Questa traduzione potrebbe non essere aggiornata con le modifiche effettuate dopo il 2018-01-12 alla versione originale inglese.
È disponibile un elenco delle modifiche. Per informazioni su come gestire e inviare traduzioni delle nostre pagine web consultate la Guida alle traduzioni.
Malware nei dispositivi mobili
Altri esempi di malware proprietario
Malware significa software progettato per funzionare in modi che maltrattano o danneggiano l'utente. (Questo non include errori accidentali.)
Malware e software non libero sono due problemi separati. La differenza tra software libero e software non libero sta nell'avere controllo del programma o viceversa. Non è una questione che riguarda direttamente ciò che il programma fa in esecuzione. Comunque, nella pratica, il software non libero è spesso malware, perché gli sviluppatori, consapevoli dell'impossibilità da parte degli utenti di riparare eventuali funzionalità malevole, sono tentati ad imporne.
Ecco degli esempi di malware nei dispositivi mobili. Si prega di fare riferimento anche alla pagina del malware di Apple per funzionalità malevole specifiche ai vari iGadget di Apple.
Tipo di malware
- Backdoor
- Scarsa sicurezza
- Sorveglianza
- Con Gestione digitale delle restrizioni o “DRM” indichiamo le funzioni che restringono quello che gli utenti possono fare con i dati sui loro computer.
- Prigioni—sistemi che impongono restrizioni alle applicazioni.
- Tiranni—sistemi che vietano l'installazione di sistemi operativi non “autorizzati” dal produttore.
Backdoor in dispositivi mobili
-
La backdoor universale nei telefoni cellulari è effettivamente usata per ascoltare attraverso i loro microfoni.
La maggior parte dei cellulari hanno questa backdoor universale, che è stata usata per renderli malevoli.
Altre informazioni sulla natura di questo problema.
Dispositivi Samsung Galaxy che eseguono versioni proprietarie di Android hanno annessa una backdoor che fornisce accesso remoto ai file contenuti nel dispositivo.
La backdoor di Samsung fornisce accesso a qualsiasi file sul sistema.
-
In Android, Google ha una backdoor per disinstallare applicazioni a distanza (si trova all'interno di un programma chiamato GTalkService).
Google può anche forzare l'installazione di programmi a distanza tramite GTalkService (che pare sia diventato parte di Google Play dopo la pubblicazione dell'articolo). Questo ammonta ad una backdoor universale.
Anche se l'esercizio di questo potere da parte di Google non è stato finora malevolo, il punto è che nessuno dovrebbe avere tale potere, che potrebbe anche essere usato in maniera malevola. Si potrebbe benissimo decidere di permettere ad un servizio di sicurezza di cui ci si fida di disattivare a distanza programmi da esso considerati malevoli. Ma non c'è nessuna scusa per permettergli di disinstallare i programmi, e si dovrebbe avere il diritto di decidere in chi (ammesso che ci sia qualcuno) riporre questa fiducia.
Scarsa sicurezza in dispositivi mobili
Questi non sono e non erano problemi inseriti intenzionalmente, quindi al contrario del resto di questo articolo non li consideriamo malware, ma troviamo comunque utile citarli perché dimostrano che non è vero che il software proprietario di prestigio è immune da difetti.
-
Siri, Alexa e tutti gli altri sistemi comandati a voce possono essere controllati tramite programmi che usano ultrasuoni che l'orecchio umano non percepisce.
-
Molti dispositivi Android possono essere controllati tramite i loro chip Wi-Fi a causa di una falla nel firmware non libero di Broadcom.
-
I telefoni Samsung hanno un problema di sicurezza che permette a un SMS di installare ransomware.
-
Molte applicazioni proprietarie per i pagamenti trasmettono dati personali in modo insicuro. Tuttavia, il peggior aspetto di queste applicazioni è che i pagamenti non sono anonimi.
La NSA può intercettare dati in vari smartphone, tra cui iPhone, Android e BlackBerry. Sebbene l'articolo non sia dettagliato a sufficienza, pare che questo non sia compiuto tramite la ben nota backdoor universale presente in tutti i telefoni cellulari. Potrebbe comportare lo sfruttamento di vari bug. Ci sono molti bug nei programmi di radiocomunicazione dei telefoni.
Sorveglianza in dispositivi mobili
L'applicazione Sarahah invia tutti i numeri di telefono e gli indirizzi e-mail della rubrica dell'utente al server dello sviluppatore. Notate che questo articolo fa confusione e usa “free software” nel senso, errato, di gratuito.
Alcuni telefoni cellulari sono venduti con spyware che invia dati in Cina.
-
L'applicazione di Facebook è sempre in ascolto, spia quello che gli utenti sentono o guardano. Inoltre potrebbe teoricamente analizzare le conversazioni a fini pubblicitari.
-
Un articolo sulla privacy e sicurezza di 283 applicazioni VPN per Android ha concluso che nonostante le promesse di privacy e sicurezza fatte da molte di loro, milioni di utenti potrebbero essere alla mercé di pratiche di sicurezza deboli usate da tali applicazioni.
Ecco una lista, non completa, di applicazioni VPN proprietarie che secondo l'articolo violano la privacy degli utenti:
- SurfEasy
- Include le librerie di tracciamento NativeX e Appflood, usate per personalizzare gli annunci pubblicitari.
- sFly Network Booster
- Richiede i due permessi
READ_SMS
eSEND_SMS
ed ha quindi pieno accesso ai messaggi testuali dell'utente. - DroidVPN e TigerVPN
- Richiede il permesso
READ_LOGS
per leggere i logo di altre applicazioni e del sistema, come confermato dagli sviluppatori di TigerVPN. - HideMyAss
- Invia traffico a LinkedIn. Inoltre conserva log dettagliati che possono essere forniti al governo britannico se richiesto.
- VPN Services HotspotShield
- Inserisce codice JavaScript nelle pagine HTML inviate agli utenti; lo scopo ufficiale è quello di usarlo per mostrare pubblicità. Usa circa 5 librerie di tracciamento. Instrada il traffico dell'utente su valueclick.com (sito pubblicitario).
- WiFi Protector VPN
- Inserisce codice JavaScript nelle pagine HTML inviate agli utenti; usa circa 5 librerie di tracciamento. Gli sviluppatori hanno confermato che la versione non-premium usa JavaScript a scopi pubblicitari.
-
Uno studio del 2015 ha trovato che il 90% delle più diffuse applicazioni Android proprietarie gratuite contenevano librerie per il tracciamento degli utenti, mentre nel caso delle applicazioni a pagamento la percentuale scendeva al 60%.
L'articolo fa confusione dato che usa “free” (NdT: libero, ma anche gratuito) per applicazioni che non sono in realtà software libero. Usa anche la brutta parola “monetizzare”. Meglio dire “sfruttare” in questo e altri contesti.
-
Uno studio ha trovato 234 applicazioni Android che tracciano gli utenti ascoltando ultrasuoni emessi da apparati installati nei negozi o da programmi televisivi.
-
Sembra che Faceapp faccia molta sorveglianza, a giudicare dalla frequenza con cui accede ai dati personali immagazzinati nel dispositivo.
-
Coppie di applicazioni Android possono associarsi per trasmettere i dati personali degli utenti a server esterni. Uno studio ha trovato decine di migliaia di casi.
-
Google Play intenzionalmente invia a chi sviluppa un'applicazione i dettagli personali degli utenti che la installano.
Chiedere una semplice "autorizzazione" all'utente non basta per rendere legittime azioni come questa: molti utenti ormai non leggono più i "Termini e condizioni" a cui "acconsentono". Google deve identificare chiaramente e onestamente le informazioni che raccoglie sugli utenti, invece di nasconderle in un'EULA difficile da leggere.
Tuttavia, per proteggere davvero la privacy degli utenti, dobbiamo evitare che Google e altre aziende ottengano i dati personali!
-
Google Play (parte di Android) tiene traccia degli spostamenti degli utenti senza il loro permesso.
Anche se si disattivano Google Maps e la cronologia delle posizioni, bisogna disattivare Google Play per fermare completamente il tracciamento. Questo è un altro esempio di software non libero che in apparenza ubbidisce all'utente quando in realtà sta facendo altro. Nel software libero quest'eventualità sarebbe molto remota.
-
Verizon ha annunciato un'applicazione proprietaria che preinstallerà sui propri telefoni. L'applicazione fornirà a Verizon le stesse informazioni sulle ricerche dell'utente che Google normalmente ottiene quando gli utenti lo usano.
Al momento l'applicazione è preinstallata su un solo modello e l'utente deve dare un consenso esplicito. Tuttavia, anche se opzionale, rimane uno "spyware".
L'applicazione di modifica foto di Meitu invia dati dell'utente a un'azienda cinese.
-
Una revisione di sicurezza di una applicazione usata per il tracciamento ha trovato che alcuni bug permettevano a tutti di spiare dati personali di un utente. Il revisore non si mostra preoccupato del fatto che l'applicazione invii dati personali a un server dove lo sviluppatore li vede comunque tutti. Questo “servizio” è per perdenti!
Il server sicuramente ha un "regolamento sulla privacy" che sicuramente non ha valore (come quasi tutti i regolamenti sulla privacy).
Le applicazioni che includono il sistema di sorveglianza Symphony spiano le trasmissioni TV e radio nell'ambiente circostante e spiano anche quello che gli utenti scrivono su siti come Facebook, Google+ e Twitter.
Oltre il 73% delle applicazioni Android e il 47% delle applicazioni iOS condividono con terze parti informazioni personali, di comportamento e di posizione riguardo i loro utenti.
Sono state trovate attività di “comunicazione non chiara”, non collegata all'attività dell'applicazione, nelle 500 applicazioni gratuite per Android più diffuse.
L'articolo è in inglese e usa “free” nel senso di “gratuito”; dato che “free” significa anche “libero”, in inglese preferiamo che si usi “gratis” in questi casi.
L'articolo dà per scontato che gli strumenti di analisi comuni siano legittimi, ma questo è vero? Gli sviluppatori di software non hanno il diritto di analizzare quello che gli utenti fanno o come lo fanno. Gli strumenti di "statistica" che spiano sono sbagliati come qualsiasi altro sistema di spionaggio.
Molte applicazioni proprietarie per dispositivi mobili comunicano agli autori la lista delle altre applicazioni installate dall'utente. Twitter lo sta facendo in maniera perlomeno visibile ed opzionale. Altri programmi fanno di peggio.
I cellulari con GPS invieranno la loro posizione geografica sotto comando remoto e gli utenti non possono fermarli: http://www.aclu.org/government-location-tracking-cell-phones-gps-devices-and-license-plate-readers. (Gli Stati Uniti affermano che in futuro tutti i cellulari dovranno essere muniti di GPS.)
Spyware nei telefoni VoIP di Cisco: http://boingboing.net/2012/12/29/your-cisco-phone-is-listening.html
Spyware nei telefoni Android (e computer portatili, forse Windows): il Wall Street Journal (in un articolo che può essere letto solo previo pagamento) afferma che l'FBI può attivare remotamente il GPS ed il microfono di telefoni Android e computer portatili. (Sospettiamo si tratti di computer portatili Windows.) Ulteriori informazioni.
Alcuni telefoni di Motorola modificano Android per inviare dati personali a Motorola.
Alcuni produttori aggiungono un pacchetto di sorveglianza generale nascosto come Carrier IQ.
Alcune diffuse applicazioni proprietarie per leggere codici QR spiano l'utente. Questo si aggiunge alle attività di possibile spionaggio da parte della compagnia telefonica e del sistema operativo.
Non ci sono scuse per il malware, non importa se gli sviluppatori di una applicazione riescono a ottenere un “Sì, acconsento” da parte degli utenti.
DRM in dispositivi mobili
-
Google ora permette alle applicazioni Android di sapere se un dispositivo è controllato dall'utente come root, e di rifiutare di installarsi in tal caso.
Aggiornamento: Google ha intenzionalmente modificato Android in modo che le applicazioni possano capire se l'utente ha ottenuto privilegi di root e in quel caso rifiutarsi di essere eseguite.
-
L'iPhone 7 contiene DRM progettati per renderlo inutilizzabile se riparato da un negozio "non autorizzato", dove "non autorizzato" significa in pratica chiunque al di fuori di Apple.
L'articolo usa la parola "lucchetto" come descrizione di DRM, ma noi preferiamo manette digitali.
Prigioni in dispositivi mobili
I dispositivi mobili che hanno Windows 8 preinstallato sono tiranni. Windows 8 sui “dispositivi mobili” è una prigione.
Tiranni in dispositivi mobili
Alcuni telefoni Android sono tiranni (anche se qualcuno ha trovato un modo per aggirare la limitazione). Fortunatamente, la maggior parte dei dispositivi Android non sono tiranni.