucchetto e l’app. Per prima cosa si sono accorti che il codice di sblocco che veniva trasmesso era uguale per tutti gli utenti autorizzati di quell’esemplare di lucchetto (che già non è una bella cosa). Ma poi hanno scoperto che il codice di sblocco era derivato dal MAC address del dispositivo.


Un MAC address è l’identificativo univoco che viene assegnato a un singolo esemplare di qualunque oggetto che va connesso a una rete. Viene trasmesso necessariamente in chiaro in ogni pacchetto di dati che viene inviato dal dispositivo, e deve essere ricevibile da qualunque dispositivo in ascolto. Usarlo come base per le password è quindi un’idea stupendamente idiota.

Per fare un paragone, è l’equivalente di usare come password il proprio nome utente.

Eppure TappLock viene venduto dicendo che usa “crittografia AES a 128 bit, la stessa usata dai militari”.

L’azienda ha confermato la vulnerabilità e ha pubblicato un avviso che raccomanda sibillinamente ai propri clienti di aggiornare il firmware dei lucchetti “per avere la protezione più recente”, senza dire che la protezione attuale è un colabrodo.

Come per tanti oggetti dell’Internet delle Cose, a parte la pessima progettazione, il problema è che è molto improbabile che questi avvisi di aggiornamento raggiungano gli utenti e che, se li raggiungono, vengano ascoltati.

Ultimo aggiornamento: 2018/06/14 7:20.

Chiunque abbia una Tesla (o un’auto con funzioni di guida assistita di altra marca) o stia pensando di acquistarne una dovrebbe riflettere seriamente su questo video prodotto dalla BBC.


Nella prima parte del test, l’auto (una Tesla Model S con la guida assistita Autopilot attiva) segue correttamente le corsie e rallenta altrettanto correttamente, fino a fermarsi, quando il veicolo che le sta davanti incontra un’auto ferma sulla corsia, rallenta e a sua volta si ferma.

Ma nella seconda parte del test, l‘auto che precede la Tesla mette la freccia e poi cambia corsia per evitare il veicolo fermo: la Tesla invece procede diritta, senza rallentare, fino a centrare in pieno l’auto ferma.


So che Tesla sta correndo per installare software meno fallimentare di questo, e che la sua release più recente (la 2018.21.9, in distribuzione in queste ore a tutta la flotta) riduce drasticamente il tempo per il quale si possono togliere le mani dal volante (da uno o due minuti a una trentina di secondi), ma a mio parere l’Autopilot attuale (quello mostrato nel video) non può neanche essere considerato un assistente di guida. È un pericolo, perché fallisce in situazioni e in modi che l’utente non ha motivo di aspettarsi.

È vero che la situazione del test è indicata specificamente nel manuale delle Tesla e in quello di altre auto con guida assistita, ma quanti conducenti se ne ricorderanno e la terranno costantemente presente durante la guida assistita, il cui scopo è ridurre la fatica (e quindi l’attenzione) di chi guida?

Si tratta di un comportamento che è già segnalato nel libretto (manuale model x in foto) e che è rilevabile anche quando una moto scarta l’ultima auto (già ferma) quando ci si avvicina alla coda ad un semaforo. pic.twitter.com/FnHNq3ZIdA

— Telemaco (@teleblin) June 12, 2018

Il manuale della Tesla Model X dice: “Avvertimento: Il Cruise Control adattativo al traffico potrebbe non rilevare oggetti e potrebbe non frenare o decelerare in presenza di veicoli fermi, soprattutto se si procede a velocità superiori a 80 km/h e il veicolo antistante si sposta dal percorso di marcia e ci si trova davanti a un veicolo fermo un oggetto immobile. Prestare sempre attenzione alla strada davanti a sé ed essere sempre pronti a prendere immediatamente azioni correttive.”

Il problema di qualunque sistema di guida assistita di questo genere (BBC cita sia Autopilot di Tesla, sia Propilot di Nissan; da parte mia segnalo queste avvertenze nei manuali BMW e Volvo) è in quel potrebbe, che crea incertezza e che rischia di aumentare i tempi di reazione invece di ridurli.

Infatti il conducente tenderà a lasciar fare al sistema, che spesso funzionerà correttamente e quindi farà aumentare man mano la fiducia del conducente nei suoi confronti, ma poi fallirà inaspettatamente, come in questo caso, e il conducente spenderà secondi preziosi per valutare se il sistema sta per intervenire o no. Quando si accorgerà che il sistema non solo non sta intervenendo, ma sta creando una condizione di pericolo, potrebbe essere troppo tardi.

2018/06/14 7:20

La Thatcham Research ha pubblicato su Youtube un video che mostra altri dettagli dei test svolti non solo su Tesla ma anche su altre marche che offrono sistemi di guida assistita (notate quanto sbaglia il mantenimento di corsia della BMW a 1:20):


Jalopnik ha pubblicato un elenco (probabilmente parziale) degli incidenti nei quali l’Autopilot di Tesla, usato scorrettamente con eccessiva fiducia, ha ignorato ostacoli metallici (veicoli o barriere) fermi sulla corsia di marcia e li ha centrati:

• Model S si schianta contro camion dei vigili del fuoco (Utah, maggio 2018)
• Model S si schianta contro auto della polizia (California, maggio 2018)
• Model X si schianta contro spartitraffico (California, marzo 2018)
• Model S si schianta contro camion dei vigili del fuoco (California, gennaio 2018)
• Model S si schianta contro camion di traverso (Florida, maggio 2016)
• Model S si schianta contro camion di pulizia strade (Cina, gennaio 2016; con video dalla dashcam)

Ultimo aggiornamento: 2018/03/02 10:45.

Il debutto di Yakuza 6: The Song of Life, distribuito pochi giorni fa per la PlayStation 4 in anteprima in Giappone da parte di Sega, è andato leggermente storto. Perlomeno dal punto di vista del produttore del gioco.

Come racconta Ars Technica, la versione demo di Yakuza 6 infatti conteneva per errore tutti i dati necessari per avere il gioco completo invece di avere accesso soltanto al primo capitolo, come era nelle intenzioni di Sega. Lo hanno scoperto, immagino con molto piacere, alcuni giocatori, che hanno poi diffuso online la notizia.

Sega ha rimosso dai PlayStation Store regionali la demo difettosa nel giro di poche ore e ha chiesto scusa per l’inconveniente. Chi ha già scaricato la demo (30 GB) ha ancora accesso al gioco completo, stando alle segnalazioni online, e Sega ha dichiarato che i save file prodotti con la demo saranno validi anche per la versione completa finale e ufficiale.

Ultimo aggiornamento: 2017/12/01 11:35.

La falla di sicurezza scoperta in macOS High Sierra da Lemi Orhan Ergin è talmente grave che molti utenti fanno fatica a credere che sia reale. Lo è. Su macOS si può diventare root senza digitare una password [aggiornamento: Apple ha rilasciato la correzione].

Traduzione: la versione più recente del sistema operativo per computer di Apple consente a un aggressore di ottenere diritti di amministratore (root), quindi di essere padrone assoluto del computer, senza conoscerne la password. L’aggressore può quindi installare programmi ostili, cancellare dati, disabilitare la crittografia del disco (FileVault), cambiare le password degli altri utenti, riconfigurare il sistema operativo e altro ancora.

In alcuni casi, questa vulnerabilità è sfruttabile anche via Internet, senza neanche dover accedere fisicamente al computer. Per ora esistono soltanto dei rattoppi temporanei. La falla non è presente nelle versioni precedenti di macOS.

In estrema sintesi, per l’utente Mac comune le raccomandazioni sono queste:

• se non siete ancora passati a High Sierra, aspettate a farlo;
• se usate High Sierra, non lasciate incustodito il vostro Mac sbloccato, disabilitate la manutenzione remota e installate subito l’aggiornamento correttivo quando Apple lo rilascerà [aggiornamento: è stato rilasciato].

Gli utenti più esperti possono inoltre disabilitare l’utente Ospite e creare un account root con password robusta per risolvere temporaneamente il problema.


La falla di base è questa: un aggressore che ha accesso fisico al Mac incustodito seleziona il login dell’Utente ospite, va nelle Preferenze di Sistema, clicca su Utenti e gruppi e clicca sul lucchetto per abilitare le modifiche. A questo punto gli viene chiesto di immettere un nome utente e una password di amministratore: normalmente, se l’aggressore non conosce queste informazioni, non può fare nulla e il Mac è protetto.

Ma nella versione attuale di macOS High Sierra (10.13 e 10.13.1), se l’aggressore a questo punto digita root come nome utente e non immette una password ma semplicemente posiziona il cursore nella casella della password, gli basta cliccare su Sblocca ripetutamente (a me sono bastati due tentativi) e ottiene pieno accesso alle impostazioni del Mac.

Da questo momento in poi, l’aggressore ha un account onnipotente sul computer della vittima. Se il computer della vittima ha più di un account (per esempio perché ha lasciato disponibile l’utente Ospite), l’aggressore può rientrare anche dopo un riavvio, e anche a computer bloccato sulla schermata di login: gli basta digitare root senza password per entrare e fare quello che gli pare. Ho verificato personalmente.

Oops.

Questo è un video che dimostra la vulnerabilità:


La falla, tuttavia, ha anche altre manifestazioni: se la vittima ha impostato il proprio computer in modo che sia accessibile e controllabile da remoto (per esempio con VNC) e ha protetto questo accesso con una password, un aggressore può comunque accedere e prendere il controllo del Mac via Internet senza digitare alcuna password e senza alcun accesso fisico preventivo. In altre parole, un disastro. È già partita la caccia ai Mac vulnerabili, facilmente scopribili via Internet. Fra l’altro, la falla era stata segnalata un paio di settimane fa in un forum di Apple (qui, da chethan177 alle 12:48 del 13 novembre).

Per sapere se avete attiva la gestione remota, andate in Preferenze di Sistema - Condivisione e controllate lo stato delle voci Condivisione schermo e Login remoto.

Apple ha dichiarato che sta preparando un aggiornamento software che risolva il problema: nel frattempo consiglia di creare un utente root e di assegnargli una password molto lunga e complicata, come descritto qui in inglese e qui in italiano.

In particolare, se avete provato a replicare questa falla e volete assegnare una password all’utente root che avete involontariamente già creato con il vostro esperimento:

• andate in Preferenze di Sistema - Utenti e Gruppi;
• sbloccate le impostazioni usando la vostra password di amministratore;
• cliccate su Opzioni login;
• cliccate su Accedi o Modifica (il pulsante accanto a Server account rete);
• cliccate su Apri Utility Directory;
• cliccate sul lucchetto e immettete un nome utente e una password di amministratore;
• dal menu in alto, scegliete Modifica e poi Modifica la password dell’utente root;
• immettete una password robusta per l’account root. 

Se sapete usare la riga di comando, vi basta aprire una finestra di terminale come amministratore e digitare sudo passwd -u root.

Altre soluzioni sono descritte da ericjboyd (anche qui).

2017/11/29 18:00

Apple ha rilasciato un aggiornamento correttivo. Lo trovate nei consueti aggiornamenti di macOS. Notevole la raccomandazione di “Installare questo aggiornamento il più presto possibile”.

2017/12/01 8:30

È emerso che l’aggiornamento correttivo di Apple rilasciato inizialmente causa problemi nella condivisione di file locali, costringendo gli utenti ad effettuare una procedura (non banale per molti utenti) di ulteriore correzione. Apple ha così rilasciato un ulteriore aggiornamento che corregge la magagna e a quanto pare si installa automaticamente. Per sapere se l‘avete installato, andate nell’elenco degli aggiornamenti nell’app App Store: dovreste trovare due aggiornamenti etichettati Security Update 2017-001.




Fonti: Ars Technica, The Register, Engadget, Gizmodo, Motherboard, 9to5 mac, Intego, Sophos, Spider-Mac.com (in italiano).