Il Disinformatico: iOS

Visualizzazione post con etichetta iOS. Mostra tutti i post

2022/05/26

Apple, il malware funziona anche a smartphone spento

A volte le notizie false si avverano: un finto allarme informatico che risale a vent’anni fa è diventato realtà. Se avete un iPhone, questa storia vi riguarda.

Il primo aprile 2002 fu diffuso su Internet l’allarme per il virus informatico Power-Off o pHiSh, che aveva “un'efficacia notevolissima, in quanto riscrive direttamente il BIOS, rendendo quindi inaccessibili e inservibili i dischi rigidi, il mouse e la tastiera (i dati sono recuperabili soltanto smontando immediatamente i dischi rigidi e installandoli su un altro computer non infetto), ma soprattutto perché agisce prima dell'avvio del sistema operativo, ossia proprio quando l'antivirus non può fare nulla per fermarlo.”

L’allarme forniva molti altri dettagli sul funzionamento di questo virus, facendo notare che era particolarmente pericoloso perché agiva quando il computer era spento: “anche l'antivirus più moderno e aggiornato è attivo soltanto quando il sistema operativo è in funzione (e in realtà si avvia alcuni secondi dopo che è stato avviato il sistema operativo stesso, lasciando quindi una finestra di vulnerabilità anche verso altri virus meno sofisticati).”

Ma l’antivirus non può fare nulla prima che il sistema operativo si avvii e soprattutto non può' fare nulla quando il computer è spento. E qui, spiegava l’allarme, “entra in funzione pHiSh. Molti dei computer moderni, infatti, non si "spengono" mai completamente. Quando ad esempio dite a Windows di arrestare il sistema, alcune parti del computer rimangono sotto tensione. Il filo telefonico del modem rimane alimentato (come potete verificare con un tester), i condensatori e i compensatori di Heisenberg presenti nel computer mantengono un residuo di corrente e soprattutto il BIOS rimane alimentato da una batteria interna. Il computer è insomma in "sonno", ma non è del tutto inattivo, ed è a questo punto che agisce il nuovo virus.”

Questo avviso era un pesce d’aprile, scritto in un’epoca nella quale i pesci d’aprile non erano stati ancora travolti dalle fake news e dalle notizie vere ma surreali alle quali ci ha abituato la cronaca di questi ultimi anni, e si sa esattamente quando è stato creato e da chi. L’autore sono io, e trovate il testo integrale dell’allarme qui su Attivissimo.net.

Gli indizi del fatto che si trattasse di un pesce d’aprile erano tanti: a parte l’assurdità tecnica, la citazione dei “compensatori di Heisenberg” (che non esistono ma sono un’invenzione degli autori della serie di fantascienza Star Trek), il fatto che il nome del virus fosse pHiSh, ossia “pesce” in inglese, e la data di pubblicazione erano segnali abbastanza evidenti. Ma molti ci cascarono, vent’anni fa. A mia discolpa preciso che l’allarme suggeriva di rimediare al problema cambiando un’impostazione di Microsoft Outlook in un modo che migliorava davvero la sicurezza degli utenti.

Ma gli anni passano, la tecnologia corre, e quello che sembrava palesemente assurdo vent’anni fa oggi è reale. Un gruppo di ricercatori all’Università Tecnica di Darmstadt, in Germania, ha infatti pubblicato un articolo tecnico nel quale spiega che quando si “spegne” un iPhone, in realtà lo smartphone non si spegne completamente, e che questo fatto può essere sfruttato per far funzionare un malware che resta attivo anche quando un iPhone sembra spento.

In sostanza, anche quando si dà il comando di spegnimento a un iPhone, alcuni circuiti integrati dentro il telefono continuano a funzionare in modalità a bassissimo consumo per circa 24 ore, per esempio per tenere attive le funzioni che consentono di ritrovare gli iPhone smarriti o rubati. Uno di questi circuiti integrati, quello che gestisce le comunicazioni Bluetooth, non ha nessun meccanismo di verifica del software (firmware) che esegue: non c’è firma digitale e non c’è neppure una cifratura. I ricercatori hanno approfittato di queste carenze per creare un software ostile che consente all’aggressore di tracciare la localizzazione del telefono e di eseguire funzioni quando il telefono è formalmente spento.

La tecnica di attacco descritta dai ricercatori di Darmstadt è abbastanza difficile da mettere in pratica, perché richiede accesso fisico al telefonino e richiede che lo smartphone sia stato sottoposto a jailbreak, ma il fatto che i componenti elettronici restano attivi quando l’utente crede che il telefonino sia spento apre la porta a scenari piuttosto preoccupanti. Se venisse scoperta una falla che consente di attaccare questi componenti tramite segnali radio, come è già accaduto per i dispositivi Android nel 2019, sarebbe un guaio notevole, perché rilevare un’infezione nel firmware di un componente elettronico è molto più difficile che rilevarla in iOS o Android, e correggere un difetto di sicurezza in un componente elettronico è praticamente impossibile.

Purtroppo l’idea di lasciare attivi alcuni componenti negli smartphone anche quando sono “spenti” è abbastanza diffusa, perché questo consente di usare il telefono per pagare o per aprire la serratura dell’auto anche quando la batteria è quasi totalmente scarica; ma crea una situazione per nulla intuitiva, nella quale l’utente crede che il proprio telefonino sia spento quando in realtà è ancora acceso. E l’informatica è già abbastanza complicata senza aggiungervi anche questi inganni terminologici.

Fonte aggiuntiva: Ars Technica.

2022/01/05

Il Field Test Mode sugli iPhone: 3001#12345#

Ultimo aggiornamento: 2022/01/05 18:05.

Se si compone *3001#12345#* sulla tastiera di un iPhone e si preme l’icona di chiamata non parte una telefonata ma si ottiene il Field Test Mode: una modalità nascosta che permette di avere informazioni tecniche sulla propria connessione cellulare. Per uscire da questa modalità è sufficiente premere il tasto Home.

Normalmente questa modalità serve soltanto ai tecnici per fare analisi e diagnosi delle connessioni, ma può essere interessante da conoscere per curiosità e da far vedere per mostrare quante cose avvengono dietro le quinte in uno smartphone. Magari è anche un “trucchetto” carino per stupire gli amici.

I dati che compaiono sono molto criptici e, appunto, utili soltanto agli addetti ai lavori. Però ci sono sezioni abbastanza comprensibili anche per i non iniziati, come per esempio quella denominata Serving Cell Measurements, che fornisce informazioni sulla qualità del segnale cellulare, per esempio nelle voci Measured RSSI, Average RSRP e Average RSRQ, spiegati qui su Digi.com: RSRP (Reference Signal Receive Power) indica la potenza media ricevuta da un singolo segnale di riferimento; RSRQ indica la qualità del segnale ricevuto e e RSSI (Received Signal Strength Indicator) è legato ai primi due valori e rappresenta in sostanza il totale della potenza ricevuta.

Sul mio iPhone 8 di test, aggiornato con iOS 15.2, non mi compaiono le voci e le informazioni dettagliate che invece vedo descritte altrove (per esempio qui, qui e qui). Negli screenshot non ho oscurato i dati perché la SIM è una prepagata che uso solo per i test. Riuscite a trovare qualche altra info interessante?

Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico) o altri metodi.

2021/12/16

Aggiornamenti Apple per tutti i dispositivi: non solo funzioni nuove, ma anche molti rattoppi. Anche per Android

Apple ha rilasciato una raffica di aggiornamenti per molti suoi dispositivi, dai computer ai tablet agli smartphone agli orologi, e li ha annunciati puntando sulle nuove funzioni, ma in realtà includono anche molte correzioni di sicurezza e quindi vanno installati appena possibile.

Per esempio, macOS 12.1 aggiunge SharePlay, per condividere musica o video oppure il contenuto di un’app durante le videochiamate, ma con alcune limitazioni. Sono migliorati anche i controlli parentali, che permettono di attivare avvisi se i figli minori ricevono o inviano foto intime tramite l‘app Messaggi. Le correzioni di sicurezza sono elencate qui.

iOS e iPadOS 15.2 contengono una nuova impostazione che permette di vedere meglio quali app hanno avuto accesso alle informazioni personali, ma sono aggiornamenti importanti soprattutto per le correzioni di sicurezza, che sono davvero tante. Alcune delle falle corrette da questi aggiornamenti consentivano di prendere il controllo del dispositivo usando semplicemente un’immagine o un file audio appositamente alterato.

Anche gli Apple Watch e le Apple Tv hanno i loro bravi aggiornamenti, rispettivamente alle versioni 8.3 e 15.2, ma non sono particolarmente significativi, a parte la correzione di una falla che permetteva di prendere il controllo degli Apple Watch tramite un’immagine appositamente confezionata.

C’è invece una novità interessante che riguarda Android: la cosa può sembrare strana, visto che Apple normalmente non produce software per Android, ma stavolta è così. L’azienda ha infatti rilasciato una nuova app Android, chiamata Tracker Detect, che permette anche agli smartphone di questo tipo, oltre che agli iPhone, di rilevare i dispositivi di tracciamento e localizzazione AirTag di Apple. Gli iPhone possono farlo andando nell’app Dov’è, scegliendo Oggetti e poi Identifica l’oggetto trovato.

Questi dispositivi, grandi come una moneta, sono pensati per rintracciare oggetti smarriti o rubati, come chiavi o valigie, ma sono utilizzabili anche in modo illecito per pedinare le persone a distanza e quindi è importante che anche gli utenti Android possano usare il proprio smartphone come rilevatore di eventuali AirTag nascosti da qualcuno nelle loro cose.

2021/09/24

Funzionano i filtri antipubblicità? Stando alle preoccupazioni di Facebook, pare di sì

Gli adblocker e le versioni più recenti dei sistemi operativi per smartphone, tablet e computer bloccano o perlomeno riducono fortemente il tracciamento pubblicitario, ossia la raccolta invisibile di informazioni sui nostri gusti, sulle nostre letture e i nostri acquisti che avviene quando sfogliamo Internet e in particolare quando usiamo i social network.

Persino gli esperti di sicurezza dell’NSA e della CIA -- gente che di sorveglianza se ne intende un tantino -- raccomandano (PDF) di bloccare le pubblicità potenzialmente ostili perché “nonostante la natura benigna della maggior parte del contenuto pubblicitario, la pubblicità è un noto vettore di distribuzione di malware da oltre un decennio” e la CISA (Cybersecurity and Infrastructure Security Agency) consiglia di “usare software di ad blocking sia per proteggersi contro le pubblicità ostili, sia contro la raccolta di dati da parte di terzi.”

Ma il dubbio rimane: sono davvero efficaci queste misure? Parrebbe di sì, a giudicare dai toni e dai contenuti di un annuncio pubblicato su Facebook da Graham Mudd, vicepresidente del product marketing del social network, segnalato da Gizmodo.

Mudd si rivolge ai clienti di Facebook, le aziende che pagano le inserzioni pubblicitarie sul social network, e dice che “ci aspettavamo che i venti contrari più forti derivanti dai cambiamenti delle piattaforme, in particolare i recenti aggiornamenti di iOS, avrebbero avuto un impatto maggiore nel terzo trimestre che nel secondo” e che Facebook ha saputo che “l’impatto sul vostro investimento pubblicitario è stato maggiore di quello che avevate previsto.”

Il VP di Facebook, insomma, cita esplicitamente iOS come fattore di questo impatto. Aggiunge poi un dato significativo: Facebook ammette di non poter rendicontare circa il 15% delle conversion, ossia degli scaricamenti di app o dei clic sulle pubblicità mostrate ai propri utenti.

È un cambiamento di rotta non da poco, considerata la passata riluttanza di Facebook a rendere pubblici, o almeno controllabili indipendentemente, i risultati delle sue campagne pubblicitarie, e la sua documentata tendenza a gonfiare quei risultati rispetto alla realtà.

Le tecniche anti-tracciamento, insomma, qualcosa fanno. Più gente le usa, più fanno.

iOS 15, nuove impostazioni salvaprivacy

Wired UK ha pubblicato un elenco delle impostazioni di protezione della privacy, particolarmente efficaci contro il tracciamento pubblicitario, presenti in iOS 15. Cito qui brevemente le principali:

In Impostazioni - Mail - Protezione della privacy, controllate che sia attiva l’opzione Proteggi le attività di Mail. Questo riduce il tracciamento pubblicitario, impedendo ai mittenti delle mail di vedere il vostro indirizzo IP e di sapere quando aprite il loro messaggio.
Per contrastare il tracciamento pubblicitario potete inoltre andare in Impostazioni - Safari - Nascondi indirizzo IP - Ai tracker.
Un’altra funzione salvaprivacy molto consigliabile di iOS 15 è l’analisi di cosa fanno le app con i sensori dello smartphone, per esempio per sapere quali hanno accesso al microfono o alla localizzazione: si va in Impostazioni - Privacy - Registra attività app. Questo genererà un riepilogo di sette giorni. Se volete levarvi il dubbio, una volta per tutte, che il vostro telefonino ascolti le vostre conversazioni, questo è un buon punto di partenza.
Un altro modo, più immediato ma un pochino più laborioso, per sapere quali app hanno accesso a microfono, fotocamera o localizzazione è andare in Impostazioni - Privacy e poi scegliere Localizzazione oppure Fotocamera oppure ancora Microfono.
Se invece volete sapere quali app tracciano la vostra attività quando usate altre app o visitate determinati siti, andate in Impostazioni - Privacy - Tracciamento e assicuratevi che sia attiva l’opzione Richiesta tracciamento attività. In questo modo le app dovranno chiedervi esplicitamente il permesso di tracciarvi e verranno visualizzate. Se disattivate quest’opzione, invece, le app verranno bloccate automaticamente (“Quando l’opzione è disattivata, tutte le nuove richieste di tracciamento da parte delle app verranno automaticamente rifiutate”), dandovi meno controllo e informazioni.

Funzionano davvero queste misure salvaprivacy? A giudicare dalla preoccupazione espressa da Facebook, parrebbe proprio di sì.

2021/04/08

C’è un’app “nascosta” in iOS 14

Lifehacker segnala una piccola chicca annidata in iOS: oltre a essere pratica, può anche risultare divertente per sorprendere gli amici mostrando una cosa “nascosta” nei loro smartphone.

L’elenco delle app di iOS 14, infatti, non mostra tutte le app come ci si potrebbe aspettare. Ce n’è una, uno scanner di codici QR, che non compare.

Per trovarla bisogna fare swipe down (far scorrere un dito sullo schermo dall’alto verso il basso), in modo da far comparire il menu di ricerca, e poi bisogna digitare Scansione codici, oppure richiamare il menu Centro di controllo (facendo scorrere dall’alto in basso un dito sul bordo destro dello schermo).

Questo fa comparire l’app, che è quella integrata in Fotocamera ma è anche disponibile separatamente, con una differenza utile: Scansione Codici apre i link con un browser tutto suo invece di usare Safari, per cui tiene separate le scansioni dal resto della navigazione e non le riapre la volta successiva che si usa il browser.

2021/04/01

Aggiornamento urgente per iPhone e iPad

Ultimo aggiornamento: 2021/04/01 13:45.

Apple ha rilasciato la versione 14.4.2 di iOS e iPadOS per correggere una falla che viene già sfruttata concretamente dai criminali informatici: un problema di universal cross-site scripting. In altre parole, un guaio grosso.

L’azienda ha rilasciato un aggiornamento correttivo per la stessa falla anche per iOS 12.5.2, ossia per i vecchi iPhone 5s, 6 e 6 Plus e sui vecchi iPad. Il problema tocca anche gli Apple Watch, che vanno portati alla versione 7.3.3 di watchOS.

La falla è stata classificata con il riferimento CVE-2021-1879.

Il cross-site scripting (XSS) è un tipo di vulnerabilità nel quale un sito può intercettare e manipolare il contenuto di un altro sito se entrambi sono aperti contemporaneamente sul dispositivo della vittima. Per esempio, se state visitando un negozio online, avete trovato un prodotto che vi interessa e nel frattempo state cercando in Google lo stesso prodotto a un prezzo migliore, può capitare di finire in un sito di truffatori che usa il cross-site scripting per leggere o prendere il controllo della vostra attività nel negozio legittimo.

Normalmente un XSS richiede che la pagina legittima abbia dei difetti tecnici; lo universal XSS, invece, agisce anche senza difetti nella pagina legittima, per cui può colpire anche siti bancari e altri siti ad elevata sicurezza. Il difetto, infatti, non sta nei siti, ma nel software del dispositivo usato. Per questo viene considerato un guaio grosso e viene corretto in fretta.

Fate quindi gli aggiornamenti appena possibile: Impostazioni - Generali - Aggiornamento software.

Nel frattempo, tenete presente un trucchetto che riduce il problema: visitate un solo sito per volta e riavviate periodicamente il vostro dispositivo. La persistenza degli attacchi informatici è infatti molto difficile da ottenere, per cui questo comportamento è consigliabile sempre e dovrebbe far parte delle buone abitudini di igiene informatica.

Fonte aggiuntiva: Ars Technica, Acunetix.

2021/01/29

Aggiornate il vostro iPhone. Subito

Credit: HWupgrade.it.

È disponibile da pochi giorni iOS 14.4, accompagnato dalla versione per iPad, ossia iPadOS 14.4.

Va installato subito, se il vostro iCoso lo consente, perché oltre alle consuete novità e migliorie (descritte qui da Apple e qui da HWupgrade.it), contiene aggiornamenti di sicurezza molto importanti (descritti da Apple qui) che risolvono varie falle (CVE-2021-1782, CVE-2021-1871 e CVE-2021-1870).

Una di queste falle, la 1870, è sfruttabile semplicemente convincendo la vittima a visitare un sito Web dal proprio iPhone o iPad non aggiornato usando Safari e permetterebbe di prendere il controllo parziale o totale del dispositivo.

Il rischio non è teorico, come avviene solitamente con questi aggiornamenti: in questo caso la falla viene già sfruttata dai malintenzionati, secondo gli avvisi degli esperti.

Come consueto, l’aggiornamento si esegue andando in Impostazioni - Generali - Aggiornamento Software. Fatelo.

2020/12/04

Falla spettacolare negli iPhone. Niente panico, già risolta con un aggiornamento

Che gioia. Era possibile prendere il controllo di qualunque iPhone a distanza, accedendo anche a telecamere e microfono e rubando mail, foto e messaggi. Ma niente panico: la falla è già stata risolta tempo fa, con l’aggiornamento alla versione 13.5 di iOS (ora siamo alla 14.2). Se non l’avete già installato, fatelo.

La scoperta della falla è merito di un singolo ricercatore, Ian Beer di Project Zero, che ha passato (parole sue) “sei mesi del 2020 bloccato in un angolo della mia camera da letto, circondato da miei adorabili bambini urlanti... non [per trovare] un incantesimo per convincerli a dormire [...] ma un exploit wormable di radioprossimità che mi consentisse di prendere il controllo completo di qualunque iPhone nelle mie vicinanze.” Ognuno ha le proprie priorità.

Se non avete idea di cosa sia un “exploit wormable di radioprossimità”, traduco: una falla di sicurezza sfruttabile, capace di propagarsi da un dispositivo all’altro, che richiede solo che il dispositivo attaccato sia abbastanza vicino da essere raggiunto da un segnale radio e non richiede che la vittima faccia qualcosa.

Ian Beer racconta la sua avventura in un post dettagliatissimo, al limite dell’Odissea interiore, ma in sintesi: i dispositivi Apple possono scambiarsi file (per esempio foto) e condividere schermate tramite Wi-Fi (Apple chiama questa funziona Wireless Direct Link). Beer ha scoperto un difetto nel funzionamento di questo sistema e lo ha sfruttato, usando il proprio ingegno e dei componenti elettronici facilmente reperibili a basso costo (Raspberry Pi e degli adattatori Wi-Fi).

In questo modo ha avuto anche il potere straordinario di bloccare, spegnere e riavviare qualunque iPhone a distanza, usando solo apparecchi portatili, come mostra in questo video:

Per fortuna Beer è uno dei buoni: ha segnalato il problema ad Apple, che l’ha corretto prima che lo scoprissero i malintenzionati.

Fonti: BBC, Sophos.

2020/11/20

iOS 14 da aggiornare per rimediare a problemi di messaggi fantasma e lentezza

Se avete comprato un iPhone 12 e avete problemi di lentezza o di messaggi che svaniscono nel nulla, Apple ha pubblicato un aggiornamento che dovrebbe risolverli.

L’aggiornamento alla versione 14.2.1, dice Apple, serve per rimediare agli MMS che non vengono ricevuti, agli accessori audio che hanno problemi e alle schermate di blocco che non rispondono ai comandi sull’iPhone mini. Questo aggiornamento è riservato agli iPhone 12 (anche le versioni mini, Pro e Pro Max), spiega BGR.

Ci sono problemi anche con la qualità e stabilità degli schermi, che risultano avere tinte verdi e sfarfallii, come notato da MacRumors. Altri link alle segnalazioni di problemi sono su Gizmodo.

2020/11/06

Aggiornate il vostro iOS per turare falle già usate per attacchi

Se avete dispositivi iOS, è di nuovo ora di aggiornarli, e senza perdere tempo, perché Google ha scoperto tre falle di sicurezza che vengono già utilizzate attivamente per compiere attacchi informatici.

I dispositivi Apple colpiti sono gli iPhone dal 6s in poi, gli iPod touch di settima generazione, gli iPad Air 2 e successivi e gli iPad mini 4 e successivi, scrive Ars Technica. I dettagli delle falle sono descritti da Apple qui.

Apple ha già corretto queste falle e altre vulnerabilità rilasciando iOS 14.2, e ci sono aggiornamenti correttivi anche per gli utenti di computer Apple, che portano macOS alla versione 10.15.7.

Installate questi aggiornamenti appena possibile. Fra l’altro, includono parecchi miglioramenti e nuove funzioni, oltre a 100 nuove emoji. Che purtroppo sono probabilmente quello che motiverà maggiormente tanti utenti.

2020/09/25

Si poteva rubare un account Instagram mandando semplicemente un’immagine

Se usate Instagram, aggiornate la vostra app, altrimenti può bastare una semplice immagine per rubarvi l’account.

Lo segnalano i ricercatori di sicurezza informatica di Check Point Research, che hanno scoperto una falla in un componente open source usato da Instagram (Mozjpeg) per visualizzare le immagini JPEG. La falla consentiva a un aggressore di prendere il controllo dell’account di una vittima semplicemente mandandole un’immagine appositamente confezionata, usando mail, WhatsApp o altri sistemi di messaggistica.

Quando la vittima avviava Instagram sul proprio smartphone, l’immagine veniva caricata automaticamente, causando un integer overflow che portava a un heap buffer overflow che a sua volta consentiva di eseguire istruzioni sullo smartphone: leggere i messaggi privati, cancellare o pubblicare post, e persino trasformare lo smartphone in uno strumento di sorveglianza accedendo ai dati GPS e alla fotocamera.

Check Point ha aspettato sei mesi prima di pubblicare la propria scoperta: nel frattempo ha informato Facebook, proprietaria di Instagram, che ha corretto la falla. Facebook dichiara che il problema riguarda le versioni di Instagram vecchie: dalla 128.0.0.26.128 in poi non c’è più.

Per sapere quale versione di Instagram avete installato:

Su Android, andate in Impostazioni - Applicazioni, toccate Instagram e scorrete verso il basso: vedrete l’indicazione della versione.
Su iOS/iPadOS, andate in Impostazioni - Generali - Spazio, toccate Instagram e comparirà l’indicazione della versione.

Fonti aggiuntive: Forbes, Apple Insider, Android Central.

2020/09/03

L’aggiornamento per iPhone ha il tracciamento anti-pandemia integrato, cosa si deve fare?

È arrivata la versione 13.7 di iOS e iPadOS, e gli utenti iPhone che la installano sono un po’ confusi e preoccupati perché questo aggiornamento integra le notifiche di esposizione come misura anti-pandemia.

Molti si chiedono che conseguenze ci siano per chi ha già installato un’app come Immuni o SwissCovid, e per chi non l’ha ancora fatto o non vuole farlo.

In estrema sintesi: per chi ha già installato un’app anti-pandemia non cambia quasi nulla. Tutto funziona come prima e non c’è da fare nulla.

Però c’è un bonus in arrivo: le app di paesi differenti che usano il supporto software creato da Apple e Google (come SwissCovid e Immuni, appunto) diventeranno interoperabili, vale a dire che un’app di un paese funzionerà anche all’estero e telefonini dotati di app differenti si scambieranno correttamente le notifiche, sempre in maniera strettamente anonima e volontaria.

Per chi non ha ancora installato una di queste app, installare l’aggiornamento di iOS, con la sua funzione Exposure Notifications Express, significa che l’iPhone diventerà capace di fare da solo il tracciamento delle esposizioni, ma soltanto se gliene diamo il permesso (la funzione è opt-in) e siamo in un paese che partecipa a questo tracciamento.

Se gli diamo questo permesso, il telefonino inizierà ad accumulare dati sulle esposizioni e potrà avvisare l’utente in caso di possibile esposizione a contagi anche senza aver installato un’app apposita. Ma il telefonino in questo caso si limiterà a invitare l’utente a installare un’app anti-pandemia.

In altre parole, le app come SwissCovid o Immuni continueranno a servire per completare il sistema di protezione sanitaria anche dopo questo aggiornamento di iOS.

Va ricordato che questa funzione è presente solo in iOS, il sistema operativo per iPhone; non è presente in iPadOS (il sistema operativo per iPad).

Per gli utenti Android, invece, l’aggiornamento corrispondente arriverà entro fine settembre e Google genererà automaticamente un’app basata sulle impostazioni decise dalle autorità sanitarie locali.

---

Fra l’altro, se vi state chiedendo se Immuni, SwissCovid e le altre app analoghe stiano funzionando e siano efficaci, segnalo questo dato fornito dall’Ufficio Federale della Sanità Pubblica: a luglio in Svizzera almeno 13 casi positivi sono stati trovati esclusivamente grazie all’app, che ha avvisato queste persone della possibile esposizione al contagio. E il numero di coloro che sono stati avvisati dall’app e anche dal contact tracing tradizionale è molto più alto.

Secondo Marcel Salathé, epidemiologo membro della task force federale contro il coronavirus, se si raddoppiasse il numero di installazioni e attivazioni di SwissCovid questi numeri si quadruplicherebbero e la rapidità di segnalazione dell’app consentirebbe di garantire una quarantena rapida ed efficace. Al 2 settembre 2020 sono attive 1.590.000 installazioni di SwissCovid. Immuni, invece, al 9 agosto 2020 contava 4,7 milioni di download (che non sono necessariamente tutte installazioni distinte e attive).

Fonti: Punto Informatico, Telefonino.net, Apple, Punto Informatico, Ars Technica.

2020/08/25

Come farsi mandare file sensibili con un link e un gattino in MacOs e iOS

Falle di sicurezza così epiche e ridicolmente facili da sfruttare non càpitano spesso. Basta mandare una mail o un messaggio a un utente MacOS o iOS per rubargli file sensibili, come la cronologia di navigazione di Safari, se non è particolarmente attento. Sì, prendetevi pure il tempo di rileggere questa frase.

La trappola funziona così: l’aggressore manda alla vittima una mail o un messaggio contenente un link a una foto di un gattino (o altra immagine accattivante) e l’invito a condividere la foto con un amico. Una cosa tutto sommato normale.

Quando la vittima clicca sul link per vedere la foto (tipo quella mostrata qui sopra) e clicca sul pulsantino di condivisione, MacOS o iOS compone automaticamente una mail o un messaggio che contiene un allegato. Quell’allegato è il file history.db della vittima. Se la vittima invia la mail, invia anche quel file, che l’aggressore può esplorare per trovare informazioni compromettenti. Ta-da!

Una dimostrazione pratica di questa tecnica è stata pubblicata qui e i dettagli tecnici sono spiegati su Redteam.pl. Questo è il banalissimo codice, inseribile in qualsiasi sito Web, che fa scattare la trappola.

La dimostrazione qui sopra preleva il file /etc/passwd, che non contiene le password ma comunque contiene informazioni sensibili come i nomi degli account esistenti sul dispositivo bersaglio. Per ottenere il file con la cronologia di navigazione è sufficiente linkarlo come segue:

file:///private/var/mobile/Library/Safari/History.db

In sintesi: viene usata la funzione navigator.share abbinata a uno schema file:, che MacOS e iOS autorizzano ad andare a prendere file dal disco della vittima. Il resto del codice (la fila di \n) serve solo a creare un po’ di a capo per nascondere meglio la presenza dell’allegato.

La mail risultante (di Mail.app) ha un aspetto del tutto innocuo: solo scorrendo in basso si nota che è allegato un file di nome passwd o altro.

Anche il messaggio composto da Messages cliccando sul pulsante di condivisione non rivela dettagli dell’allegato.

Certo, in questa dimostrazione il file rubato viene mandato a una persona scelta dalla vittima. La tecnica per far mandare il file a un destinatario complice viene lasciata alla creatività e all’immaginazione del lettore.

Al momento non esiste alcun aggiornamento correttivo: Apple è stata avvisata del problema ad aprile scorso e secondo Redteam.pl dice che non rimedierà prima della primavera del 2021.

Morale della storia: se usate MacOs o iOS, fate attenzione agli inviti di questo genere.

Ringrazio @Decio per la segnalazione.

2020/06/26

Apple: arrivano iOS, iPadOS 14 e macOS Big Sur, chi potrà usarli e chi no

Apple distribuirà a partire da luglio in versione beta (subito se usate questo metodo) le nuove edizioni dei suoi principali sistemi operativi, presentati pochi giorni fa alla WWDC (quest’anno preregistrata e senza pubblico per via della pandemia). Le versioni definitive saranno disponibili in autunno.

Come ogni volta, si pone il problema di capire quali dispositivi Apple potranno adottarli, con tutte le loro novità, e quali resteranno esclusi e quindi diventeranno obsoleti. Ecco un riassuntino per orientarvi nei vostri eventuali acquisti.

IPhone: se avete potuto aggiornare il vostro iPhone ad iOS 13, potrete aggiornarlo anche ad iOS 14. Sono inclusi anche l’iPhone 6S e l’iPhone SE di prima generazione.

iPad: come sopra. Se ci gira iOS 13, ci girerà iOS 14.

Mac: le cose si fanno complicate. Saranno compatibili con Big Sur i MacBook dal 2015 in poi, i MacBook Air dal 2013 in poi, i MacBook Pro da fine 2013 in poi, i Mac mini dal 2014 in poi, gli iMac dal 2014 in poi, gli iMac Pro dal 2017 in poi e i Mac Pro dal 2013 in poi. Facile, no? Un elenco completo è su LifeHacker.

Fonte aggiuntiva: Wired.com.

2020/06/01

App Immuni pronta da scaricare

Ultimo aggiornamento: 2020/06/10 20:00

Immuni, l’app italiana di ausilio contro i contagi da nuovo coronavirus, è pronta da scaricare per iPhone e telefonini Android sui rispettivi store. Gli smartphone Huawei non-Google non sono ancora coperti.

Ho riassunto le caratteristiche principali di Immuni in questi articoli: uno, due. Non dimenticate di leggere le risposte alle domande più frequenti presenti sul sito di Immuni.

Anche se vivo in Svizzera e ho già installato l’app svizzera (SwissCovid), ho installato anche Immuni sul mio telefonino Android. Non possono funzionare contemporaneamente: devo attivare una o l’altra.

Dato che è obbligatorio indicare una provincia, ho scelto Pavia, visto che lì c’è buona parte della mia famiglia. Immuni non ha fatto una piega nonostante il mio telefonino sia in questo momento in Svizzera.

Ho notato inoltre che Immuni disabilita la possibilità di fare screenshot (perlomeno nella versione Android). Curioso. Inoltre ha un limite di età: bisogna dichiarare di avere almeno 14 anni, per questioni legali italiane. Nell’app svizzera non c’è nessuna distinzione di età.

Immuni contiene anche un’altra cosa che manca all’app svizzera: un avviso che mette in guardia contro messaggi ingannevoli di provenienza truffaldina.

Per contro, non mi sembra che abbia un’opzione per disattivarla temporaneamente, che invece è presente nell’app svizzera [aggiornamento: è stata aggiunta nella home intorno al 6 giugno 2020]. Su Android (perlomeno sul mio Samsung A40 con Android 10) si può comunque andare in Impostazioni - Google - Notifiche di esposizione al COVID-19 - Disattiva notifiche di esposizione e scegliere Disattiva. In alternativa si può sempre disattivare completamente il Bluetooth oppure spegnere il telefono.

Ricordo a tutti che l'app Immuni è in fase sperimentale e funziona solo in alcune regioni.

Ricordo inoltre che sui telefonini Android l’app deve chiedere formalmente il permesso di geolocalizzazione per poter usare il Bluetooth nella modalità di scansione continua usata da Immuni, ma è solo perché Google ha abbinato i permessi GPS e Bluetooth nella configurazione di Android. Non vuol dire che Immuni faccia geolocalizzazione e non vuol dire che l’app faccia aumentare il consumo di batteria accendendo il GPS. Lo dice chiaramente anche Stefano Zanero:

Non se ne fa nulla. In Android come già spiegato un gazzillione di volte SIA il GPS sia BLE richiedono il permesso geolocalizzazione. Non significa che l’app usi il GPS.
— Stefano Zanero (@raistolo) June 1, 2020

Immuni è open source e quindi liberamente ispezionabile. Possiamo inoltre verificare che l’app corrisponda davvero al codice sorgente pubblicato:

Si, vedansi le indicazioni Reproducible Builds per #Immuni su https://t.co/rJ7vEkqh1E .

Non ancora applicabili per build iOS. OK invece - allineando ambiente di build e condizioni - per quelle Android = la release pubblicata ieri sul Play Store corrisponde alla 1.0.0 #1000975 . pic.twitter.com/eEmkgYP2ZN
— RAW (@relationsatwork) June 2, 2020

2020/05/22

Arriva l’aggiornamento Apple e Google per l’app anti-coronavirus

Ultimo aggiornamento: 2020/05/22 14:50.

È disponibile da ieri (21 maggio) l’aggiornamento di iOS e di Android che predispone i telefonini per l’uso facoltativo delle app di tracciamento di prossimità contro la pandemia.

Questi aggiornamenti consentono a queste app di utilizzare più correttamente il Bluetooth per rilevare la presenza di un telefonino nelle immediate vicinanze (sotto i due metri circa). Senza questi aggiornamenti, per esempio, gli iPhone a volte non rilevano gli altri iPhone e l’app poteva funzionare solo quando era tenuta in primo piano sullo schermo.

Per iOS, l’aggiornamento arriva sotto forma di nuova versione, la 13.5. Per i telefonini Android, l’aggiornamento è incluso nei Google Play Services, che si aggiornano automaticamente, e verrà distribuito ai vari modelli di smartphone nei prossimi giorni (se usano Android 6.0 o superiore).

Va chiarito che questi aggiornamenti non sono l’app: sono semplicemente il supporto tecnico per le singole app sanitarie dei vari paesi. Visto che includono anche correzioni e miglioramenti di altro genere, è importante installarli anche se non avete ancora deciso se usare o no l’app sanitaria.

Fra l’altro, anche dopo l’installazione di questi aggiornamenti spetta comunque al singolo utente decidere se attivare le funzioni di tracciamento, andando nella nuova sezione Raccolta log di esposizione.

Google e Apple ribadiscono nel loro annuncio congiunto che non vengono raccolte informazioni di localizzazione. Va notata la loro scelta di un termine differente da quello usato comunemente finora: non si parla più di tracciamento dei contatti, ma di notifica di esposizione. In altre parole, si sottolinea correttamente che non vengono collezionate identità ma solo esposizioni a possibili contagi. Nessuna informazione su chi o dove.

È un po’ come una di quelle app o di quei dispositivi che misurano l’esposizione al sole accumulata in spiaggia: non hanno bisogno di sapere chi siete o chi incontrate, ma solo quanto vi siete esposti.

La BBC riassume molto bene qui con dei grafici il funzionamento delle app di tracciamento di prossimità sia nella versione centralizzata sia in quella decentralizzata. XDA-Developers mostra alcuni screenshot della nuova versione di Google Play Services con la sezione di notifica delle esposizioni e spiega bene le due fasi dell’adozione di queste novità (adesso siamo alla prima).

Va notato, inoltre, che l’aggiornamento anti-coronavirus di Apple è solo per iOS e non per iPadOS (quindi non si può usare un tablet come “dosimetro”), e non è comunque disponibile in tutti i paesi.

2020/05/22 14:50

Questo è uno screenshot, pubblicato da Marcel Salathé dell’EPFL, dell’integrazione di SwissCovid nell’aggiornamento di iOS che ne consente il pieno uso:

Progress.

Lots of work ahead but this feels like a key moment. pic.twitter.com/86aZ6x8gI9
— Marcel Salathé (@marcelsalathe) May 22, 2020

2020/05/01

Il riconoscimento facciale va in tilt con le mascherine; aggiornamenti in arrivo

La pandemia sta portando molte persone a indossare mascherine sul volto, e una delle conseguenze tecnologiche inattese di questa nuova pratica è che gli smartphone dotati di sistemi di riconoscimento facciale vanno in tilt, perché devono gestire due aspetti molto differenti dello stesso volto (con e senza mascherina).

Un parziale rimedio potrebbe essere l’impostazione del volto alternativo, ma i test informali danno un tasso di errore piuttosto alto, probabilmente perché il software si aspetta che il volto abbia comunque una bocca di qualche genere, e la bocca è uno degli elementi di biometria usati per il riconoscimento facciale.

Certo, son problemi da primo mondo, ma almeno questi piccoli disagi hanno una soluzione. I possessori di iPhone, infatti, probabilmente riceveranno presto un rimedio sotto forma di aggiornamento di iOS: la versione beta (sperimentale) di iOS 13.5 include un nuovo comportamento di FaceID che gestisce un po’ meglio l’uso di mascherine.

Neanche Apple è in grado di indovinare cosa c’è sotto una mascherina, per cui il rimedio è semplicemente un accesso più veloce al PIN.

Nella versione attuale di iOS, alzare il telefonino al volto per tentare di sbloccarlo con il riconoscimento facciale quando si indossa una mascherina fa vibrare l’iPhone e poi, dopo qualche secondo di tentativi falliti, iOS chiede di far scorrere un dito sullo schermo dal basso verso l’alto per poi digitare il PIN.

Nella versione 13.5 beta, invece, è possibile impostare facoltativamente iOS in modo da saltare direttamente un passaggio, andando direttamente allo scorrimento del dito sullo schermo per sbloccare il telefono con il PIN, senza aspettare che il riconoscimento facciale fallisca.

Non si sa ancora quando verrà rilasciato questo aggiornamento, che includerà anche le funzioni di supporto alle app di tracciamento dei contatti contro la pandemia, ma dovrebbe essere questione di giorni.

È importante resistere alla tentazione di non usare un PIN e di lasciare il telefonino perennemente sbloccato, ma è un rischio di sicurezza altissimo in caso di furto o smarrimento.

Nel frattempo chi è rimasto ai sensori di impronte digitali come sistema di sblocco degli smartphone gioisce. Perlomeno fino al momento in cui si mette i guanti.

Fonte: Ars Technica.

2020/04/30

È tornato il messaggio che paralizza gli iPhone, in una veste nuova

Se avete sentito parlare di un messaggio capace di paralizzare un iPhone semplicemente ricevendolo, senza dover cliccare su link o altro, niente panico. Beh, panico moderato.

Prima di tutto, la bandiera italiana che si vede nel messaggio (video) non è una rivendicazione politica o di paternità e in realtà non è neanche necessaria per far funzionare il messaggio paralizzante.

Come nei casi precedenti (2013 e due volte nel 2018), semplicemente vengono usati dei caratteri di lingue basate su sistemi differenti dall’alfabeto latino, combinandoli in un modo privo di senso che il telefonino non sa come posizionare sullo schermo. Il messaggio può essere trasmesso tramite i principali social network e sistemi di messaggistica (WhatsApp, Twitter, Telegram, Discord) e funziona su tutti i dispositivi che usano iOS 13: iPhone, iPad, Apple Watch e iPod. Alcune fonti indicano che anche i Mac sarebbero colpiti.

Se lo ricevete e vi si rallenta o blocca lo smartphone, potete debellare questo messaggio senza troppi problemi: fate un riavvio forzato (la procedura varia in base alla versione di iPhone che avete; per esempio, per gli iPhone dall’8 compreso in poi, premete brevemente il tasto per alzare il volume, poi quello per abbassarlo, poi tenete premuto il pulsante laterale fino a quando compare il logo Apple).

L’imminente aggiornamento di iOS corregge già questo problema: installatelo quando arriverà.

La cosa importante da ricordare è che non vengono persi o rubati dati, non viene installato nessun malware e non ci sono danni permanenti al dispositivo. Ma anche con questo impatto relativamente limitato, mandare agli amici questo messaggio per fare loro uno scherzo è un ottimo metodo per perdere quegli amici definitivamente.

Fonti aggiuntive: Engadget, Bitdefender, Gizmodo, Sophos.

2020/04/03

Trova una falla in iPhone, iPad e Mac, incassa 75.000 dollari

Cose da fare quando sei chiuso in casa: guadagnare 75.000 dollari, e farlo legalmente. È quello che è riuscito a fare un ricercatore di sicurezza, Ryan Pickren, che ha scoperto una serie di falle tecniche che consentivano di prendere il controllo da remoto della telecamera degli iPhone, degli iPad e dei laptop Apple.

In Safari, il browser di Apple, c’erano infatti ben sette vulnerabilità (CVE-2020-3852, CVE-2020-3864, CVE-2020-3865, CVE-2020-3885, CVE-2020-3887, CVE-2020-9784 e CVE-2020-9787). Concatenandone tre in modo astuto e corretto, permettevano a un sito ostile di accedere alla telecamera e al microfono della vittima, due delle risorse che Apple protegge maggiormente per ovvie ragioni.

Tutto quello che doveva fare la vittima era aver autorizzato in precedenza l’uso della telecamera e del microfono da parte di una qualsiasi app di Apple, cosa che fanno praticamente tutti, e visitare il sito ostile con Safari (cosa facilissima da ottenere con un classico messaggio “clicca qui per vincere un premio” o simile).

Pickren ha segnalato il problema con la massima discrezione ad Apple, che ha un bug bounty, ossia un programma di ricompense per chi segnala in maniera responsabile i difetti dei suoi prodotti, e l’azienda lo ha ringraziato dandogli appunto 75.000 dollari.

Niente panico: le falle più gravi sono state risolte dalle versione 13.0.5 in poi di Safari, uscita a fine gennaio, e le altre sono state messe a posto con Safari 13.1 a fine marzo. Se non avete ancora aggiornato Safari, fatelo.

Se vi interessano i dettagli tecnici delle scoperte di Pickren, li trovate qui in versione estesa e qui in sintesi.

Cerca nel blog