Bitdefender ha effettuato un sondaggio sulle pratiche di base di sicurezza informatica in 11 paesi, e i risultati sono piuttosto deludenti: c’è ancora tanta strada da fare. Per esempio, il 50% degli intervistati ha ammesso disinvoltamente di usare la stessa password per tutti gli account. Un altro 32% ha detto di usare solo poche password, che adopera più volte su vari account.

Il sondaggio (PDF scaricabile, in inglese; comunicato stampa riassuntivo in italiano) si basa su un campione di 10.124 intervistati in Australia, Stati Uniti, Regno Unito, Francia, Germania, Italia, Spagna, Paesi Bassi, Romania, Svezia e Danimarca, di età fra 18 e 65 anni.

Sempre a proposito di password, più di una persona su quattro usa password banali (tipo 1234) come PIN di blocco del cellulare, e più di una persona su dieci non usa nessun PIN. Gli uomini tendono a usare password semplici più delle donne (31% contro 23%). Poi chiediamoci come mai i furti di account sono così frequenti.

Per quanto riguarda gli antivirus, più di uno su tre (35%) non ne usa sul proprio smartphone e il 30% ritiene che i telefonini non ne abbiano bisogno. Eppure il 66% dice di aver avuto almeno una minaccia informatica su quello stesso cellulare negli ultimi 12 mesi.

Il sondaggio copre anche l’uso degli smartphone e degli altri dispositivi digitali connessi da parte dei bambini (36% è senza supervisione) e molti altri aspetti della vita digitale.

Nel comunicato stampa sono disponibili anche i dati riferiti all’Italia. Qualche esempio: le piattaforme maggiormente utilizzate sono WhatsApp e Facebook (nessuna sorpresa); fra i 18 e 24 anni spadroneggiano Instagram e TikTok, nella fascia 25-34 si usano maggiormente Instagram e Netflix, e dai 45 ai 65 anni prevalgono Gmail e Facebook. Gli smartphone più diffusi sono gli Android. Un quarto degli utenti non usa un antivirus sul proprio dispositivo mobile; un quinto abbondante (23%) usa una password semplice per gli account online mentre il 22% usa una password semplice o non ha affatto una password.

Sta uscendo finalmente nelle sale No Time to Die, il più recente film della serie dedicata al celeberrimo agente segreto britannico inventato da Ian Fleming. La pandemia ne ha ritardato l’uscita, per cui è comprensibile che alcuni degli oggetti usati o indossati da James Bond ormai non siano più l’ultimissimo modello.

Ma può sembrare davvero strano che lo 007 famoso per le sue ipertecnologie sfoderi, in No Time to Die, dei telefonini Nokia. Specificamente il 3310, il 7.2 (perlomeno nel trailer originale) e l’8.3 5G, che sono usciti rispettivamente vent’anni fa (a meno che si tratti della riedizione del 2017), a fine 2019 e a ottobre 2020. Oltretutto Nokia oggi è un produttore quasi di nicchia (0,7% del mercato). Come mai questa scelta così particolare?

Ovviamente c’è di mezzo un contratto di sponsorizzazione, e in proposito c’è un dettaglio curioso da sapere: Apple non consente che i propri smartphone vengano usati dai cattivi nei film e nei telefilm (come segnalato dal regista Rian Johnson in questo video a 3:00). Per cui la prossima volta che guardate un giallo, per esempio, sapete con certezza che se un personaggio ha in mano uno smartphone di Apple non può essere un cattivo sotto mentite spoglie.

Detto questo, e tenendo presente che i film di 007 sono delle opere di fantasia che non hanno quasi nessun legame con la realtà dello spionaggio, vale la pena di chiedersi se ha senso per un personaggio come James Bond avere uno smartphone o un telefonino “vecchio stile” come un Nokia 3310.

Lo ha fatto Wired.com, e la risposta è che nessuno smartphone sarebbe una buona scelta, mentre un telefonino semplice sarebbe già più accettabile. Ma la vera sicurezza sarebbe non avere addosso nessun dispositivo elettronico.

Anche gli smartphone più recenti, infatti, hanno vulnerabilità come Pegasus che possono copiare messaggi, registrare chiamate e accedere alla telecamera, e per natura sono difficili da blindare completamente: sarebbe necessario evitare il WiFi, collegarsi fisicamente con un cavo Ethernet, installare un password manager e un adblocker, bloccare tutti i cookie, disabilitare Javascript, il tracciamento e il fingerprinting, non usare la mail, eccetera, secondo Edward Snowden. Conviene decisamente un telefonino “normale”, che già in partenza non ha nulla di tutto questo.

Secondo gli esperti consultati da Wired, se si è a rischio di sorveglianza elettronica da parte di malintenzionati molto esperti la soluzione migliore (dopo il non avere dispositivi) è uno smartphone Android appositamente modificato, sul quale è installato un sistema operativo ad alta sicurezza come GrapheneOS (che non manda dati a Google, tanto per cominciare) e nel quale sono stati fisicamente rimossi il microfono interno (si usa una cuffia, da collegare solo quando serve) e i sensori. Questo genere di servizio viene fornito, a caro prezzo, da aziende come NitroKey, Purism e Blackphone.

Ovviamente significa che bisogna fidarsi di queste aziende e sperare che fra i loro dipendenti non ci sia un agente della SPECTRE.

Molti giornali stanno riprendendo l’annuncio del Garante italiano per la protezione dei dati personali, che ha avviato un’indagine sulle app che userebbero il microfono dello smartphone per ascoltare le conversazioni degli utenti ed estrarne parole chiave a scopo pubblicitario.

Ma l’annuncio va letto attentamente, per evitare informazioni ingannevoli come quella del Messaggero, che dice che “Secondo il Garante della privacy [lo smartphone] verrebbe utilizzato per carpire informazioni rivendute poi a società per fare proposte commerciali.”

Il Garante non ha detto questo. Ha semplicemente avviato un’istruttoria che prevede l’esame di “una serie di app tra le più scaricate” a seguito di segnalazioni di “un servizio televisivo e diversi utenti”, secondo i quali “basterebbe pronunciare alcune parole sui loro gusti, progetti, viaggi o semplici desideri per vedersi arrivare sul cellulare la pubblicità di un’auto, di un’agenzia turistica, di un prodotto cosmetico.”

In altre parole, il Garante per ora non ha prove che esista questo abuso del microfono dello smartphone. Sta agendo, stando perlomeno al suo comunicato, soltanto sulla base di queste segnalazioni di utenti e di un servizio TV (non specificato, ma probabilmente è questo di Striscia la Notizia, che usa un metodo sperimentale decisamente discutibile). Segnalazioni e servizi che potrebbero anche aver preso un granchio, visto che la questione è già stata affrontata varie volte con test di esperti ed è risultato che quello che molti utenti credono che sia stato carpito ascoltando le loro conversazioni è in realtà semplicemente il risultato dell’analisi incrociata della montagna di informazioni personali che riversiamo nei nostri smartphone.

Usate Gmail? Google legge tutta la vostra posta e quindi sa i vostri gusti, cosa comprate online e altro ancora. Usate i social network? Facebook (anche con Instagram e WhatsApp) sa quali sono i vostri interessi. Questi servizi sanno anche dove siete e con chi siete, grazie alla geolocalizzazione e alla co-localizzazione: se due smartphone sono a lungo nello stesso posto e i due utenti hanno avuto una comunicazione social o via mail, probabilmente si conoscono e si parlano su argomenti che interessano a entrambi, quindi i servizi pubblicitari mandano a ciascuno pubblicità dei prodotti che interessano all’altro.

Aggiungiamoci poi la cosiddetta illusione di frequenza che ci spinge a notare le coincidenze e a dimenticare le non coincidenze, è il gioco è fatto: si ha l’impressione che il telefonino ci ascolti.

In realtà che io sappia esiste un solo caso conclamato di ascolto ambientale effettuato da un’app: nel 2019 l’app ufficiale del campionato spagnolo di calcio, LaLiga, fu colta a usare il microfono e la geolocalizzazione degli smartphone per identificare i locali che trasmettevano le partite senza autorizzazione. L’agenzia spagnola per la protezione dei dati diede all’organizzazione sportiva una sanzione di 250.000 euro.

In attesa dei risultati dell’indagine del Garante italiano, è comunque sensato andare nelle impostazioni del proprio smartphone e guardare quali applicazioni hanno il permesso di accedere al microfono, levandolo nei casi sospetti. La procedura varia a seconda del tipo di smartphone (Apple o di altre marche) e della versione di sistema operativo (iOS o Android).

Newsweek ha segnalato un thread diventato virale su Twitter che spiega benissimo il reale potere dei sistemi di tracciamento pubblicitario e ribadisce il concetto che la paura diffusa che gli smartphone ascoltino le nostre conversazioni per proporci i prodotti di cui parliamo è infondata per una ragione molto semplice: non hanno bisogno di farlo perché hanno già tutto quello che serve, e glielo abbiamo fornito noi.

Il thread è stato pubblicato da Robert G. Reeve, che lavora nel settore della tecnologia informatica relativa alla privacy e conosce da vicino la questione.

In sintesi: Reeve è stato a casa di sua madre per una settimana, e si è visto comparire sul telefonino la pubblicità del dentifricio usato da lei e che ha usato anche lui. Non hanno mai parlato del dentifricio in questione. Allora come fa lo smartphone a proporglielo?

Oltre a raccogliere sistematicamente dati come la geolocalizzazione, l’uso delle tessere fedeltà, le prenotazioni e gli acquisti, le applicazioni installate sui telefonini usano la geolocalizzazione correlata: prendono nota di chi si trova regolarmente nelle sue vicinanze e ricostruiscono così la rete dei suoi contatti (amici, colleghi, famiglia).

I pubblicitari usano questa correlazione per mostrargli pubblicità basate sugli interessi di chi gli sta intorno. Cose che non vuole, ma che qualcuno dei suoi contatti potrebbe volere. Lo scopo, dice Reeve, è istigare subliminalmente a parlare di quel prodotto (nel suo caso, il dentifricio). “Non ha mai avuto bisogno di ascoltarmi per farlo. Sta semplicemente confrontando metadati aggregati”.

Reeve conclude notando che questi fatti tecnici sono noti e pubblicati da tempo, ma non indignano nessuno. Tantissime persone hanno rinunciato alla propria privacy. “Conoscono il dentifricio usato da mia madre. Sanno che ero da mia madre. Sanno che io sono su Twitter. Ora ricevo pubblicità su Twitter per il dentifricio di mia madre. I tuoi dati non riguardano soltanto te: riguardano anche il fatto che possono essere usati contro tutte le persone che conosci e anche quelle che non conosci, per plasmare inconsciamente i comportamenti”.

Reeve conclude segnalando gli ultimi aggiornamenti di Apple, che consentono di bloccare buona parte di questo tipo di tracciamento. “Se non altro, rendiamoglielo difficile”, conclude.

Questo è il thread completo originale:

I'm back from a week at my mom's house and now I'm getting ads for her toothpaste brand, the brand I've been putting in my mouth for a week. We never talked about this brand or googled it or anything like that. As a privacy tech worker, let me explain why this is happening.

First of all, your social media apps are not listening to you. This is a conspiracy theory. It's been debunked over and over again. But frankly they don't need to because everything else you give them unthinkingly is way cheaper and way more powerful.

Your apps collect a ton of data from your phone. Your unique device ID. Your location. Your demographics. Weknowdis. Data aggregators pay to pull in data from EVERYWHERE. When I use my discount card at the grocery store? Every purchase? That's a dataset for sale.

They can match my Harris Teeter purchases to my Twitter account because I gave both those companies my email address and phone number and I agreed to all that data-sharing when I accepted those terms of service and the privacy policy.

Here's where it gets truly nuts, though. If my phone is regularly in the same GPS location as another phone, they take note of that. They start reconstructing the web of people I'm in regular contact with.

The advertisers can cross-reference my interests and browsing history and purchase history to those around me. It starts showing ME different ads based on the people AROUND me. Family. Friends. Coworkers.

It will serve me ads for things I DON'T WANT, but it knows someone I'm in regular contact with might want. To subliminally get me to start a conversation about, I don't know, fucking toothpaste. It never needed to listen to me for this. It's just comparing aggregated metadata.

The other thing is, this is just out there in the open. Tons of people report on this. It's just, nobody cares. We have decided our privacy just isn't worth it. It's a losing battle. We've already given away too much of ourselves [link a due articoli che ne parlano].

So. They know my mom's toothpaste. They know I was at my mom's. They know my Twitter. Now I get Twitter ads for mom's toothpaste. Your data isn't just about you. It's about how it can be used against every person you know, and people you don't. To shape behavior unconsciously.

Apple's latest updates let you block apps' tracking and Facebook is MAD. They're BEGGING you to just press accept and go back to business as usual. Block the fuck out of every app's ads. It's not just about you: your data reshapes the internet [link ad articolo sull’argomento].

The internet is never going to be the wacky place it was when I had a Livejournal and people shared protean gifs in the form of YTMNDs. Big business has come to suck the joy (and your dollars) out of it. At least make it hard for them.

Ho da proporvi un altro episodio della serie "No, il tuo telefonino non ti ascolta; sei tu che noti le coincidenze", seguito ideale di questa storia.

Oggi stavo chiacchierando in casa con la famiglia. A un certo punto, parlando di risposte argute a qualcosa detto da qualcuno che ti vengono in mente sempre troppo tardi, ho citato la bella espressione francese "l'esprit de l'escalier".

Descrive esattamente quella condizione esasperante in cui la risposta perfetta e brillante ti viene in mente soltanto quando ormai sei in fondo alle scale e lontano dal tuo interlocutore, per cui è troppo tardi per dirla e ti prenderesti a calci per non averla pensata prima.

Beh, indovinate cosa è comparso poco fa nel mio flusso di tweet:

Phrase of the Day: L’ESPRIT DE L’ESCALIER (French) - literally ‘staircase wit’, thinking of a clever comeback when it’s too late to deliver it.

— Quite Interesting (@qikipedia) August 29, 2020

Non è stata una proposta di Twitter estemporanea: seguo abitualmente Quite Interesting perché è, appunto... parecchio interessante. Però quando ho notato il tweet di QI mi è venuta subito in mente la conversazione di poco prima.

Quante probabilità ci sono che quella esatta espressione assolutamente specifica mi capiti a distanza temporale cosi ravvicinata due volte di fila? Non si tratta di un generico "scarpe" o "divani". Però è successo, e non c’è nessun modo in cui quelli di QI possano aver sentito la nostra conversazione per poi decidere di mandare quel loro tweet.

Morale della storia: dato un numero sufficientemente elevato di eventi, le coincidenze, anche le più strane, a volte accadono. Se nel corso della giornata vedo tanti tweet e dico tante cose, prima o poi l'argomento di quello che ho detto e quello che ho visto coinciderà, e io me ne accorgerò perché siamo animali abili a riconoscere gli schemi.

Quindi prima di accusare i social network, Microsoft, Samsung, Apple o Google di usare i nostri telefonini per ascoltare tutto quello che diciamo, pensiamoci bene. Anche perché non ne hanno bisogno: hanno già tantissimi dati su di noi e sui nostri gusti.

E se alla fine di questa storia ancora non siete convinti e pensate che il telefonino vi spii, allora siate coerenti e buttate via lo smartphone. Oppure state in dignitoso silenzio, così Facebook dovrà leggervi nel pensiero :-)


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

Ultimo aggiornamento: 2021/05/17 9:15.

Siete fra quelli che pensano che il loro telefonino ascolti le loro conversazioni e mostri pubblicità di conseguenza, perché vi è capitato di parlare di una cosa insolita e poi quella stessa cosa vi è stata proposta da Google o Facebook o Instagram? Ho una storia per voi. L’ho raccontata di fretta su Twitter qualche giorno fa, ma la riassumo meglio qui.

Molta gente mi scrive appunto dicendo che una volta ha parlato con gli amici di una cosa molto particolare e specifica e poi proprio quella cosa è comparsa subito dopo nelle pubblicità sul suo computer o smartphone, e quindi non può essere un caso.

Io spiego sempre che sono già state fatte tante verifiche tecniche da parte di esperti indipendenti (per esempio il test fatto da Wandera) e non c'è traccia di ascolto generalizzato e sfruttamento di quello che viene detto (a parte il riconoscere parole chiave tipo "Ehi Siri" o "OK Google" o "Alexa").

Spiego anche che Google e social network non hanno bisogno di ascoltarci per capire i nostri interessi: leggono già la nostra Gmail, i nostri post Facebook, sanno i nostri "mi piace", analizzano le nostre foto, tracciano i siti che visitiamo.

Aggiungo anche che ascoltarci di nascosto sarebbe illegalissimo in tutto il mondo e sarebbe un rischio enorme, che queste grandi aziende non hanno nessuna convenienza a correre. 

Ricordo poi a questi scettici che noi esseri umani abbiamo una tendenza innata a notare le coincidenze e dimenticare le non coincidenze. Si chiama effetto Baader-Meinhof, illusione di frequenza o, in alcuni casi, illusione di recentezza. Compri un'auto azzurro cielo, improvvisamente tutte le auto che noti sono azzurro cielo. Aspetti un bimbo, incontri solo donne incinte.

Ma non c'è niente da fare: questi scettici mi dicono sempre “Ma il mio caso è troppo particolare! Non può essere una semplice analisi delle mail o della localizzazione o di tutto quello che ho scritto sui social! Non ho mai parlato prima di tagliabecchi laser per pulcini!” (Sì, esistono).

Piccola parentesi: se davvero credete che il vostro telefono ascolti tutto quello che dite, compresi i vostri momenti intimi e le vostre conversazioni confidenziali, cosa diavolo ci fate ancora con un telefonino? Siate coerenti e buttatelo via, o almeno spegnetelo.

Vengo dunque alla storia che vi avevo promesso. Per tutti quelli che non credono che possano esistere coincidenze così precise come quelle che ho citato e mi vengono raccontate, questo è quello che mi è successo poco fa.

Il 6 agosto scorso ero in un camerino a provare pantaloni. Ho lasciato il mio marsupio vicino all'ingresso del camerino, chiuso da una tendina, e ho pensato (senza dirlo ad alta voce) “certo che se qualcuno infilasse la mano nel camerino me lo potrebbe rubare e io dovrei rincorrerlo in mutande, forse è meglio spostarlo” (scusatemi se ora questa scena è nella vostra immaginazione).

Il treno dei miei pensieri è andato avanti nella sua corsa, come fa spesso, e così ho pensato “Ma mi metterei davvero a correre in mutande in un centro commerciale per acchiappare un ladro di portafogli? Cosa mi dovrebbero rubare per indurmi a una scena del genere?” Da informatico ho pensato subito al mio laptop.

Non ho condiviso questo pensiero con nessuno, nemmeno con mia moglie. L’ho messo per iscritto per la prima volta in questo tweet, alle 17:07 del giorno dopo (7 agosto), il giorno dopo aver immaginato di rincorrere seminudo in pubblico un ladro che mi avesse rubato con destrezza il laptop.

E l’ho messo per iscritto perché un’oretta prima di quel tweet mi era capitato di vedere, nel flusso delle notizie che sfoglio spesso, che la BBC aveva pubblicato questo: un uomo che rincorre nudo un cinghiale che gli ha rubato la borsa contenente il suo laptop.


L’episodio è successo vicino a Berlino, e la moglie dell’uomo, che è un nudista, ha pubblicato altre foto della vicenda.

Dovrei quindi pensare “Non può essere una coincidenza! Chiaramente la BBC mi legge nel pensiero!”? Secondo i ragionamenti degli scettici/paranoici, sì.

Le corrispondenze sono troppe, no?

1. L'ho pensato proprio il giorno prima.
2. Ho pensato proprio a un laptop.
3. Ho pensato che me lo portassero via con destrezza.
4. Ho pensato di rincorrere il ladro.
5. Ho pensato di farlo in condizioni imbarazzanti.

Ma in realtà io mi sono ricordato di quel pensiero fugace soltanto perché ho visto la notizia della BBC. Era uno dei mille pensieri che mi passano per la testa ogni giorno. Ho semplicemente ricordato quello che più o meno corrispondeva alla notizia: ho notato una coincidenza.

Se non ci fosse stata quella notizia a stimolare il ricordo, mi sarei completamente dimenticato di quel pensiero. Quanti pensieri facciamo nel corso di una giornata? Uno fra i tanti ha coinciso con una notizia, tutto qui.

Oltretutto la mia mente ha dovuto forzare un po' per far combaciare il pensiero e la notizia: il mio ladro non era un cinghiale. Non ero in un prato. E non ero nudo. Ma fa niente, ho avvertito subito un brivido per la corrispondenza sorprendente.

Questi processi mentali sono gli stessi alla base dei presunti sogni premonitori e dei successi dei sensitivi, delle cartomanti e dei paragnosti figli di paragnosti. Ci ricordiamo le cose azzeccate, scartiamo quelle sbagliate.

Quindi prima di dire "il mio telefonino mi ascolta, ho le prove" e accusare Google, Facebook e gli altri social di commettere atti altamente illegali su scala massiccia, pensateci bene e chiedetevi se per caso esiste un’altra spiegazione. Perché le coincidenze càpitano.

Davvero non avete mai scritto/googlato/messo un like a qualcosa legato a quel tema che ora vi viene proposto? La geolocalizzazione rivela il vostro interesse per quella cosa? I vostri amici ne hanno mai parlato online? Avete condiviso la stessa rete Wi-Fi con persone che hanno discusso online di quell’argomento? Non dimenticate che Google e social network sono maestri nel cercare ogni possibile appiglio di correlazione per proporvi pubblicità mirata.

Fine della storia. Se ora non riuscite a levarvi dalla mente un nudista che rincorre un cinghiale o un informatico spilungone in mutande, mi spiace. Ma è sempre meglio che pensare di essere ascoltati 24 ore su 24.

---

Qualche giorno dopo aver scritto la prima stesura di questo articolo mi è capitato un episodio che ne conferma le conclusioni.

Una ricerca intitolata SurfingAttack: Interactive Hidden Attack on Voice Assistants Using Ultrasonic Guided Waves descrive un attacco informatico decisamente originale e creativo: usare un tavolo per prendere il controllo di uno smartphone senza neppure toccarlo.

L’attacco funziona così: uno speciale dispositivo, un trasduttore piezoelettrico che costa una manciata di dollari, genera vibrazioni che l’orecchio umano non può sentire ma che, se il dispositivo è messo a contatto con una superficie sulla quale è appoggiato il telefonino, possono propagarsi attraverso il materiale della superficie e arrivare al microfono dello smartphone, che è più sensibile di un orecchio umano.

Queste vibrazioni producono suoni non udibili dagli utenti, che il microfono interpreta come comandi vocali rivolti all’assistente vocale (Siri, Hey Google, eccetera). Questi comandi possono essere usati per fare chiamate internazionali costosissime o captare il testo degli SMS di verifica per gli account.

L’altro ingrediente richiesto per questa trappola informatica è un microfono che capti le risposte dell’assistente vocale e le trasmetta all’aggressore.

Difendersi, per fortuna, è facile, se si sa che esiste questo genere di attacco: a parte disabilitare la funzione di ascolto costante e di attivazione automatica dell’assistente vocale, basta che sul tavolo ci sia una tovaglia spessa o che il telefono abbia una custodia un po’ massiccia.

Lo smartphone di Jeff Bezos, boss miliardario di Amazon, uno a cui i soldi e le motivazioni per pensare alla propria sicurezza informatica non mancano di certo, è stato violato.

Secondo i risultati di una perizia tecnica, l’iPhone di Bezos ha iniziato a trasmettere dati in quantità elevate (in media 100 megabyte al giorno) verso una destinazione imprecisata il primo maggio 2018, dopo che Bezos ha ricevuto tramite WhatsApp un video inviatogli dall’account di Mohammed bin Salman Al Saud, influente principe ereditario saudita che sostanzialmente governa l’Arabia Saudita.

Lasciando da parte momentaneamente i risvolti planetari politici della vicenda (Bezos è proprietario del Washington Post, il giornale per il quale scriveva il giornalista Jamal Khashoggi, fortemente critico del governo saudita  assassinato presso il consolato saudita di Istanbul a ottobre 2018), per noi comuni mortali questo attacco ha alcune implicazioni importanti.

Immagini tratte dal telefono di Bezos e inviategli dall’account di Mohammed bin Salman mostrano una donna che sembra essere Lauren Sanchez, con la quale Bezos aveva all’epoca una relazione extraconiugale segreta.

Primo, e non banale, a quanto pare le persone più influenti del mondo chattano tramite WhatsApp. Ci si potrebbe aspettare un social network riservato ai miliardari, e invece no.

Secondo, è stato violato un iPhone X, nonostante tutte le dichiarazioni sulla sicurezza di questo dispositivo fatte da Apple.

Terzo, l’iPhone è stato violato mandando un video alla vittima. Questo vuol dire che esiste un modo per attaccare chiunque via WhatsApp inviando un video? Non proprio. Secondo la perizia tecnica, il video è arrivato insieme a un imprecisato “downloader crittografato”, per cui non basta semplicemente ricevere un video per temere un attacco.

Quarto, è possibile che la falla usata per violare lo smartphone di Jeff Bezos sia stata già corretta: a maggio 2019 fu annunciata e corretta una grave vulnerabilità di WhatsApp (un buffer overflow) che veniva a quanto pare utilizzata da vari governi per spiare le persone.

Quinto, a quanto pare Bezos ha dimenticato la password del proprio account iTunes, visto che i periti hanno dovuto usare una tecnica particolare per ottenere i dati senza usare questa password.

Morale della storia: il vostro smartphone è così complesso e potente che è difficilissimo metterlo in totale sicurezza persino per uno come Jeff Bezos e quindi l’unica vera difesa è non usarlo, preferendo un telefonino normale (o nessun telefonino). Per contro, attacchi sofisticati come questo richiedono le risorse economiche e tecniche di uno stato, per cui se non siete un bersaglio particolarmente appetibile per motivi professionali o politici non avete motivo di preoccuparvi per questo genere di intrusione sofisticata.

Ma se lo siete, pensateci. E in ogni caso fate sempre gli aggiornamenti di sicurezza e non dimenticatevi le vostre password.


Fonti aggiuntive: Graham Cluley, BoingBoing, Vice.com.

Fonte: Tuttoandroid.

Nei giorni scorsi c’è stata parecchia ansia nei media (Corriere) e fra gli utenti di WhatsApp per un presunto “virus di Capodanno”: un messaggio contenente un nome seguito dalla frase “ti ha inviato un messaggio privato!! Clicca ORA questo link per leggere il messaggio”. Ne esistono varie versioni anche in altre lingue oltre all’italiano.

Si è diffusa la voce che cliccando sul link gli smartphone venivano infettati automaticamente e venivano rubati “tutti i dati personali dell’utente, come password di accesso ai social, rubriche e messaggi” (Il Giornale), ma non ce n’è alcuna conferma.

Sugli smartphone iOS e Android recenti, infatti, è quasi impossibile installare un virus senza che l’utente faccia qualcosa di ben più banale che toccare un link o visualizzare un messaggio (per esempio installare un profilo sui telefonini iOS). In questo caso specifico, se avete solo visualizzato il messaggio-trappola, senza toccarne il link, non è successo nulla siete a posto.

Se l‘avete toccato, le cose si complicano. Visitando il sito linkato (touch-here punto site oppure My-love punto co e simili), il browser dello smartphone riceve istruzioni di aprire moltissime finestre pubblicitarie, che possono rallentare moltissimo il telefono. Alcune di queste finestre possono proporre di scaricare e installare un’app ostile, presumibilmente di tipo pubblicitario (adware), oppure chiedere dati personali. Si tratta insomma di un browser hijacking, il cui scopo è generare incassi pubblicitari per i truffatori che hanno creato la trappola.

Dovrebbe essere ovvio che non bisogna né installare app di origini sconosciute né dare dati personali a siti sconosciuti, ma se l’avete fatto allora vi conviene cambiare le password dei vostri account.

Il consiglio aggiuntivo molto diffuso di fare il ripristino di fabbrica è probabilmente eccessivo: se avete uno smartphone Android, dovrebbe essere sufficiente installare un antivirus di una marca affidabile e conosciuta e fargli fare una scansione. Ma se volete stare proprio tranquilli, fate pure un ripristino di fabbrica, naturalmente dopo aver salvato tutti i dati presenti sullo smartphone.

Visto che si tratta di un attacco mirato al browser, può darsi che sia necessario azzerarne le impostazioni.

Lo stesso tipo di attacco esiste anche per PC Windows e MacOS: trovate qui istruzioni per risolverlo per questi sistemi operativi.

Il sito Naked Security di Sophos segnala che è importante aggiornare i dispositivi Android per risolvere varie falle, compresa una (la CVE-2019-2232) che, secondo Google, consente a un aggressore di causare un denial of service permanente inviando semplicemente un messaggio appositamente confezionato.

Non è stato reso noto come vada confezionato questo messaggio paralizzante, ma qualche indizio è consultabile qui.

Per risolvere il problema è necessario installare gli aggiornamenti di Android di dicembre 2019, se non sono già installati e se sono disponibili per il vostro dispositivo.

Queste istruzioni valgono per Android versione 9:

• Per sapere se sono già installati, potete andare nelle Impostazioni e scegliere Informazioni sul telefono - Informazioni software - Livello patch sicurezza e guardare la data della patch.
• Per sapere se sono disponibili ulteriori aggiornamenti, potete andare sempre nelle Impostazioni e scegliere Aggiornamenti software e poi Scarica e installa.

Gli aggiornamenti saranno disponibili in momenti differenti a seconda del fabbricante del dispositivo: qui potete trovare i bollettini di aggiornamento di Google, Huawei, LG, Motorola, Nokia e Samsung.

Visto che la notizia del Samsung S10 sbloccabile troppo facilmente si è rivelata una bufala, segnalo con un pizzico di cautela quest’altra notizia riguardante sistemi di sblocco biometrici.

Sono state pubblicate segnalazioni secondo le quali il Pixel 4, uno degli smartphone di punta di Google, avrebbe un sensore di riconoscimento facciale con un difetto fondamentale: funzionerebbe anche quando l’utente ha gli occhi chiusi.

Questo sensore usa un sistema di machine learning per riconoscere il volto del proprietario e non ha altri sistemi biometrici di accesso (nessun sensore d’impronta). Il software del sensore non controlla se l’utente ha gli occhi aperti o meno, e questo significa che il telefono può essere sbloccato da malintenzionati, bambini o partner ficcanaso semplicemente puntandolo verso il viso del proprietario mentre dorme o è incosciente.

Google ha confermato questa caratteristica nelle pagine di supporto dello smartphone (“Your phone can also be unlocked by someone else if it’s held up to your face, even if your eyes are closed”) e raccomanda di attivare il lockdown nelle situazioni non sicure.


La cosa curiosa è che le immagini del Pixel 4 circolate prima del lancio ufficiale del prodotto includevano un’impostazione etichettata “Richiedi che gli occhi siano aperti” nel menu del riconoscimento facciale, ma quest’opzione non risulta presente nei modelli messi in vendita.

Ultimo aggiornamento: 2019/10/19 8:00. 

Nei giorni scorsi è diventata virale la notizia che gli smartphone Samsung Galaxy S10 avrebbero un difetto di sicurezza nel sensore d’impronte, che sbloccherebbe il telefono accettando qualunque impronta digitale di chiunque. Non è così.

La notizia è partita dal tabloid britannico The Sun (copia su Archive.org), che ha raccontato la scoperta di una signora del Regno Unito che ha “scoperto che chiunque poteva accedere al suo telefonino Samsung dopo che aveva installato una protezione per lo schermo da £2,70 che aveva comprato su eBay”.

La notizia ha creato un certo panico mediatico, tanto che una banca online sudcoreana, KaKao Bank, ha consigliato ai propri clienti di disattivare l’opzione di riconoscimento delle impronte. Samsung ha dichiarato che il riconoscimento delle impronte digitali è difettoso e che diffonderà presto un aggiornamento correttivo.

Ma il problema non è drammatico come sembra. La signora britannica, infatti, ha commesso l’errore di memorizzare la propria impronta digitale dopo aver installato la protezione antigraffio, che copre il sensore e interferisce con il suo rilevamento delle impronte. In altre parole, quello che ha fatto la signora è un po’ come memorizzare la propria impronta dopo aver indossato dei guanti di gomma e stupirsi che chiunque indossi gli stessi guanti può sbloccare il telefono.

Alcune segnalazioni suggeriscono che il problema si manifesti anche se si registra l’impronta prima di aver applicato la protezione e che se si applica una protezione il sensore accetti come valida qualunque impronta (il che significherebbe che per sbloccare un telefonino di questo tipo basta appoggiarvi sopra una protezione), ma in ogni caso non si può biasimare la signora per il fatto di non conoscere i dettagli tecnici del funzionamento del suo smartphone e di non sapere che comprare e applicare la protezione sbagliata può sbaragliarne la sicurezza.

A differenza di molti smartphone, infatti, il sensore d’impronta del Galaxy S10 è integrato nello schermo e si basa su ultrasuoni invece di essere ottico o capacitivo come quelli consueti, per cui occorre usare specificamente le protezioni approvate e verificate da Samsung invece di quelle generiche comprate su eBay.

In sintesi: se avete un S10, niente panico. Se avete registrato la vostra impronta digitale dopo aver applicato una protezione allo schermo, toglietela e registrate di nuovo l’impronta, poi comprate una protezione approvata da Samsung. Tutto qui.

Lo stesso tipo di sensore ultrasonico è installato anche sul Note 10.


Fonti aggiuntive: Graham Cluley, The Register.

La BBC segnala che la polizia britannica sta consigliando a tutti di installare un’app salvavita sul proprio smartphone: si tratta di What3Words (Android; iOS).

L’app serve per quando ci si perde, per esempio durante un’escursione, e non si sa dove ci si trova, come è successo pochi giorni fa a Jess Tinsley e ai suoi amici, che si sono persi in un bosco di notte nella contea di Durham.

Quando hanno finalmente trovato una zona dove c’era il segnale della rete cellulare, hanno chiamato il numero di soccorso con uno smartphone. I soccorritori hanno consigliato loro di installare What3Words.

La ragione di questo consiglio insolito è che questa app genera una sequenza di tre parole che rappresentano le coordinate geografiche di localizzazione con una precisione di tre metri. Comunicare queste tre parole ai soccorritori, che le immettono nella propria copia dell’app, è infinitamente più semplice che dettare delle coordinate geografiche o condividere un link.

Per esempio, è decisamente più semplice dire eterni nuotato lavaggi che dettare 46°00'31.3"N 8°56'16.3"E (le coordinate della sede della Radiotelevisione Svizzera), magari su una connessione telefonica disturbata e debole. Eppure entrambi i dati puntano allo stesso luogo. Se per esempio non ci si può muovere per un infortunio e non c’è segnale della rete telefonica mobile ma il GPS dello smartphone funziona, è possibile affidare queste tre parole a una persona che vada a cercare soccorsi.

L’app, concepita nel 2013, suddivide il mondo intero in 57.000 miliardi di celle quadrate di tre metri per tre e assegna tre parole a ciascuna di queste celle. È possibile scegliere la lingua di queste parole (l’app permette di scegliere fra 35 lingue).

Senza arrivare a queste situazioni estreme, What3Words può essere un modo pratico per indicare con facilità un luogo esatto dove incontrarsi. La Mongolia ha adottato il sistema di tre parole per il proprio servizio postale e Mercedes Benz l’ha incorporato nelle proprie auto.


Aggiornamento: dai commenti mi segnalano che Swisstopo (l’ufficio federale svizzero di topografia) integra tra i vari sistemi di coordinate anche What3words qui: map.geo.admin.ch. È sufficiente cliccare con il tasto destro in qualsiasi luogo.

Alla conferenza di sicurezza Black Hat di Las Vegas, dei ricercatori della Tencent hanno scoperto e reso pubblica una tecnica che consente di eludere, in certe condizioni, il sistema di riconoscimento facciale FaceID di Apple: mettere alla vittima un paio di occhiali leggermente modificati.

Normalmente FaceID verifica che il proprietario dello smartphone abbia gli occhi aperti, e quindi non stia dormendo, per evitare che qualcuno possa sbloccare il telefonino semplicemente puntandolo sul viso del proprietario appisolato.

Ma questo controllo viene semplificato parecchio se il proprietario indossa occhiali. In questo caso, spiegano i ricercatori, i sensori dello smartphone non estraggono informazioni di tridimensionalità dall’area dell’occhio. Questi sensori, inoltre, si limitano a cercare in quella zona un’area nera (l’occhio) con un punto bianco (l’iride) al centro.

Il risultato è che i ricercatori hanno mostrato che FaceID si può sbloccare mettendo sul viso della vittima un paio di occhiali sulle cui lenti sono stati applicati dei rettangoli di nastro adesivo nero al centro dei quali c’è un pezzetto di nastro adesivo bianco. Lo sblocco consente pieno accesso al contenuto dello smartphone, esattamente come se fosse stato sbloccato dal proprietario.

Può sembrare che questo tipo di vulnerabilità sia sfruttabile solo in circostanze piuttosto estreme: la vittima deve essere in stato di incoscienza tale da non accorgersi che qualcuno le sta mettendo in faccia degli occhiali. Ma ci sono situazioni abbastanza normali nelle quali questo succede, per esempio in seguito a consumo eccessivo di alcolici o all’assunzione di alcuni farmaci o semplicemente perché si ha il sonno pesante.

Il rimedio è piuttosto semplice: se vi aspettate di potervi trovare in una situazione del genere, spegnete completamente lo smartphone o disabilitate lo sblocco tramite riconoscimento facciale.

Credit: iFixit.

Secondo due test indipendenti (iFixit e Justin Ashford), se si cambia la batteria degli iPhone XS, XS Plus Max e XR di Apple senza rivolgersi ad Apple compare un messaggio che dice che la nuova batteria ha bisogno di assistenza, anche se in realtà funziona correttamente. Questo vale anche se la nuova batteria è un ricambio originale Apple.

La scoperta è un duro colpo per tutto il mondo dei riparatori indipendenti ed è anche una limitazione delle libertà e dei diritti del consumatore, che non può più scegliere serenamente da chi andare per la manutenzione del telefonino che ha acquistato. Il cambio di batteria, oltretutto, è una delle operazioni di manutenzione più frequenti e utili per allungare la vita di uno smartphone.

È come se un’automobile accendesse la spia dell’olio dopo aver cambiato l’olio perché l’installatore non è affiliato alla casa automobilistica; l’auto funziona, ma l’unico modo per far sparire la spia e sapere se c’è davvero o no un problema all’olio è pagare un installatore affiliato.

Stando alle indagini, raccontate da Vice.com, Apple sta usando una soluzione software e hardware per vincolare la batteria originale del telefono allo specifico esemplare di smartphone: sulle batterie c’è un chip di autenticazione della Texas Instruments, che Apple a quanto pare ha deciso di iniziare a utilizzare, creando un monopolio sulle riparazioni.

Al momento in cui scrivo queste righe, Apple non ha ancora risposto formalmente alla critica.

Google non darà più a Huawei accesso ad alcune app: essendo un’azienda americana, deve infatti adeguarsi alle nuove regole decise dall’amministrazione Trump, che ha messo Huawei in una lista di aziende con le quali le società statunitensi non possono commerciare senza un’apposita licenza.

Secondo la BBC, questo significa che gli utenti di smartphone Huawei potranno aggiornare le app e scaricare aggiornamenti di sicurezza e aggiornamenti dei servizi di Google Play, ma potrebbero essere bloccati dall’installare le prossime versioni di Android; inoltre i futuri dispositivi Huawei potrebbero essere privi di Youtube, Google Maps e simili.

Il sistema operativo Android di base è basato su software open source, per cui Huawei lo può usare liberamente; non potrà usare i componenti aggiuntivi di Android sviluppati da Google o altre aziende americane.

L‘account Twitter ufficiale di Android ha pubblicato questo annuncio di conferma di quanto chiarito dalla BBC, ma il danno di immagine per Huawei, agli occhi del consumatore medio, sarà probabilmente molto pesante.

For Huawei users' questions regarding our steps to comply w/ the recent US government actions: We assure you while we are complying with all US gov't requirements, services like Google Play & security from Google Play Protect will keep functioning on your existing Huawei device.

— Android (@Android) May 20, 2019

Maggiori dettagli sono su Ars Technica.


Questo articolo vi arriva gratuitamente e senza pubblicità grazie alle donazioni dei lettori. Se vi è piaciuto, potete incoraggiarmi a scrivere ancora facendo una donazione anche voi, tramite Paypal (paypal.me/disinformatico), Bitcoin (3AN7DscEZN1x6CLR57e1fSA1LC3yQ387Pv) o altri metodi.

L’Organizzazione Mondiale della Sanità ha pubblicato le proprie linee guida (PDF in inglese) sull’attività fisica, sui comportamenti sedentari e sul sonno dedicata ai bambini fino a cinque anni.

Una delle raccomandazioni di base di queste linee guida è che fino a due anni nessun bambino dovrebbe stare davanti a uno schermo: quindi niente TV, tablet o smartphone. Dai due ai cinque anni è ammissibile al massimo un’ora al giorno.

La ragione di questa restrizione è l’eccessiva sedentarietà rilevata nei bambini di oggi, parcheggiati e imbambolati troppo spesso davanti a uno schermo a discapito dell’attività fisica e sociale e del sonno. Il risultato è un aumento dell’obesità e delle malattie associate e una riduzione delle capacità motorie e cognitive.

La raccomandazione OMS, per i bambini da 1 a 5 anni, è di dedicare almeno tre ore al giorno ad attività fisiche di varia intensità, di non trascorrere più di un’ora al giorno in passeggini, seggioloni o simili oggetti che impediscano i movimenti, e di fare in modo che i periodi sedentari includano letture e racconti insieme a un genitore o altra persona che accudisce. In altre parole, niente Youtube con Peppa Pig sullo smartphone al posto delle fiabe e dei libri.

Secondo i dati dell’OMS, oltre il 23% degli adulti e l’80% degli adolescenti non svolge un’attività fisica sufficiente.

Samsung ha ottenuto un bel po’ di pubblicità gratuita quando ha presentato in pompa magna il suo smartphone con schermo pieghevole, il Samsung Galaxy Fold. Veder concretizzare un’idea che per anni è sembrata pura fantascienza è stato spettacolare. Anche il prezzo del dispositivo è stato sensazionale: poco meno di duemila dollari.

Questa pubblicità gratuita è diventata un autogol quando Samsung ha iniziato a dare i primi esemplari del Galaxy Fold ad alcuni giornalisti affinché ne scrivessero delle recensioni. Non è andata come sperato: Dieter Bohn, su The Verge, ha pubblicato le foto del suo Fold con lo schermo rotto dopo un solo giorno di utilizzo.

Lo stesso hanno fatto altri giornalisti recensori, mostrando i loro Samsung Galaxy Fold con lo schermo pieghevole rotto a metà.

After one day of use... pic.twitter.com/VjDlJI45C9

— Steve Kovach (@stevekovach) 17 aprile 2019

In alcuni casi i giornalisti hanno rimosso per errore una pellicola protettiva che hanno intepretato erroneamente come una protezione temporanea fatta per essere tolta, ma in altri la rottura totale dello schermo è avvenuta anche senza togliere la pellicola.

Considerato che mancano due settimane scarse alla messa in commercio di questo smartphone pieghevole (il 26 aprile) e che i preordini sono numerosissimi, sarà interessante vedere come Samsung gestirà il problema a livello tecnico. Gli schermi OLED flessibili che usa stanno dimostrando di deformarsi e guastarsi proprio lungo la linea di piegatura, e questo non sembra un difetto facile da risolvere, nonostante le dichiarazioni di Samsung che lo schermo è in grado di “sopportare oltre 200,000 cicli di piegatura”.

Nel frattempo l’azienda ha risposto con un laconico comunicato stampa nel quale dice che “un numero limitato di esemplari iniziali di Galaxy Fold è stato dato ai media per la recensione. Abbiamo ricevuto alcune segnalazioni riguardanti lo schermo principale sugli esemplari forniti. Ispezioneremo approfonditamente queste unità di persona per determinare la causa della questione.” Ha inoltre accennato alla rimozione della pellicola da parte di alcuni recensori, segnalandola però come questione distinta.

Staremo a vedere. Nel frattempo, per il momento lo smartphone pieghevole sembra un miraggio ancora lontano, e oltretutto di dubbia utilità una volta superato l’effetto wow iniziale.


Fonti aggiuntive: Ars Technica.

Ormai il sensore d’impronta è presente su molti smartphone ed è considerato un sistema di protezione piuttosto efficace, anche se rimane valido il principio che un’impronta digitale, che ti porti in giro sempre, lasci in giro continuamente e non puoi cambiare più di dieci volte nella vita non è una password.

La corsa ai telefonini “tutto schermo”, tuttavia, rischia di compromettere l’efficacia di questo sistema. Infatti negli smartphone più recenti il sensore d’impronta viene collocato sotto lo schermo, in modo da non occupare spazio frontale e permettere allo schermo di occupare tutta la superficie del dispositivo.

Ma collocare il sensore dietro lo schermo significa rinunciare al funzionamento capacitivo, che è quello standard e ben collaudato di questi sensori, e adottare un sistema ultrasonico, come ha fatto per esempio Samsung con la gamma Galaxy S10 (a parte l’S10 Essential, che ha un sensore capacitivo sul bordo).

Il risultato di questa rinuncia è che il sensore può essere beffato usando semplicemente una copia dell’impronta generata con una stampante 3D.

Perlomeno questo è quello che dichiara un informatico che si fa chiamare Darkshark e che ha postato un video nel quale sblocca uno di questi telefonini usando una lamina di plastica sulla quale ha creato un’impronta del proprio dito, presa da un bicchiere scattandone una foto con un normale smartphone e poi usando Photoshop per aumentare il contrasto e il software 3DS Max 3D per generarne i rilievi tridimensionali. Una stampante 3D Anycubic Photon a resina, che costa circa 500 dollari, ha poi stampato la lamina con la finta impronta. Tempo necessario: meno di quindici minuti.

Questa tecnica funziona solo con i sensori ultrasonici, perché quelli capacitivi tradizionali si accorgerebbero della falsa impronta per via della sua resistenza elettrica differente rispetto a quella della pelle.

Dato che molte app che maneggiano soldi (da PayPal alle app delle banche alle app di micropagamento) oggi si basano sul sensore d’impronta, è importante conoscere queste limitazioni dei nuovi sensori ultrasonici ed eventualmente adottare una seconda forma di protezione (per esempio un PIN). O comperare un telefonino che invece di pensare all’estetica a qualunque costo offre una soluzione più semplice: mettere un sensore tradizionale sul retro.


Fonti: Naked Security, Graham Cluley.

Il 4 novembre scorso è andata in onda sulla RSI una puntata di Linea Rossa dedicata a dati, sicurezza e privacy. Da 13:50 circa c’è un servizio nel quale faccio una piccola demo di intrusione (consensuale) in un telefonino per rivelare quanti dati personali lasciamo in giro usando gli smartphone.

Nella demo, l’ambiente che si intravede è il mio ufficio nel Maniero Digitale, al suo debutto televisivo. Noterete alcune chicche :-). La trasmissione prosegue con un faccia a faccia con i giovani partecipanti al programma. Buona visione!

Se il video ha restrizioni regionali, provate questa versione.