Ciao Raffaele On Fri, 17 Dec 2021 17:48:06 +0100 Angelo Raffaele Meo wrote:
Il 17/12/21 15:42, J.C. DE MARTIN ha scritto:
Data Interception Environment
The Data Interception Environment (DIE) is a tool that you can use to analyse how your data is being used by app developers and third parties. It allows you to see how apps are sending your data from your device back to the company or to third parties.
Non riesco a immaginare come faccia DIE a funzionare, per cui sospetto sia una bufala. Mi domando, ad esempio, come faccia a verificare che i miei dati personali, ora che la mia posta è stata affidata a Microsoft, non finiscano nel mercato americano dei dati personali.
In effetti, le parole del sito si prestano a questa interpretazione eccessivamente vasta dello scopo del software, ma il video è abbastanza chiaro: in sostanza si installa consapevolmente un Man in the Middle che permette di intercettare tutto il traffico TLS in entrata ed uscita dal device (possibilmente emulato). In questo modo, installando ed avviando una qualsiasi applicazione che si affidi alle Certification Authority del sistema, è possibile decifrarne le comunicazioni, e registrare cosa viene invato a chi. Ovviamente è possibile per una applicazione progettata all'uopo, aggirare questo tipo di intercettazione in vari modi, ad esempio cablando ip e certificati o usando protocolli di comunicazione cifrata diversi. Non mi stupirei, ad esempio, se i servizi di sistema android imposti da Google fossero già stati "fixati" in modo di evitare questo tipo di trasparenza almeno dalla pubblicazione dello studio di Liu et all [1] "Android Mobile OS Snooping By Samsung, Xiaomi, Huawei and Realme Handsets". Tuttavia, la stragrande maggioranza delle applicazioni commerciali sono ancora intercettabili con questo tipo di strumenti. E questo per una ragione di costi di sviluppo. Hai però colto correttamente i limiti di questi strumenti. Seppure utile per sottolineare l'abuso della fiducia degli utenti da parte delle aziende software che sviluppano per i marketplace mainstream, si tratta di una analisi molto limitata: una volta raggiunti i server di terze parti, poiché la copia dei dati non lascia tracce, ne perdiamo completamente il controllo. Questa tuttavia costituisce una ragione aggiuntiva per NON inviare tali dati, ovvero NON installare applicazioni ostili o (quando impossibile evitarlo) usarle con competenza informatica avanzata, anche adottando strumenti di contenimento efficaci. [2] Non è dunque una bufala, ma nemmeno una soluzione affidabile. Quanto alla tua mail su server Microsoft, considerala compromessa. Puoi usarla per mailing list pubbliche [3], ma ti sconsiglio di usarla per conversazioni che non faresti passeggiando in una pubblica piazza incurante di estranei che ti stanno seguendo ed ascoltando. Giacomo [1] https://www.scss.tcd.ie/doug.leith/Android_privacy_report.pdf [2] Naturalmente bisogna anche ricordare che tali strumenti di contenimento, pur riducendo la diffusione dei dati, non possono garantire completamente la privacy di utenti privi di adeguate competenze informatiche nonché capaci di una continua consapevole attenzione durante l'utilizzo di queste applicazioni (e sistemi) ostili. [3] SE la leggi attraverso mail user agent non compromessi e propriamente configurati. SE la leggi attraverso un browser, ricorda che le tue scelte di lettura, i tempi che dedicherai ad ogni mail e la loro sequenza verrà tracciata dai log. Log dai quali sarà sempre possibile dedurre una quantità notevole di informazioni su cosa pensi e su COME pensi.