Tali dati vengono infatti memorizzati all’interno della stringa codificata SHA256, la quale può essere facilmente violata tramite un attacco cosiddetto “brute force“, cioè un tipo di attacco che provvede a simulare tutte le combinazioni numeriche possibili senza soluzione di continuità fino ad individuare il PIN di accesso corretto e avere via libera per mettere le mani sulle informazioni.

I ricercatori di Zvelo hanno precisato di aver impiegato per lo scopo uno strumento chiamato Google Wallet Cracker app, il quale sfrutta appieno la vulnerabilità anche in ragione del fatto che il PIN di Google Wallet è composto da sole quattro cifre, cosa che diminuisce in maniera sensibile il numero di combinazioni possibili rendendo la vita relativamente facile a chi utilizza un attacco a forza bruta.

Google, che è stata immediatamente informata della vulnerabilità, ha diramato un comunicato che tenta di evitare allarmismi nel quale si afferma che:

Lo studio di Zvelo è stato condotto su uno smartphone sul quale sono stati disattivati i meccanismi di sicurezza che proteggono Google Wallet dal rooting del device. Ad oggi, non vi è alcuna vulnerabilità che permette a qualcuno di prendere un telefono di un utente e ottenere un accesso root, conservando al contempo ogni informazioni di Wallet, come il PIN. Siete fortemente invitati a non installare Google Wallet su dispositivi rootati e di installare un blocco a schermo come ulteriore livello di sicurezza.

Allo stesso tempo, nell’attesa che da Mountain View pongano rimedio alla falla, Zvelo consiglia agli utenti di non eseguire il root sul proprio smartphone, di abilitare un sistema di blocco a schermo, di disattivare il debug USB, di aggiornare il sistema operativo e di attivare la crittografia completa del disco.

mentre il mercato delle applicazioni continua a crescere rapidamente, gli utenti dovrebbero essere più attenti a quello che installano. Per esempio, dovrebbero installare applicazioni solo da fonti attendibili e verificare che le autorizzazioni coincidano con le funzioni principali delle stesse applicazioni. Parallelamente, anche una protezione anti-virus può aiutare a garantire che il dispositivo mobile dell’utente abbia la protezione più aggiornata.

Per aiutare gli utenti a proteggersi da queste minacce, il produttore di software per la sicurezza McAfee ha diffuso una serie di consigli utili, semplici accorgimenti che possono essere d’aiuto per evitare che i dispositivi mobili diventino strumento per la diffusione di virus e altro software pericoloso.

Al momento, nonostante i virus per tablet e smartphone siano in crescita, il loro numero è comunque limitato. Questo non vuol dire abbassare la guardia; così gli esperti di McAfee consigliano innanzitutto di verificare con attenzione ogni app proposta, controllandone la classificazione e accertandosi della sua provenienza prima di installarla, anche chiedendo ad amici e conoscenti se per caso hanno provato quella determinata applicazione, in modo da andare a “colpo sicuro”.

Le app devono inoltre essere acquistate o scaricate da negozi sicuri, affidabile e conosciuto. McAfee fa l’esempio degli utenti Android, che possono evitare l’installazione di applicazioni al di fuori del mercato ufficiale di Android Market semplicemente de-selezionando l’opzione “Fonti sconosciute” dal menu Impostazione Applicazioni del proprio dispositivo.

Quando si installa un’applicazione, poi, è bene guardare con attenzione l’elenco di autorizzazioni per i servizi ad essa connessi che devono avere accesso alle componenti hardware e software dell’apparecchio per poter funzionare. In base a tale elenco, se una o più servizi non sono chiari, è bene evitare di installare del tutto l’applicazione, rinviando l’azione in un secondo momento magari dopo aver chiesto dettagli ad utenti più esperti. Infine, da non dimenticare l’installazione di appositi programmi come ad esempio McAfee App Alert, attualmente disponibile in versione beta e gratuitamente su Android Market.

Chi scrive ha già potuto constatare una presenza media di spam superiore alla media nella propria posta personale, in parte anche oltre le barriere ed i filtri solitamente efficaci. L’accortezza è un obbligo, in questi casi, dato che come sapete i rischi sono tutt’altro che piacevoli. Ritrovarsi a comprare con la propria carta di credito un qualsiasi regalo in un sito non meritorio di fiducia è un evento da non consigliare neanche al nostro peggior nemico.

L’azienda tedesca G Data Software AG ha diffuso un comunicato in cui oltre a lanciare un allarme simile al nostro, presenta una semplice guida per sfuggire almeno al grosso dei trabocchetti. Inizia con la presentazione dei 5 più grandi pericoli che si corrono durante lo shopping natalizio online:

• Email con esca pubblicitaria. In questo tipo di email i criminali online promettono prodotti come orologi di lusso e scarpe di marca a un prezzo estremamente basso. I link integrati nelle email traggono in inganno l’utente indirizzandolo su falsi siti web infettati da malware o falsi negozi online dove i dati personali e/o bancari vengono rubati durante il processo di compilazione dell’ordine.
• Frode relativa all’internet banking. L’internet banking è molto popolare tra la gente che acquista online i regali di Natale. Le transazioni bancarie elettroniche rendono più veloce e facile il pagamento dei regali ordinati online. I Trojan bancari stanno perciò diventando sempre più utilizzati dai criminali online che se ne servono per inserirsi nei processi di pagamento e dirottare denaro sui propri account. Gli utenti Pc possono essere infettati da questi malware in diversi modi: per esempio, un utente può ricevere un falso avviso da una banca comunicante che la transazione non è andata a buon fine. Per ripetere la transazione, l’utente viene invitato a cliccare su un link che rimanda a un sito Internet infettato con un Trojan bancario.
• Email da falsi servizi di spedizione. I regali di Natale che sono stati ordinati online arrivano di norma attraverso i corrieri. I criminali online sono a conoscenza di ciò e ne approfittano inviando false email con conferme di spedizione e fatture. Questi messaggi potrebbero suggerire che un pacco non può essere consegnato o, come nel caso di una falsa email di UPS, che la fattura per la spedizione è disponibile nel centro fatturazione. Quest’ultimo tipo di email contiene un allegato che nasconde un key logger. Se l’utente clicca sull’allegato il malware entra in esecuzione ed è in grado di spiare tutti gli input dati dalla tastiera, come per esempio i dati di login per i servizi di pagamento o l’online banking.
• Email da servizi di pagamento. I criminali mandano anche email che parrebbero provenire da servizi di pagamento i quali avvisano che l’account dell’utente è stato bloccato per alcune irregolarità o che una transazione non è andata a buon fine. Il destinatario viene invitato a cliccare su un link per ripetere la procedura di pagamento o sbloccare l’account. Come già visto anche in questo caso il link rimanda a un falso sito Internet pensato appositamente per rubare i dati dell’utente o infettato con del malware.
• False cartoline di auguri. Un’ altra strategia molto popolare nel periodo natalizio è quella di mandare via email false cartoline di auguri. Queste possono contenere allegati con diverse tipologie di malware o link che rimandano a siti web infetti.

Come possiamo notare, i metodi indicati dall’azienda tedesca sono tanti e molti dei quali piuttosto insidiosi. Cosa possiamo fare, allora, per difenderci? Sempre il comunicato della G Data Software AG spiega quelle che sono le norme basilari. Si comincia dicendo che servirebbe avere un PC completo di antivirus, firewall, servizi anti-spam ed anti spy; aggiungiamo noi, che una buona release GNU/Linux, invece di altri sistemi operativi più diffusi, ottiene lo stesso effetto di sicurezza, se non maggiore. Inoltre, i tecnici tedeschi raccomandano di non usare connessioni internet pubbliche per i propri acquisti, tenere aggiornato il proprio sistema (compreso browser ed antivirus). Infine, usate sempre pagamenti bancari sicuri su siti che ritenete assolutamente affidabili e non affidatevi a password troppo semplici.

Certamente, nello stilare questa guida quelli di G Data Software si sono preoccupati di elencare servizi propri per sistemi Windows, che come detto sono più vulnerabili a questo tipo di attacco. La controguida di chi scrive è molto più semplice, ed è stata in parte già anticipata:

• Usate internet per acquistare solo cose che effettivamente non potete trovare sotto casa ad un prezzo simile.
• Molti servizi bancari permettono la creazione di carte di credito temporanee monouso. Laddove possibile, usate solo questo tipo di carta.
• Navigate su Internet su una macchina con sistema operativo GNU/Linux. E non solo per gli acquisti, ma soprattutto nella gestione della posta.
• Non considerate “affidabili” i siti con i grandi nomi. Tenete aperti gli occhi… se uno vuole fregarvi, probabilmente creerà una pagina riproducente le forme di qualche famoso sito di shopping. Leggete sempre nella barra di navigazione l’indirizzo preciso a cui siete connessi.
• Se avete vinto qualcosa di incredibile e ve lo comunicano via posta, mettetevi l’animo in pace: quella mail è una truffa.

Infine, ricordate che non esistono guide esaustive sull’argomento. La cosa più importante resta il buonsenso, su internet come nella vita in genere. Buoni acquisti di Natale a tutti.

Per dimostrare le sue scoperte Trevor Eckhart posta un video su YouTube che dà conferma del comportamento sospetto (e scorretto) di Carrier IQ.

La società produttrice del software spia non manda giù le accuse di Eckhart e risponde dicendo che il suo non è un rootkit e che si tratta di un software lecito usato da molte compagnie per diagnosticare problemi sugli smartphone e individuare problemi di performance.

Eckhart non è d’accordo e dimostra come il software si nasconda volutamente agli occhi dell’utente con modalità davvero troppo simili a un rootkit. Inoltre lo sviluppatore svela come Carrier IQ sia presente non solo su terminali con sistema Android ma anche su BlackBerry e molti smartphone Nokia.

La notizia di oggi è che anche Apple su iOS, il sistema operativo di iPhone e iPad, utilizza Carrier IQ. Uno tra gli sviluppatori dietro il jailbreak dei dispositivi con la Mela, Grant Paul (chpwn su Twitter), ha dimostrato sul suo blog come Carrier IQ sia presente e intercetti i dati degli utenti che usano iOS 3, 4 e 5. Rispetto alla versione per Android, Carrier IQ per iOS sembrerebbe meno aggressivo nella raccolta di dati dell’utente ma rimane comunque un software pericoloso per la privacy e certamente non adeguatamente “pubblicizzato” nel suo funzionamento.

Stando alle analisi di Grant Paul, al momento l’unico sistema per smartphone che non include il software di Carrier IQ è Windows Phone 7.

E le categorie di questi variano dagli scrocconi di linea ai malfattori della peggior specie – spesso l’utente medio non si accorge neanche dei rischi che corre lasciando la propria rete wi-fi non protetta. Infatti, collegarsi al router di un’altra persona permette di compiere tranquillamente crimini informatici nel più completo anonimato (o, se preferite, a nome vostro), senza contare la possibilità di rubare le password di accesso ai vari portali come i siti bancari e comunque dati sensibili.

In parole povere un router non protetto è un invito a spiarci ed ad assumere la nostra identità telematica. Si tratta di temi piuttosto noti a cui si è aggiunto un nuovo allarme: si era sempre detto che per raggiungere un livello di sicurezza abbastanza soddisfacente fosse sufficiente settare una password di accesso abbastanza complessa – e preferibilmente wpa2 -, in modo da costringere l’eventuale cracker a giorni di tentativi prima di riuscire a forzare le nostre difese. Da oggi potrebbe non essere più così.

Come ha, infatti spiegato l’esperto di sicurezza informatica (ed hacker) Raoul Chiesa ci si è presto accorti che l’Italia è un paese molto particolare per quanto riguarda le connessioni ADSl. Un percentuale assolutamente rilevante delle utenze infatti usa sempre gli stessi modelli, che sono poi quelli (a volte terribili) che ci vengono affittati dagli Internet Provider – e che spesso sono obbligatori per accedere a certe offerte.

Ciò ha permesso, tramite tecniche di reverse engineering, di studiare metodi per forzare in poco tempo tutte le difese di questi router, aprendo le “porte di casa” delle reti di milioni di italiani. Lo stesso Chiesa non ha nascosto il giusto grado di allarmismo:

I pirati hanno capito che il mercato italiano è un po’ strano. E’ il solo al mondo dove c’è una così grande quota di utenti adsl dotati degli stessi router, perché sono quelli obbligatori con alcune offerte dei principali operatori.

Si stanno diffondendo strumenti online che permettono a chiunque di vestire i panni di un pirata informatico e di intrufolarsi nelle reti wi-fi di provider come Alice e Fastweb

Il consiglio che possiamo darvi in questa sede, oltre che ribadire l’importanza di inserire una password complessa, è quello di non usare il PC in transazioni economiche – o immettendo dati sensibili importanti – se si sospetta che qualcuno stia rubando la banda; ed, ovviamente, avvertire sempre in questi casi il vostro provider di questi sospetti.

Secondo gli esperti per la sicurezza, i criminali informatici nei prossimi mesi saranno sempre più interessati al furto di identità, anche attraverso falle nei più popolari social network. Quanto sottratto illegalmente (credenziali, ecc) potrebbe poi essere venduto sul mercato ad aziende senza scrupoli, che le userebbero per inviare pubblicità e altri contenuti a carattere commerciale.

I maggiori attacchi saranno portati avanti tramite social media e smartphone, probabilmente sfruttando sempre i sistemi di cloud computing su cui vengono memorizzati numerosissimi dati sensibili degli utenti.

E proprio l’aumento del numero di persone connesse in mobilità comporterà la crescita di minacce che sfrutteranno tecniche di social engineering con l’obiettivo di sfruttare i servizi mobili basati sulla localizzazione, in modo da portare attacchi sempre più precisi.

L’aumento del traffico attraverso i tunnel SSL/TLS, dato dalla diffusione dei cellulari e dei tablet, oltre che dalla implementazione di sessioni tramite protocollo HTTPS di servizi come Google, Facebook e Twitter, potrebbe mettere in difficoltà le soluzioni per la sicurezza adottate dalle aziende, in quanto questi software, non avendo la possibilità di ispezionare il traffico codificato, potrebbero risultare inutilizzabili.

Alcuni dei principali eventi che si terranno nel 2012 potrebbero essere usati dai criminali per scopi illegali. Tra questi ci sarebbero eventi di grande richiamo mediatico come le Olimpiadi di Londra, le elezioni presidenziali americane, nonché la fine del mondo prevista dal calendario Maya che tanto ha fatto discutere la gente finora.

Infine, non va dimenticato il richiamo al possibile ritorno in auge di tecniche famose ma che nel 2011 sono state messe un po’ in disparte, facendo segnare un leggero calo del loro utilizzo. Sono tecniche come lo scareware o l’uso dei falsi anti-virus, che nel 2012 potrebbero mettere l’accento su false pagine di registrazione, falsi update software e falsi programmi di backup creati ad imitazione di prodotti sicuri e dai nomi ben noti allo scopo di trarre in inganno il pubblico.

Facebook ha organizzato dei punti informativi per aiutare gli iscritti a difendersi da questo tipo di minacce e ha annunciato di stare valutando l’opzione di avviare un’azione legale contro gli autori dell’attacco, i quali, pur essendo ancora sconosciuti al pubblico, pare siano stati identificati dagli esperti di sicurezza ingaggiati dal social network.

Quel che appare certo è l’estraneità dei membri degli Anonymous, il gruppo di cracker che in un primo momento era stato indicato da alcuni osservatori come possibile protagonista della vicenda.

Al momento rimangono sconosciuti metodi e obiettivi di tale invasione di “spazzatura” su Facebook, anche se qualcuno, non si sa bene su quali basi, fa il nome dei cracker di Anonymous nell’indicare i possibili autori.

Rimangono comunque dei dubbi sull’effettiva circolazione di queste immagini, dato che non è la prima volta che sul Web si susseguono annunci, poi dimostratisi falsi, che foto e contenuti di dubbio gusto vengono diffusi per mezzo del celebre social network. L’attenzione rimane quindi alta e l’invito al pubblico è quello di segnalare al team di Facebook l’eventuale diffusione di questo genere di contenuti.

La funzionalità sfrutta ovviamente gli apparecchi basati su Android predisposti per questa tecnologia, apparecchi che, al momento, non sono ancora moltissimi, sebbene il loro numero sul mercato andrà a rinfoltirsi prossimamente.

Il supporto all’NFC per PayPal consente agli utenti connessi di effettuare una transazione con estrema semplicità, con particolare interesse per quanto riguarda, ad esempio, la possibilità di effettuare acquisti dall’Android Market o di inviare piccole somme da uno smartphone all’altro tramite P2P.

Per farlo è necessario che entrambi gli utenti siano connessi contemporaneamente, in modo che uno di loro effettui la richiesta di denaro e l’altro, di conseguenza, accetti: a quel punto la transazione può avere inizio e il denaro verrà trasferito senza problemi.

Infine va ricordato come, secondo alcuni, per quanto riguarda PayPal questo sistema sembra essere limitato più che altro ad alcuni scambi di denaro tra apparecchi, senza arrivare ai livelli di sicurezza che sarebbero consentiti da altri circuiti come Mastercard, Visa e simili con le più tradizionali transazioni offline.

Di queste applicazioni, che colpiscono Android Market, un buon numero prende di mira i dati personali degli utenti, trafugati spesso mediante tecniche illegali e comunque ingannevoli, nonostante la loro apparenza sia del tutto legittima e, per questo, risulti fuorviante per la gran parte del pubblico presa di mira.

Secondo quanto affermato dagli osservatori, la tendenza a diffondere malware su Android è destinata a salire ulteriormente, con conseguente aumento dei rischi non solo per la privacy ma anche per la sicurezza dei dati bancari o dell’accesso ad alcuni siti a causa dei numerosi tentativi di furto delle credenziali personali che diversi malware tentano di effettuare.