skip to main | skip to sidebar
0 commenti

Podcast del Disinformatico del 2017/11/17

È disponibile per lo scaricamento il podcast della puntata di oggi del Disinformatico della Radiotelevisione Svizzera. Buon ascolto!
27 commenti

Pensarci prima no? Amazon vuole dare le chiavi (digitali) di casa ai fattorini. Subito craccate

A volte viene proprio da chiedersi se per caso, nelle grandi società informatiche, c'è qualcuno che ha ancora un neurone funzionante o se stanno andando avanti tutti a furia di deliri di onnipotenza e incapacità di fermarsi e dire “Un momento, siamo proprio sicuri di voler fare questa cosa?”.

Prendete Amazon, per esempio: ha partorito l’idea che gli utenti diano ai suoi fattorini il permesso di entrare in casa per le consegne, installando una serratura elettronica, chiamata Amazon Key, che il fattorino di Amazon sbloccherebbe con un’apposita app sullo smartphone se l’utente non è nell’abitazione.

Per evitare abusi, ha pensato bene Amazon, una webcam sorveglierebbe la porta d’ingresso per registrare eventuali comportamenti scorretti dei fattorini. Ma non c’è voluto molto per trovare una falla molto semplice in quest’idea straordinariamente infelice: dato che la webcam è collegata via Wi-Fi, basta sovraccaricare la rete Wi-Fi di appositi segnali (pacchetti di deauthorization) per scollegare la webcam dalla rete e intercettare il comando di richiusura della serratura, che quindi rimane sbloccata. In questo modo l’utente riceve dalla webcam solo l’ultima immagine fissa trasmessa prima del blocco e non può vedere cosa fa il fattorino, che può rientrare in casa, non visto, dopo aver effettuato la consegna ed essersene apparentemente andato via senza far nulla.

È stato pubblicato un video dimostrativo che spiega in dettaglio la vulnerabilità e Amazon ha diffuso un aggiornamento di sicurezza automatico che avvisa i clienti se si verificano attività sospette. L’azienda ha anche obiettato che questa tecnica farebbe cadere immediatamente i sospetti sul fattorino, che sarebbe rintracciabile e quindi non avrebbe nessuna convenienza ad abusare del sistema. Ma gli esperti hanno notato che una terza persona, un criminale informatico in agguato, potrebbe approfittare della visita del fattorino, bloccare la serratura elettronica in posizione aperta e poi far cadere la colpa di un furto sul povero fattorino innocente. Uno scenario non facile, certo, ma non impossibile.

Ci sono poi altre considerazioni: per esempio, che succede se in casa c’è un animale domestico che scappa (o attacca il fattorino)? O se la casa è dotata di allarme antifurto? Forse pensarci prima sarebbe stato un risparmio di tempo per tutti.


Fonte aggiuntiva: The Register.
3 commenti

Occhio alle false app di WhatsApp: questa è stata scaricata un milione di volte

Di solito si può stare tranquilli con le app presenti negli store ufficiali (App Store per iOS, Google Play per Android), ma ogni tanto qualche app truffaldina supera i controlli e viene ospitata negli store fino al momento in cui viene scoperta e rimossa.

Di recente Google Play ha rimediato una pessima figura ospitando una falsa app di WhatsApp che è stata scaricata più di un milione di volte prima che qualcuno si accorgesse che era pericolosa.

L’app si chiamava Update WhatsApp Messenger: un nome decisamente ingannevole. Ma la cosa più ingannevole era il nome del produttore, che era WhatsApp Inc.: indistinguibile dall’originale, almeno per l’utente comune, perché era scritto inserendo un carattere speciale che visivamente sembrava un normale spazio.

La falsa app conteneva pubblicità, scaricava software sui dispositivi delle vittime e cercava di nascondersi nell’elenco delle applicazioni. Ora è stata rimossa, ma è imbarazzante che Google non abbia pensato a prevenire questo genere di facile omonimia apparente.

Chi riceve gli aggiornamenti di WhatsApp in modo automatico non ha corso alcun pericolo: la trappola scattava soltanto per chi era ingolosito dall’idea di avere una versione di WhatsApp più aggiornata rispetto agli amici (sì, questo genere di competizione esiste, soprattutto fra gli utenti più giovani) e quindi andava a cercare aggiornamenti come questo. Prudenza.


Fonte aggiuntiva: BBC.
3 commenti

Attenzione alle false promozioni di grandi marche su WhatsApp

Credit: BBC.
La BBC segnala un’ondata di messaggi truffaldini circolanti su WhatsApp: si tratta di inviti a cliccare su un link per ricevere quelli che dovrebbero essere buoni sconto di supermercati molto noti se si partecipa a un semplice sondaggio e si manda il messaggio a venti dei propri amici. Lo scopo di questa truffa è raccogliere dati personali, come nomi, indirizzi e coordinate di carte di credito.

Fra i nomi colpiti, secondo il sito ActionFraud della polizia britannica, ci sono Marks and Spencer, Tesco, Asda, Nike, Lidl, Aldi e anche Singapore Airlines. È probabile che la stessa truffa circoli anche in versioni nazionali in altri paesi europei.

I messaggi sono molto credibili perché i link che presentano sono quasi identici a quelli dei veri siti dei supermercati presi di mira: è facile non accorgersi che sotto o sopra una delle lettere che compongono il nome del sito c’è un puntino, o che la lettera è barrata in alto.

La tecnica è nota come internationalized domain name homograph attack: in sintesi, i truffatori creano un sito il cui nome usa lettere di alfabeti diversi da quello latino. Per esempio, al posto di Aldi.com (il sito autentico) creano il sito Alḍi.com oppure Alđi.com e vi mettono delle pagine che somigliano a quelle del vero supermercato. Le vittime immettono i propri dati personali in queste pagine, credendo di poter ricevere un premio, e invece vengono imbrogliate.

I servizi antifrode di Internet hanno già messo un blocco su molti di questi siti ingannevoli, ma è meglio restare vigili e guardare sempre con molta attenzione il nome del sito linkato in qualunque messaggio, diffidando come sempre delle offerte troppo belle per essere vere.

Soprattutto è importante non ubbidire mai agli inviti a inoltrare un messaggio pubblicitario ad altri utenti: se lo fate, rendete più credibile la truffa, perché i vostri amici la ricevono da una fonte di cui si fidano, cioè voi.
2 commenti

WhatsApp permette di cancellare i messaggi inviati, ma sono recuperabili

Credit: AndroidJefe.
WhatsApp ha introdotto di recente la possibilità di cancellare un messaggio, allegati compresi, anche dopo l’invio: basta toccare il messaggio e tenerlo premuto, e poi toccare Elimina (o l‘icona del cestino) e infine Elimina per tutti. WhatsApp consente questa cancellazione entro sette minuti dall’invio.

La funzione è utile in caso di errori o pentimenti rapidi, ma ha alcune limitazioni che è meglio conoscere per evitare di usarla come se fosse l‘equivalente delle foto temporanee di SnapChat. Il blog spagnolo Android Jefe ha scoperto che i messaggi inviati e poi eliminati in realtà restano in parte sul telefonino che li ha ricevuti, se è uno smartphone Android. Nel log delle notifiche (o storico delle notifiche) di Android, infatti, restano i primi 100 caratteri di ogni messaggio anche dopo l’ordine di eliminazione (le immagini non vengono conservate). Il log è esaminabile comodamente con apposite app.

Inoltre se usate un’app per archiviare i messaggi di WhatsApp, le copie archiviate rimangono intatte e i messaggi di cui è stata chiesta l’eliminazione non vengono eliminati.

Fra l’altro, Android Jefe ha anche trovato il modo di eliminare un messaggio WhatsApp fino a sette giorni dopo l’invio.

Vale insomma la pena di fermarsi un istante prima di inviare un messaggio, almeno per controllare di mandarlo alla persona giusta (al vostro partner e non al vostro datore di lavoro, per esempio), specialmente se ha degli allegati potenzialmente imbarazzanti.


Fonti aggiuntive: Naked Security, WeLiveSecurity.
Articoli precedenti