Questo articolo è disponibile anche in versione podcast. Ultimo aggiornamento: 2022/02/18 13:25.

All’inizio sembra la classica storia di phishing bancario: un truffatore crea un sito Web che somiglia a quello di una banca, manda una raffica di SMS a casaccio che sembrano comunicazioni di allarme di quella banca e contengono un link al sito del truffatore, e poi aspetta che le vittime che hanno ricevuto quell’SMS e sono per pura coincidenza correntiste di quella banca cadano nella trappola, cliccando sul link, visitando il sito e immettendovi le proprie credenziali di accesso ai rispettivi conti bancari.

Di solito queste storie si concludono tristemente, con un truffatore che svuota i conti bancari delle vittime. Ma stavolta non è così.

Tutto è iniziato il giorno di San Valentino, quando Giulio (@_anziano_ ) mi ha mandato un tweet avvisandomi che aveva ricevuto un SMS che sembrava provenire da una banca (il mittente apparente era CartaBCC) e conteneva un messaggio di allarme: “Abbiamo sospeso temporaneamente la sua utenza si prega di compilare il seguente modulo anagrafico per riattivarla. http://pay-stub.com/relax”.

Giulio non è caduto nella trappola: anche se il messaggio era confezionato in modo da ingannare, con quel mittente falsificato, e creare ansia all’idea del blocco del conto corrente, il link contenuto nell’SMS era chiaramente sospetto per chiunque lo esaminasse a mente fredda. Infatti Pay-stub.com non sembra proprio un nome da sito bancario.

“Che faccio? Compilo?” mi ha chiesto ironicamente Giulio. 

Visitando il link con le opportune precauzioni ho visto che il falso sito bancario era ancora attivo e conteneva la schermata di richiesta credenziali di una nota banca italiana.

La cosa era piuttosto sorprendente, dato che di solito questi siti-truffa vengono identificati e rimossi dalle autorità nel giro di poche ore, ma il bello doveva ancora arrivare.

Infatti il truffatore stava ancora agendo indisturbato, raccogliendo le credenziali bancarie dei malcapitati correntisti che non si accorgevano dell’inganno. Avrei dovuto quindi allertare la banca in questione e le autorità, ma mi è arrivata una segnalazione confidenziale che ha ribaltato allegramente tutta la situazione.

Una persona, che chiamerò Alex, mi ha segnalato che aveva visitato il sito del truffatore e ne aveva esaminato la struttura, che era pubblicamente accessibile. Aveva notato per esempio il contenuto del file robots.txt, che rivelava che si trattava di un sito che era stato creato con il popolare software WordPress e in realtà apparteneva a un servizio legittimo, nel quale il truffatore si era inserito abusivamente aggiungendo le proprie pagine-esca.

Alex mi ha detto inoltre di aver provato ad aggiungere al nome del sito un nome di file usato molto frequentemente, che non cito qui per prudenza, e di aver scoperto in questo modo un vero tesoro: il file nel quale il truffatore archiviava i dati immessi dalle vittime.

Ebbene sì, non tutti i criminali informatici sono professionisti infallibili: questo genio del male aveva commesso l’errore fondamentale di lasciare pubblicamente accessibile il file nel quale stava man mano registrando le credenziali delle proprie vittime: indirizzo IP, login, nome, password, numero e CVV della carta bancaria, scadenza della carta, numero di telefono. Era sufficiente conoscerne l’URL per leggerlo tranquillamente con un normale browser: https://pay-stub.com/relax/[nomefile].txt.

Ecco un campione (opportunamente oscurato) del file:

Ho provato io stesso, immettendo naturalmente dati fasulli, e puntualmente in fondo al file *.txt è comparsa una riga nuova contenente il mio indirizzo IP e i miei dati.

31.10.147.234  user -> '37803130' |  password -> 'sgomberonte' |  tel -> '' | 

Purtroppo, però, alcuni dei dati immessi da altre persone erano probabilmente reali e quindi ho contattato alcune delle vittime per avvisarle. Molte non erano al corrente della situazione e sono state giustamente sospettose nel ricevere la mia telefonata di avviso, nella quale ho spiegato chi ero e non ho chiesto dati personali ma li ho comunicati io a loro, ossia il contrario di quello che fa un truffatore: ho detto cose del tipo “Buongiorno, sono un giornalista informatico, se lei è il signor Taldeitali ed è correntista presso la Banca Cosìecosà e la sua password inizia con queste lettere, tenga presente che la sua password è stata rubata e rinvenuta in un archivio di password trafugante e le conviene cambiarla immediatamente”.

Come sempre in questi casi, non è facile raggiungere le vittime una per una, e quando le si raggiunge è molto difficile spiegare tutta la situazione. Del resto, se vi telefonasse uno sconosciuto dicendovi le vostre password bancarie, come la prendereste?

Per fortuna le pagine-trappola sono state rimosse due giorni dopo (oggi pomeriggio, insomma) e quindi i dati rubati non sono più reperibili pubblicamente. Ma ne ho conservato una copia, ed esaminandola è venuta fuori la beffa: a un certo punto molte vittime si sono accorte che si trattava di un tentativo di truffa e quindi hanno inondato il ladro di dati fasulli, rendendo praticamente inutilizzabile la raccolta di credenziali iniziata dal truffatore.

Anzi, alcune delle vittime hanno scelto di immettere dei dati apparentemente plausibili insieme a dei nomi utente o password decisamente scurrili, che non posso riferire qui, per far capire al ladro che non si erano fatte ingannare. Se il ladro conosce alcuni dialetti italiani, avrà trovato alcune descrizioni molto colorite delle attività personali di sua madre e numerosi suggerimenti pittoreschi su pratiche anatomicamente impegnative a cui poteva dedicarsi.

Ma non è finita: all’inizio del file che conteneva le credenziali c’erano anche i dati delle prove fatte dal ladro, che includevano anche il suo indirizzo IP.

Si tratta di un indirizzo IP italiano, specificamente della rete cellulare Vodafone. Ho comunicato questi dati alla Polizia Postale italiana, che a questo punto dovrebbe avere tutto il necessario per identificare l’aspirante ladro. 

----

Una volta tanto è andata bene, insomma: ma truffatori come questi compaiono tutti i giorni, per cui conviene imparare da questi incidenti a lieto fine come riconoscere i tentativi di inganno.

• Prima di tutto, non bisogna mai fidarsi dei mittenti degli SMS, perché possono essere falsificati facilmente. 
• Poi non bisogna mai cliccare sui link presenti negli SMS, specialmente se si tratta di messaggi di allarme che riguardano conti bancari o spedizioni postali o vincite inaspettate.
• Infine bisogna ricordare che nessuna banca seria allerterà i propri clienti tramite dei messaggini contenenti dei link o chiederà telefonicamente di confermare codici di accesso.

Siate prudenti. E se siete informaticamente ben protetti (la cosa più semplice è usare Browserling.com, che vi offre tre minuti di tempo su un computer remoto sacrificabile), potreste provare a visitare questi siti-trappola e riempirli di informazioni sbagliate: aiutereste a proteggere le vittime nascondendo le loro credenziali vere in una selva di credenziali fasulle. In alternativa, se vi imbattete in uno di questi siti potete segnalarlo a Google presso Safebrowsing.google.com, cliccando su Report phish. Google a sua volta allerterà gli utenti se lo visitano.

Immagine esemplificativa. Credit: Fortinet.

Ultimo aggiornamento: 2020/10/06 4:10.

Ho a che fare con un caso insolito di furto di denaro tramite carta di credito. La vittima è stata attirata con l’inganno su un sito di phishing, che ha visitato con il proprio iPhone (recente e aggiornato). Ha immesso nel sito il numero e il CVV della carta. Già così è una brutta situazione, lo so.

Ma il suo conto bancario è protetto da un sistema di sicurezza che include un SMS di verifica contenente un PIN usa e getta, per cui la transazione fraudolenta non può andare in porto se non viene digitato questo PIN. 

Qui sta il mistero: l’SMS è arrivato alla vittima, che giura di non averlo digitato, ma la transazione è stata completata lo stesso come se il PIN fosse stato immesso manualmente. Alla società che gestisce la carta di credito risulta che il PIN sia stato immesso e quindi la transazione è andata in porto: i truffatori hanno rubato il denaro dalla carta della vittima e la banca si è rifiutata di risarcire perché stando ai suoi log la vittima ha usato l’SMS di validazione.

Subito dopo è arrivata una seconda transazione fraudolenta, con relativo PIN proveniente dalla società emettitrice della carta di credito, ma i truffatori non sono riusciti a prelevare altro denaro perché nel frattempo la società emettritrice aveva bloccato la carta.

L’ipotesi prevalente, per ora, è che il sito dei truffatori contenesse del software per leggere gli SMS ricevuti dalla vittima, forse usando la funzione OTP Autofill, come quando ci si iscrive ad alcuni social network e il PIN di autenticazione viene letto automaticamente dall’app del social network.

Se avete teorie migliori, segnalatele nei commenti. Grazie!

Stanno già arrivando le prime ipotesi:

Ho provato con l'iPhone a loggarmi su Amazon con 2F abilitato: cliccando sul campo di immissione del codice OTP dopo aver ricevuto l'SMS il codice compare più in basso, cliccandoci sopra il codice viene immesso nel campo senza doverlo digitare. pic.twitter.com/Mh3jf3dWF7

— PierGiggi (@pierchiodo) October 4, 2020

Questo è riferito a questa funzione:

pic.twitter.com/Df9Pk9I0Mj

— quellaltro (@ggalt5) October 5, 2020

Dai commenti cito questo articolo di Benthamsgaze che parla del Security Code AutoFill di iOS 12 e segnala la pericolosità degli SMS di autenticazione per le transazioni:

SMS based OTP, whether used for 2FA or transaction authentication, has been criticised for not being the most secure choice of technology. For example, in recent years the National Institute of Standards and Technology (NIST) initially publicly criticised SMS as a communication medium for secure authentication, labelling it as insecure and unsuitable for strong authentication. However more recently, they have softened their language and instead deprecated SMS 2FA. Yet, it’s still considered secure enough to be used for Strong Customer Authentication under the new EU Payment Service Directive 2.

[...] Examples in which Security Code AutoFill could pose a risk to online banking security include a Man-in-the-Middle attack on the user accessing online banking from Safari on their MacBook, injecting the required input field tag if necessary, or where a malicious website or app accesses the bank’s legitimate online banking service.

 

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Brawl Stars è un gioco piuttosto popolare della Supercell (quella di Clash of Clans), uno dei tanti nei quali si usa una “moneta” interna per acquistare oggetti virtuali, poteri, skin o altre risorse: le gemme.

Normalmente queste gemme si ottengono giocando oppure si acquistano pagandole in denaro reale (per esempio 2000 gemme costano 110 euro). Mi è arrivata in proposito una segnalazione di un genitore perplesso perché il figlio voleva usare il sito Itbrawler.com per avere gemme gratis.


Visitando il sito si ottiene questa schermata:


Cliccando sul Tutorial compare un video che dice come avere ben 5000 gemme “gratis” (un controvalore di 275 euro): bisogna installare delle app (Pop Slots e Lords Mobile).

Cliccando su Genera compare invece la richiesta del tag giocatore (la schermata accetta qualunque valore), seguita dalla richiesta di invitare gli amici tramite WhatsApp per ricevere altre gemme di bonus. Il pulsante di invito è un link contenente la seguente stringa:
 whatsapp://send?text=Ehi,%20oggi%20possiamo%20ottenere%20gemme%20gratis%20in%20Brawl%20Stars,%20Cosa%20aspetti!%F0%9F%94%A5%20https://itbrawler.com/?w

Da telefonino, l‘invito non può essere scavalcato. Poi occorre cliccare sulla “verifica”, che mostra il tutorial che chiede di installare due app. I link portano a jump.ogtrk.net, che Scamadviser considera a bassa affidabilità (identità dei proprietari nascosta, collocazione a Panama, e altri fattori). Ma soprattutto le app proposte chiedono il numero di telefonino dell’utente (Bitte geben Sie Ihre Handynummer ein: / Geben Sie die Telefonnummer ein und senden Sie eine Nachricht, um Ihren Inhalt zu erhalten!). Perché?

Visitando il link di una di queste app con Chrome e con lo user-agent impostato su Android KitKat (per simulare che si tratti di una visita fatta da un telefonino Android, altrimenti non compare nulla) diventa molto evidente la ragione di tanta generosità:


Il numero di telefonino, se immesso, viene inviato al numero breve 522 e questo attiva un abbonamento che costa 14,9 CHF a settimana e fa capo a una società di Singapore. Altro che gemme gratis.

Auf https://ch1.nt.myvivo.xyz erhält der Benutzer die Möglichkeit, alle bereitgestellten Spiele für die Dauer des Abonnements zu spielen/herunterzuladen. Zum beenden, senden sie sms keyword: stop GO an 522 oder Kontaktieren an unsere hotline: +41445816440. Wenn sie auf kaufen klicken und das mo sms auf die Kurznummer 522 senden, bestätigen Sie sich an zu unbeschränktem videozugang im wochengebuhr von 14,9 CHF/Woche und akzeptieren des agb's.

Certo, la dicitura sullo schermo avvisa che l’abbonamento è revocabile inviando un SMS con la parola GO (o stop GO) al numero breve 522. Ma quanti giovani giocatori capiranno il tedesco e saranno così pazienti da leggersi e annotarsi queste istruzioni?

Come sempre, se un’offerta sembra troppo bella per essere vera, non è vera.

Ieri, durante la trasmissione Filo Diretto della Radiotelevisione Svizzera, ho inviato in diretta al conduttore, Enea Zuber, un SMS facendo in modo che il numero del mittente, sul suo telefonino, fosse quello della Casa Bianca (+1(202) 456-1414), con il seguente testo:

Hi Enea, it's Donald here. When are you coming to see me here at the White House for a good hamburger? Bring Charlie as well!

Ovviamente si tratta di un classico spoofing del numero del mittente, effettuato tramite uno dei tanti servizi disponibili online, e in questo esempio volutamente innocuo l’inganno è molto evidente. Ma se il numero di telefonino che ho simulato fosse stato quello di un amico o familiare di Enea presente nella sua rubrica telefonica, sul telefonino del conduttore sarebbe apparso anche il nome di quell’amico o familiare.

Questo rende estremamente credibile una truffa in cui per esempio il truffatore manda alla vittima un SMS spacciandosi per un familiare che è in viaggio all’estero (informazione facile da trovare grazie ai social network) e dice di essere stato derubato di tutto e di non poter pagare l’albergo, per cui ha bisogno che la vittima gli mandi subito dei soldi tramite Western Union. Le coordinate per il trasferimento di denaro sono nell’SMS e sono ovviamente quelle del conto Western Union del truffatore.

Un altro esempio: il truffatore manda un SMS imitando il numero di telefono della banca della vittima, informandola che c’è un grave problema sul suo conto, che risulta vuoto e chiedendo di richiamare l’assistenza clienti al numero indicato nel messaggio. Il numero è ovviamente quello del truffatore, che chiede alla vittima le coordinate del conto e i codici di accesso dicendo che gli servono per una verifica, e il gioco è fatto.

Se le restrizioni regionali ve lo consentono, potete vedere l’esperimento qui (da 4.21 in poi) oppure (senza restrizioni) qui, insieme a molti consigli su come difendersi dalle truffe telefoniche della giurista Katia Schober-Foletti e del giornalista Francesco Lepori.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Se siete sulla rete cellulare svizzera e avete ricevuto degli SMS da numeri brevi (short number), lunghi da tre a cinque cifre, per esempio in relazione a offerte di oroscopi o abbonamenti a siti pornografici, probabilmente vi state chiedendo chi ve li stia mandando e magari vorreste contestarli o bloccarli.

In questo caso può essere utile consultare i siti dei principali operatori cellulari svizzeri, che hanno predisposto delle apposite pagine Web.

Quella di Salt consente la ricerca per numero breve o per nome del fornitore dei servizi via SMS e ne restituisce l’indirizzo e i recapiti telefonici, mail e Web insieme a un comodo riepilogo dei comandi standard da inviare per esempio per cancellarsi da un servizio.

La pagina di Swisscom permette la ricerca in base al numero, al nome o al merchant ID del fornitore (riportato nella vostra fattura, se siete abbonati ai suoi servizi) e fornisce tutti i recapiti e l’elenco dei comandi standard, insieme ai relativi costi.

La pagina di Sunrise consente la ricerca dei fornitori in base al numero, tramite un menu a tendina che ne elenca i nomi oppure in base alla categoria.

Per maggiori informazioni su questi servizi SMS/MMS (SMS premium) c’è inoltre una pagina apposita dell’Ufficio Federale delle comunicazioni (UFCOM) che include il codice di comportamento di questi fornitori di servizi.

Non esiste ancora una versione ufficiale di Fortnite Battle Royale per dispositivi Android, e così i truffatori si sono scatenati a proporne finte “versioni craccate” o “anteprime” per gli smartphone di questo tipo. Non cascateci: sono trappole che possono costare moltissimo perché infettano i dispositivi e prelevano soldi dal conto prepagato o dall’abbonamento.

Digitare fortnite in Google Play produce una schiera notevole di risultati: ma nessuno è della Epic Games.

Youtube è appestata da video che annunciano trucchi per avere Fortnite per Android, dicono che l’app è nel Play Store (falso) o che c’è una versione non ufficiale o un’APK scaricabile andando a un sito che non è il Play Store e abilitando l’opzione per installare app da fonti sconosciute. Non credeteci.

La società di sicurezza informatica Sophos ha provato a scaricare una di queste false app di Fortnite, pubblicizzata in uno dei tanti video presenti su Youtube, e ha scoperto che l’app contiene soltanto un gioco rudimentale ma soprattutto attiva l’invio di SMS a pagamento.

Queste immagini sono state raccolte dai ricercatori di Sophos:




Pazientate, insomma, oppure procuratevi un dispositivo che già supporta Fortnite (PC e Mac, Xbox, Playstation e iPhone/iPad), come descritto in questa pagina del sito ufficiale.

Ha fatto scalpore la notizia, pubblicata da Reuters, che dei ricercatori informatici (Collin Anderson e Claudio Guarnieri) hanno denunciato la violazione di alcuni account della popolare app di messaggistica cifrata Telegram appartenenti ad attivisti politici iraniani e sono riusciti a identificare i numeri di telefono di circa 15 milioni di utenti Telegram del paese. L’annuncio ha creato dubbi sull’effettiva riservatezza delle comunicazioni effettuate con quest’app.

Le violazioni sono avvenute sfruttando il fatto che Telegram utilizza gli SMS per abilitare nuovi dispositivi all’uso di un account. Se questi SMS vengono intercettati, per esempio tramite l’operatore della rete cellulare, un intruso può aggiungere un nuovo dispositivo a un account e quindi ricevere i messaggi scambiati dall’utente di quell’account e leggere le cronologie delle chat. Questo significa che Telegram è vulnerabile nei paesi nei quali gli operatori telefonici collaborano strettamente con i governi.

Secondo i responsabili di Telegram, tuttavia, la vulnerabilità è risolvibile evitando di usare gli SMS di verifica e usando al loro posto una password robusta e una casella di mail ben protetta, ossia la verifica in due passaggi introdotta da Telegram l’anno scorso.

L’identificazione di massa degli utenti, invece, è stata liquidata da Telegram come un non problema, perché “sono stati raccolti soltanto dati pubblicamente disponibili” e non sono stati violati gli account. Ma in realtà sapere chi usa Telegram, e saperlo in modo massiccio come in questo caso, è comunque un problema di sicurezza per gli utenti.

Una catalogazione di massa degli utenti Telegram di un paese consente infatti ai governanti di sapere chi sente il bisogno di comunicare in modo segreto. Come mai lo fa? Cos’ha da nascondere? In molti paesi il solo fatto di usare app che fanno cifratura è considerato sospetto. Avendo i numeri di telefonino degli utenti Telegram, un governo può non solo identificare gli utenti, ma sapere dove abitano, chi chiamano e dove si trovano. In caso di manifestazione in piazza, per esempio, un governo può usare la rete cellulare per sapere chi ha partecipato e quali dei partecipanti usano Telegram e quindi sono più sospetti.

Come sempre, insomma, si può sapere molto di una persona anche senza intercettare il contenuto delle sue comunicazioni ma sfruttando soltanto i metadati che le descrivono: con chi ha comunicato, a che ora, per quanto tempo, e dove si trovavano gli interlocutori. È meglio tenerlo ben presente prima di fidarsi ciecamente delle promesse di sicurezza offerte dalle app di messaggistica.


Fonti: Sophos, @pwnallthethings.

Credit: 20min.ch

Se ricevete sul telefonino, per esempio tramite WhatsApp, un invito a partecipare a un sondaggio che potrebbe farvi vincere dei soldi, lasciate perdere e non rispondete, anche se il sondaggio presenta un marchio famoso: è con tutta probabilità un tentativo di truffa che può svuotarvi il portafogli.

In queste ore circola in Svizzera un allarme specifico per un sondaggio diffuso tramite WhatsApp: ostenta marchi noti, come Migros e IKEA, ma non è organizzato da queste aziende o da WhatsApp. Promette una carta regalo da 150 o 500 franchi ma in realtà induce l'utente a immettere il proprio numero di telefonino e altri dati, sottoscrivendo un abbonamento a un servizio SMS premium nel quale ogni messaggio costa 5 franchi (circa 4,6 euro), prelevati tre volte a settimana. Un mese di quest'abbonamento costa insomma circa 60 franchi (circa 55 euro), addebitati in bolletta.

Nel caso del sondaggio attribuito fraudolentemente alla Migros viene citato il sito migros.geschenkkarten-aktion.com, che secondo Domaintools è stato creato il 12 ottobre scorso e non è intestato a Migros ma a una società di anonimizzazione statunitense, PrivacyGuardian.org.

Difendersi da questo genere di raggiro richiede un po' di attenzione e prevenzione: se il nome del sito visualizzato non corrisponde a quello dell'azienda, è probabilmente una trappola, e se non si immette il numero del proprio telefonino non si sottoscrive l'abbonamento ingannevole. C'è comunque, tipicamente, un avviso che informa sui costi, ma spesso è in lingue diverse dall'italiano o è comunque scritto in forma poco chiara.

Per prevenire alla radice questo tipo di trappola si può chiedere al proprio operatore telefonico di bloccare completamente i servizi SMS premium: le istruzioni sono sui siti degli operatori (Sunrise, Salt, Swisscom). Maggiori informazioni sono sul sito dell'Ufficio federale delle comunicazioni.


Fonti: Migros, RSI, La Regione, Corriere del Ticino.

L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Un difetto in CoreText di iOS consente a una specifica sequenza di caratteri di mandare in crash un iPhone o un Apple Watch e ovviamente molti ne stanno approfittando per sabotare almeno temporaneamente i dispositivi iOS altrui per burla.

I'm getting several reports of kids crashing each other's iPhones with the #effectivepower Unicode hack. pic.twitter.com/ubZMA2KUcu

— Mikko Hypponen (@mikko) 28 Maggio 2015

Basta mandare questa sequenza (battezzata “effective power”) via iMessage o come normale SMS a un iPhone o a un Apple Watch e, se la funzione di notifiche per i messaggi è attiva (come lo è di solito), il dispositivo che lo riceve si bloccherà per poi riavviarsi e diventare inutilizzabile, secondo le segnalazioni dei media. Nessun dato viene perso o rubato, ma è pur sempre un fastidio.

Per prevenire il problema bisogna andare nelle Impostazioni, scegliere Notifiche e poi Messaggi e disattivare l'opzione di visualizzazione dei messaggi nella schermata di blocco. I messaggi verranno ricevuti ma non verranno visualizzati automaticamente.

Se il guaio è già successo, ci sono alcuni rimedi possibili. Potete chiedere al burlone di mandarvi un altro messaggio innocuo, per esempio. In alternativa, potete mandare un messaggio al mittente o mandare un messaggio al vostro stesso dispositivo (usandone un altro, ovviamente). Normalmente a questo punto l'app Messaggi è bloccata a causa del difetto, per cui bisogna ricorrere a un altro modo per inviare messaggi: per esempio tramite Siri oppure tramite le opzioni di condivisione presenti in molte altre app.

Paradossalmente, in attesa che Apple risolva il difetto, gli iCosi craccati hanno la possibilità di installare una correzione temporanea.


2015/05/29: Apple ha pubblicato una soluzione temporanea (in inglese); intanto emergono indicazioni secondo le quali la stessa vulnerabilità può essere trasmessa tramite Twitter e Snapchat e colpisce anche iPad e computer Apple.

Questo articolo vi arriva grazie alla gentile donazione di “filiberto.ga*” e alla segnalazione di Mikko Hypponen ed è stato aggiornato dopo la pubblicazione iniziale.

C'è una vulnerabilità in Twitter che permette di inviare un tweet spacciandosi per un altro utente. Un malintenzionato può quindi impersonarvi su Twitter: gli basta sapere quale numero di telefonino avete associato al vostro account Twitter.

Se lo sa, usa un gateway SMS adatto per falsificare il numero del mittente e ci mette il vostro, così Twitter crede che il tweet provenga da voi e lo pubblica a nome vostro. Oltre ai tweet falsi, l'impostore può alterare il vostro account Twitter usando questi comandi via SMS (la versione italiana dei comandi è qui).

La scoperta è di Jonathan Rudenberg, che la descrive qui insieme ai rimedi possibili: rimuovere da Twitter il proprio numero di cellulare (andando qui e cliccando su Elimina il mio numero) oppure aggiungere un PIN all'account, in modo che il malintenzionato debba scoprire il PIN per potersi spacciare per voi.

Aggiornamento (21:30): Ars Technica scrive che la falla è stata parzialmente corretta.

Ultimo aggiornamento: 2010/01/08.

Questo articolo vi arriva grazie alle gentili donazioni di "marco" e "damy2000" L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Pensavate che il Millennium Bug, con la relativa angoscia planetaria per la gestione corretta del cambio di data fra il 1999 e il 2000 da parte dei computer, fosse solo un brutto ricordo o addirittura una bufala? È ancora fra noi.

Dalla mezzanotte del 31 dicembre scorso, i telefonini con Windows Mobile 6.1 e 6.5 e con altri sistemi operativi ricevono talvolta SMS dal futuro, datati 2016. La causa è probabilmente un errore nel software che interpreta i codici usati per rappresentare l'anno negli SMS: secondo i commenti su Slashdot.org, la data negli SMS è in formato BCD mentre altri campi sono in formato esadecimale, per cui è possibile che alcuni software per cellulari (o nei gateway degli operatori) interpretino il codice dell'anno trattandolo come un esadecimale. In alternativa, si tratta di un astutissimo piano per evitare la fine del mondo nel 2012, prevista dal calendario Maya, passando direttamente al 2016.

Su WMexperts c'è una prima possibile pezza non ufficiale (da usare a vostro rischio e pericolo).

In Australia, intanto, alcuni sportelli bancari automatici stanno rifiutando le carte bancarie dei clienti da Capodanno, secondo quanto riferisce il Brisbane Times, perché i Bancomat pensano che l'anno corrente sia il 2016 e quindi a loro risulta che tutte le carte degli utenti sono scadute. In Germania è andata molto peggio: secondo Ticinonline, sono inutilizzabili "oltre 20 milioni di carte di credito e debito... legate al circuito Eurocheque... Tra le banche più colpite ci sono la Postbank e la Commerzbank". Scusate se è poco. Ormai il problema è stato quasi risolto, dopo aver causato gravi disagi, ma secondo il Guardian costerà circa 300 milioni di euro alla società francese Gemaito che produce le carte. Il comunicato stampa dell'azienda insiste a definirla "world leader in digital security".

Anche gli antivirus sono vulnerabili al Baco del Millennio e Dieci: la suite di sicurezza Symantec Endpoint Protection rifiuta tutti gli aggiornamenti successivi al 31 dicembre 2009 perché li considera scaduti. Il rattoppo temporaneo di Symantec consiste nel pubblicare gli aggiornamenti tenendo la data del 31 dicembre 2009 e incrementando il numero di versione.

L'iPhone nuovo è roba che scotta. Sul serio. E anche quello vecchio è crashabile con un SMS

Sembra che ci sia qualche problema con i nuovi iPhone, i 3GS, e anche con quelli vecchi dotati del software nuovo (3.0). Varie fonti segnalano infatti surriscaldamenti così marcati da non poter tenere in mano il telefonino e da alterare il colore della plastica del suo guscio (foto) e anche del display, dando alla plastica una tinta rosata e al display una colorazione giallognola.

I principali colpevoli sarebbero la trasmissione dati e il modulo GPS integrato, ma alla base potrebbe esserci una partita di batterie imperfette. Nessun problema: basta aprire lo sportellino e cambiare batteria, no? Un lavoretto da tre secondi. Soltanto che l'iPhone non ha lo sportellino: la batteria è sigillata, e per cambiarla bisogna lasciare il cellulare in assistenza. Bella furbata.

Le lamentele sono pubblicate per esempio nel forum Apple Discussions e nei forum degli utenti britannici dell'operatore O2.

Punto Informatico segnala che sul sito di supporto di Apple è apparsa una pagina che ricorda di usare l'iPhone solo se la temperatura dell'ambiente è fra 0° e 35°C e di custodirlo a temperature fra -20° e 45°C. Lasciarlo in un'auto parcheggiata al sole o usarlo intensamente mentre gli batte sopra direttamente il sole rischia di fargli superare questi limiti di temperatura. In caso di surriscaldamento compare l'avviso mostrato qui sopra. Tenerlo in tasca, vicino al proprio corpo caldo, o in una borsa priva di ricambio d'aria non aiuta certo ad evitare il problema.

Come se non bastasse, arriva la segnalazione di un problema di sicurezza basilare valido per tutti gli iPhone: il ricercatore di sicurezza Charlie Miller, della Independent Security Evaluators, ha dimostrato alla conferenza SyScan di Singapore che c'è un baco nel modo in cui l'iPhone interpreta gli SMS che permette di mandare in crash una parte del telefono che gestisce la connessione alla rete cellulare, rendendolo temporanemente inutilizzabile: basta conoscere il numero di telefonino della vittima designata. Brrr.

Fonti: The Inquirer, Wired, The Register, The Register, The Telegraph, Slashdot, Punto Informatico, F-Secure

Perché 160 caratteri per un SMS?

L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Riccardo sta bene!

Ricordate il caso dell'appello via mail e SMS per Riccardo, il bambino malato di leucemia, per il quale si chiedeva di donare sangue del gruppo B+ presso vari ospedali, inizialmente il Meyer di Firenze e poi altri in giro per l'Italia e anche in Svizzera man mano che il passaparola storpiava il contenuto iniziale del messaggio? C'è un piacevole aggiornamento.

Come raccontato nell'indagine apposita, l'appello era partito nei primi mesi del 2007 e il bambino esisteva realmente ed era realmente malato. La richiesta non era dunque una bufala in senso stretto, ma non era stata diramata dall'ospedale dove era ricoverato il bambino perché non c'era alcuna carenza di sangue. Nel corso di più di due anni, la sua circolazione frenetica ha intasato di telefonate di richieste d'informazioni e di code di donatori improvvisati non soltanto l'ospedale Meyer che realmente ospitava Riccardo, ma anche i vari ospedali man mano citati dalle varianti dell'appello, causando disagi a non finire.

La raccomandazione che faccio sempre è di controllare prima di inoltrare qualunque appello di questo genere: il Servizio Antibufala, i suoi omologhi e San Google sono qui per questo. Ma oggi posso fare questa raccomandazione per un motivo in più: perché la verifica, in questo caso, vi permette anche di sapere che la vicenda di Riccardo ha avuto un esito felice.

Ricevo e pubblico con piacere questa segnalazione dell'ufficio stampa dell'Ospedale Meyer, quello che realmente ha ospitato il bambino:

Volevo chiederti se riesci, quando aggiorni il tuo sito, ad aggiungere nel caso del bambino leucemico per cui tanti chiedevano sangue B positivo, che è scaduto. Il bambino è da tempo a casa, sta bene. Purtroppo ogni tanto quella catena riemerge ma con l'attenzione che c'è, si propaga meno e riusciamo a bloccarla sul nascere.

È una splendida notizia: purtroppo non impedirà all'appello di continuare a circolare inutilmente, ma rispetto ai tanti casi di appelli medici di cui non si sa l'esito, è un gran bel passo avanti. Poter dire che l'appello è scaduto perché il bambino sta bene è molto più semplice ed efficace che spiegare che gli inoltri causano disagi e confusione.

Symbian e la Maledizione del Silenzio

Questo articolo vi arriva grazie alle gentili donazioni di "amotta" e "ebay".

Sembra il nome di un romanzo d'avventura, ma è una magagna abbastanza seria per i possessori di telefonini. I cellulari che usano il sistema operativo Symbian S60 Second e Third Edition Feature Pack 1 (quasi esclusivamente modelli Nokia, ma anche qualche Sony Ericsson, Samsung, Panasonic e Lenovo) sono vulnerabili a un attacco che li rende incapaci di ricevere SMS e MMS.

L'unico rimedio (a parte l'installazione di un antivirus) è un reset profondo del telefonino, che comunque rimane in grado di fare e ricevere chiamate. L'attacco è stato chiamato pittorescamente "Curse Of Silence", ossia "la maledizione del silenzio".

Secondo l'advisory del Chaos Computer Club tedesco, si tratta di un denial of service (demo video qui) basato su un difetto nella gestione di un particolare tipo di SMS. All'aggressore basta creare un SMS contenente un indirizzo di e-mail lungo più di 32 caratteri seguiti da uno spazio e inviare l'SMS avvelenato specificandone il tipo come "Internet Electronic Mail". Per tutte le versioni del sistema Symbian tranne la 3.1 basta un singolo SMS per completare l'attacco: per i cellulari con versione 3.1 è necessario un invio ripetuto varie volte. Non occorre che il destinatario legga il messaggio.

Sono immuni a questa forma di attacco i cellulari che usano Symbian S60 Third Edition Feature Pack 2, Symbian S60 Fifth Edition e Symbian OS 9.3. Per sapere se il vostro cellulare usa Symbian e una sua versione vulnerabile, consultate il manuale del telefonino.

Le probabilità di finire vittima di questa "maledizione" sono scarse e l'attacco in sé non devastante. Ma l'esistenza di questa falla è indicativa di una scarsa attenzione alla sicurezza e sottolinea efficacemente il fatto che un "semplice" messaggio ha in realtà un potenziale d'attacco inaspettato.

Fortinet e F-Secure hanno già predisposto antivirus su misura.

SMS, 465 euro al megabyte

Questo articolo vi arriva grazie alle gentili donazioni di "br1tad" e "bernardo". L'articolo è stato corretto dopo la pubblicazione iniziale.

Belli, gli SMS. Comodi e discreti. Una nuova forma di comunicazione, adorata dalle giovani generazioni che sembrano avere pollici geneticamente modificati. Ma una miniera d'oro per gli operatori telefonici, alcuni dei quali ne ricavano utili fino al 90%. Gli SMS, da soli, costituiscono il 20% del loro fatturato. A pochi centesimi a messaggio, ci sembra di spendere poco. Ma forse stiamo pagando troppo.

Facciamo due conti. Secondo l'analisi di Gthing.net, un SMS contiene un massimo di 140 byte (1120 bit) di dati. I 160 caratteri massimi di un SMS ci stanno in 140 byte perché gli SMS usano una codifica a 7 bit.

Se un SMS costa 10 centesimi di franco ed è sfruttato integralmente (composto da 160 caratteri), un bit viene a costare 10/1120 = 0,0089 centesimi. A questi prezzi, trasmettere un megabyte di dati (1.048.576 byte di 8 bit), ossia grosso modo un minuto di canzone MP3 o un libro, verrebbe a costare circa 750 franchi. Avete letto bene: settecentocinquanta. Lo stesso ragionamento vale anche con gli euro al posto dei franchi, ovviamente.

Nota: nella prima stesura di questo articolo avevo sbagliato i calcoli, e anche parecchio. Sono come i vecchi processori Pentium: ho la tendenza a randomizzare le cifre decimali e parcheggiare in doppia file il punto decimale. Chiedo scusa, prometto di non fare più calcoli dopo l'una del mattino e ringrazio Matteo per avermi corretto.

Anche acquistando pacchetti di SMS a un prezzo apparentemente vantaggioso (per esempio 1000 SMS per 19 franchi), il costo per SMS scende a 1,9 centesimi, ma un megabyte, o un minuto di MP3, costerebbe comunque ben 142 franchi e spiccioli.

Eppure le offerte di trasmissione dati dei medesimi operatori consentono di trasmettere 50 di quegli stessi megabyte per meno di dieci franchi, e si può scendere ancora con gli abbonamenti dedicati, che offrono trasmissione illimitata per pochi franchi al giorno. Le offerte sul mercato italiano sono strutturate allo stesso modo. Chiaramente qualcosa non va. Perché lo stesso bit trasmesso in un modo costa 300 volte di più che in un altro?

Facciamo un altro confronto. La trasmissione della voce sulla rete GSM è anch'essa una trasmissione di dati, che utilizza normalmente un codec a 9,6 kilobit al secondo (esistono anche l'Half Rate a 5,6 kb/s e il Full Rate a 13 kb/s, ma lo standard è 9,6 kb/s). In altre parole, un minuto di conversazione trasmette 576.000 bit, pari a 514 SMS. Quindi se la voce seguisse le tariffe degli SMS, un minuto di telefonata cellulare ci costerebbe 51 franchi e spiccioli.

La disparità diventa ancora più evidente se si considera che quel minuto di telefonata (che costa pochi centesimi) deve essere recapitato a destinazione immediatamente, mentre un SMS può arrivare anche con comodo. Paghiamo un bit pigro di un SMS centinaia di volte di più di quel che paghiamo i bit velocissimi delle telefonate. Non sorprende, allora, che secondo dati di Forrester Research citati dall'International Herald Tribune ci siano appunto margini di utile del 90% da parte degli operatori.

E' eccessivo? L'Unione Europea si sta muovendo per far ridurre i costi della trasmissione dati e degli SMS in roaming, come riferisce Reuters, entro luglio, perché i ricarichi praticati in roaming sono in conflitto con il concetto di mercato unico dell'UE. Ma l'iniziativa mira soltanto ad equiparare i costi degli SMS inviati in roaming con quelli inviati sulla propria rete cellulare: i costi degli SMS in sé restano stratosferici in termini di prezzo al bit.

C'è chi propone soluzioni per arrangiarsi, come Skebby, Cellity o JackSMS, che usano i contratti forfetari di trasmissione dati per collegarsi ai servizi di invio SMS oppure creano una sorta di messaggistica istantanea, ma non è un servizio universale come lo è l'SMS. In Svizzera c'è anche l'originale smartphone Ogo, che permette di avere la chat di MSN sempre in tasca a canone fisso mensile, ma permette di chattare soltanto con altri utenti MSN (senza allegati): anche qui gli SMS si pagano a parte. Sembra proprio che nessuno voglia mollare la gallina dalle uova d'oro.

Love.dada.net, falso allarme a catena che fa spendere soldi veri

Questo articolo vi arriva grazie alle gentili donazioni di "giulietto ch****" e "enrico.asso****".

Nuove frontiere delle catene di Sant'Antonio: arriva quella che vi fa indurre i vostri amici a pagare soldi se credono ai vostri consigli.

Sta circolando da qualche giorno via mail e sui telefonini, principalmente in Italia, un appello che mette in guardia contro un particolare servizio di chat, che sarebbe stato attivato da TIM senza preavviso e che costerebbe 4 euro a settimana.

L'appello invita a evitare ulteriori addebiti e a disdire subito il servizio mandando dal proprio cellulare un SMS contenente la parola STOP al numero 48405.

Ecco un esempio di testo dell'appello (grazie a Elisabetta per la segnalazione):

A nostra insaputa la Tim ci ha ativato [sic] un servizio di chat che costa 4euro a settimana. Disdici subito inviando STOP al 48405. Ti arrivera' 1 sms di conferma della disdetta. Dillo agli altri

Si tratta di una bufala ben congegnata, probabilmente frutto di un equivoco. Infatti le segnalazioni che ho ricevuto fin qui dicono che non esiste alcun servizio di chat attivato da TIM ad insaputa dell'utente; tuttavia inviando la richiesta "STOP" al numero 48405 sulle reti cellulari italiane si riceve effettivamente un messaggio che annuncia la disattivazione di un servizio.

Questo messaggio sembra confermare l'autenticità dell'appello, ma in realtà lo stesso messaggio che parla di disattivazione arriva anche a chi manda la richiesta ma non si è mai iscritto al servizio.

Il servizio, insomma, non distingue fra iscritti e non iscritti: se gli mandate la richiesta di disattivazione, non dice "Guarda che non eri iscritto neanche prima". E così gli utenti ci cascano, e pagano per essersi fidati del consiglio della catena di sant'Antonio, inoltrata come al solito senza verificarla.

E' infatti sufficiente immettere in Google "stop tim 48405" per avere le prime informazioni di smentita di quest'appello.

Si trova, per esempio, questa pagina di Dada.net, che spiega che il numero 48405 è associato a Love.dada.net, "un servizio in abbonamento, il cui costo è di 4,2 Euro la settimana" e serve "per fare nuove conoscenze e entrare in contatto con tantissime persone". Sarà. Sta di fatto che la pagina di Dada.net dice che per abbonarsi al servizio bisogna mandare una richiesta d'iscrizione via Web o SMS. Niente attivazione ad insaputa: anche se qualcuno dovesse mandare la richiesta via Web a vostro nome, dovreste inviare un SMS di conferma dal vostro cellulare.

Anche la disattivazione di Love.dada.net può avvenire via Web oppure tramite SMS ("inviando LOVE OFF al 48405", dice la pagina informativa); se si invia un SMS con scritto "STOP DADANET" al 48405 oppure al 48282, si disattivano "il servizio Dada.net in abbonamento a pagamento e tutte le offerte eventualmente attivate (love.Dada.net, mobi.Dada.net)".

Al momento non è chiaro quanto costi l'invio della disdetta inutile: la pagina informativa presenta una giungla di prezzi per SMS inviati e ricevuti che varia a seconda dell'operatore telefonico e del tipo di messaggio. Un labirinto che sembra fatto apposta per stordire l'utente. Secondo alcune segnalazioni, si paga sia l'SMS di disattivazione, sia l'SMS ricevuto che "conferma" la "disattivazione".

Quello che è certo è che l'appello è un falso allarme che ingrassa gli operatori cellulari, che incassano non solo ogni volta che qualcuno invia la disdetta inutilmente, ma anche ogni volta che qualcuno inoltra la catena di sant'Antonio.

Queste sono le prime informazioni, sufficienti a dire che non è opportuno far circolare l'appello: ho comunque contattato il servizio clienti di Dada.net per avere dettagli.

Aggiornamento (2008/01/17)

Ieri mi ha contattato l'ufficio relazioni esterne di Dada.net, mandandomi chiarimenti e il testo del messaggio (effettivamente ingannevole) ricevuto dagli utenti non iscritti. Il testo è stato cambiato e reso più chiaro. Maggiori dettagli in questa mia nota.