Buongiorno, due parole in merito al Bluetooth e alla sicurezza dei nostri smartphone: lasciamo ogni speranza, noi che lo usiamo. Io non ho dubbio alcuno che chi sta sviluppando l'app (in particolare DP-3T) ha a cuore la protezione della privacy degli utenti, ma _nessuno_ deve far finta che quella app funzionerà in un ecosistema "lindo" Enrico Nardelli <nardelli@mat.uniroma2.it> writes:
Per quanto riguarda Bluetooth questa descritta qua https://insinuator.net/2020/02/critical-bluetooth-vulnerability-in-android-c... è una vulnerabilità che permette ad un attaccante di entrare, installare malware e rubare dati. Basta conoscere semplicemente il Bluetooth MAC address per ottenere l'accesso al dispositivo
Ho già citato in altro thread: Blueborne del 2017 [1] è un altro attacco che consente di acquisire controllo remoto del dispositivo. Ovviamente sia per Android che iOS (oltre al resto dei SO) sono disponibili da tempo le patch di quel baco
Certo, è stata sistemata con una release di Android di Febbraio 2020, ma vogliamo davvero poggiare la privacy dei cittadini sulla certezza che hanno tutti aggiornato il proprio smartphone???
E a volte (spesso?) i cittadini che vogliono aggiornare il sistema operativo del proprio smartphone semplicemente non possono per due ragioni: 1. i venditori del proprio smartphone (non Google che fa la patch di Android) a volte ci mettono troppo ad applicare l'aggiornamento 2. più frequente: lo smartphone semplicemente non è più supportato dal produttore, cioè _zero_ aggiornamenti per il SO In particolare il caso 2. rende l'intero ecosistema **un filino** fragile dal punto di vista della sicutezza da exploit dei bachi nel SO Nel mio caso **sui generis**, per esempio, ho installato da tempo LineageOS sul mio smartphone _ma_ il mio vecchio modello ormai non è più ufficialmente supportato (non distribuiscono più aggiornamenti binari) e io non ho tempo e voglia di ricompilarmi tutto da zero per avere gli ultimi aggiornamenti... almeno per ora; quindi, almeno per ora, per favore lasciamemi tenere spento il mio bluetooth e consogliare a tutti coloro ai quali voglio bene che è buona cosa tenerlo spento, OK? Ah: ça va sanse dire che io ho deciso di sbattermi a sostituire Android stock con LineageOS (e Google Play con FDroid) per il "banale" motivo che le backdoors piovono come polpette (anche) in Android... e manco LineageOS mi tiene lontano da quelle più serie per il semplice motivo che c'è sempre un SO proprietario che gira sul processore baseband [2] (sì, ci sono due processori); ma **in emergenza** facciamo finta che questo sia un dettaglio di poco conto, che tanto solo chi ha la chiave della backdoor può compromettere il mio smartphone. Tornando al **communi generis**, chiunque distribuirà una app di contact tracing digitale basata su bluetooth **non dovrà** lavarsene le mani e lasciare che sia l'utente finale a fare i conti con questi _serissimi_ problema di sicurezza con BT: come minimo dovranno anche incorporare nella app un sistema di verifica della presenza di bug noti nel sottosistema Bluetooth e se del caso far comparire una icona di pericolo grande come una casa, che l'utente non può non vedere, prima di procedere. ... **solo questa** questa sarebbe _vera_ libertà di scelta :-D (la libertà di scelta finta è quella dove ti dicono: puoi fidarti di Caio, Tizio o Sempronio ma devi fidarti ciecamente :-S ) Una volta risolto (risolto?!?) il problema di evitare che gli script kiddies si divertano un mondo prendendo possesso degli smartphones altrui per creare ogni sorta di botnet et similia, una volta risolta l'emergenza covid-19 con le sue esigenze di "digital contact tracing", io mi auguro di cuore che si possa finalmente seriamente discutere - possibilmente in modo inclusivo e a livello nazionale, non tra i soliti "quattro gatti" - di quanto il nostro ecosistema digitale faccia letteralmente acqua da tutte le parti, a partire **dall'hardware** (che poi è sempre software). Cordiali saluti, Giovanni [1] https://en.wikipedia.org/wiki/BlueBorne_(security_vulnerability) [2] https://www.fsf.org/blogs/community/replicant-developers-find-and-close-sams... articolo del 2014 ma nel frattempo non è che la situazione sia miglionata, neh! :-O
Buona Pasqua anche a te!
Ciao, Enrico
Il 10/04/2020 16:23, Stefano Quintarelli ha scritto:
Ciao Enrico,
tu scrivi:
"Pretendere però che tutti i cittadini vadano in giro con il Bluetooth (o altra tecnologia) costantemente disponibile per comunicare è secondo me equivalente a chiedere loro di non chiudere a chiave la porta di casa perchè deve passare il dottore per una visita medica. Nel mondo reale equivarrebbe ad esporre le case di tutti i cittadini ad un elevato rischio di intrusione. "
premesso che il garante dice che dovrebbe essere opt-in, la stessa "pretesa" nei confronti di quelle persone che decidono di installarsi un'app che usa il bluetooth la hanno anche, nei confronti di quelle persone che decidono di usare auricolari bluetooth, i produttori di tali auricolari... alla fine e' la persona che decide...
al link sulle /forti vulnerabilita'/ che inserisci nell'articolo si elencano tutte vulnerabilita' (tranne una) che generano DOS, non che consentono l'accesso. Quindi, la analogia piu' precisa, non sarebbe "esporre le case di tutti i cittadini ad un elevato rischio di intrusione." ma "esporre le case di tutti i cittadini [che decidono di farlo] al rischio di ricevere un carico di letame sul vialetto di accesso"... ;-)
per quell'uno ("tranne una") si dice anche che "Some of the affected products include the 2018 smartwatch lineup from FitBit, Eve Systems smart home products, the CubiTag Bluetooth tracker, and the eGee Touch smart luggage lock."
ciao, s.
p.s. l'articolo originale del ricercatore e' questo https://asset-group.github.io/disclosures/sweyntooth/
giustamente scrivi che "come da molto tempo è noto", questa famiglia di vulenrabilita', disclosed a settembre 2019, ha gia' avuto molte patch da parte dei produttori dei chip coinvolti.
in particolare, il bug che consente di intrudere, avviene durante una oeprazione di "secure pairing" (che tanto secure non è). Ovvero, se non fai pairing non sei esposto. Quindi, volendo rimanere all'analogia', sarebbe come chiedere di fare entrare in casa un infermiere salvo poi scoprire che era un malfattore e l'ambulanza davanti a casa era finta. Ma nessuna delle app in questione chiede di fare entrare alcunchi, nemmeno un dottore. Rectius, di fare qualsiasi pairing, nemmeno secure.
poi, che l'informatica produca uno sterminio di vulnerabilita', non credo sorprenda nessuno in questa lista. Io uso come client di email Thunderbird (che credo usi anche tu), che ha 980 vulnerabilita' segnalate... https://nvd.nist.gov/vuln/search/results?form_type=Basic&results_type=overvi...
Buona Pasqua!
On 10/04/2020 14:29, Enrico Nardelli wrote:
Alcune riflessioni sull'impatto delle soluzioni digitali di tracciamento dei contatti che secondo me vengono trascurate. https://link-and-think.blogspot.com/2020/04/problematiche-del-tracciamento-d...
Ogni commento è benvenuto.
-- EN
===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ =====================================================================
-- EN
===================================================================== Prof. Enrico Nardelli Dipartimento di Matematica - Universita' di Roma "Tor Vergata" Via della Ricerca Scientifica snc - 00133 Roma tel: +39 06 7259.4204 fax: +39 06 7259.4699 mobile: +39 335 590.2331 e-mail: nardelli@mat.uniroma2.it home page: http://www.mat.uniroma2.it/~nardelli blog: http://www.ilfattoquotidiano.it/blog/enardelli/ http://link-and-think.blogspot.it/ ===================================================================== -- _______________________________________________ nexa mailing list nexa@server-nexa.polito.it https://server-nexa.polito.it/cgi-bin/mailman/listinfo/nexa
-- Giovanni Biscuolo Xelera IT Infrastructures