Alfonso Maruccia

Foto in piazza anche su Android

Dopo la recente scoperta della vulnerabilitÓ strutturale di iOS, ora anche Google finisce sul banco degli imputati. Un'autorizzazione da poco basta a scaricare l'archivio dell'utente da remoto

Roma - Si allarga lo "scandalo" della condivisione non autorizzata delle informazioni degli utenti di dispositivi mobile venuto alla luce grazie all'applicazione per iPhone Path, e questa volta coinvolge Android: anche il sistema operativo di Google è affetto da quella che è una vera e propria vulnerabilità strutturale, e cioè la facilità con cui le app possono bypassare il sistema di autorizzazioni previsto dall'OS per fare un po' quello che vogliono con i dati dell'utente presenti sul dispositivo.

A scoprire la falla in Android è stato uno sviluppatore di "app" assoldato dal New York Times per la creazione di un'applicazione di test: basta richiedere l'autorizzazione per accedere a Internet, sostiene il NYT, e l'app può tranquillamente rovistare tra le foto più recenti visionate dall'utente senza che questo sappia alcunché a riguardo.

Peggio ancora: le foto individuate possono essere caricate su un server remoto e l'utente sarà sempre all'oscuro dell'operazione di upload. Insomma pare proprio che la condivisione "involontaria" di informazioni e contenuti personali non sia un problema di una singola app per iPhone, ma una vera e propria piaga dell'intero mondo mobile.
Dal canto suo, Google ammette implicitamente l'esistenza del difetto strutturale ma prova a giustificarsi chiamando in causa scelte di design per il file system delle foto derivate dagli OS per computer tradizionali come Windows e Mac OS: prima c'era la necessità di facilitare l'accesso alle foto su schede SD esterne, sostiene Mountain View, ma ora che il trend va verso la disponibilità di un'ampia memoria interna stiamo valutando un cambio di prospettiva in tal senso.

Alfonso Maruccia
Notizie collegate
  • AttualitàiOS, foto in piazza controvogliaUn bug del sistema permette di duplicare in remoto le foto sul dispositivo. E non solo. Altro che la rubrica contatti. Da Cupertino filtra la notizia che una patch sarÓ presto disponibile
22 Commenti alla Notizia Foto in piazza anche su Android
Ordina
  • >Dal canto suo, Google ammette implicitamente l'esistenza del difetto >strutturale ma prova a giustificarsi chiamando in causa scelte di design >per il file system delle foto derivate dagli OS per computer tradizionali >come Windows e Mac OS: prima c'era la necessità di facilitare l'accesso >alle foto su schede SD esterne, sostiene Mountain View, ma ora che il >trend va verso la disponibilità di un'ampia memoria interna stiamo >valutando un cambio di prospettiva in tal senso.

    Della serie, vi abbiamo dato l'accesso alle schede SD, USB e via dicendo e ora ve lo togliamo perchè il trend dice che non le usa nessuno?

    Ehhhh?

    AHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAAH

    Android = accozzaglia di cialtronate a caso.

    Stay random, stay Android.
    maxsix
    9669
  • - Scritto da: maxsix
    > >Dal canto suo, Google ammette implicitamente
    > l'esistenza del difetto >strutturale ma prova
    > a giustificarsi chiamando in causa scelte di
    > design >per il file system delle foto derivate
    > dagli OS per computer tradizionali >come
    > Windows e Mac OS: prima c'era la necessità di
    > facilitare l'accesso >alle foto su schede SD
    > esterne, sostiene Mountain View, ma ora che il
    > >trend va verso la disponibilità di un'ampia
    > memoria interna stiamo >valutando un cambio di
    > prospettiva in tal
    > senso.
    >
    > Della serie, vi abbiamo dato l'accesso alle
    > schede SD, USB e via dicendo e ora ve lo togliamo
    > perchè il trend dice che non le usa
    > nessuno?
    >
    > Ehhhh?
    >
    > AHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAHAAH
    >
    > Android = accozzaglia di cialtronate a caso.

    Non proprio, ma ci sei quasi! Ritenta...


    > Stay random, stay Android.

    Carina questa!A bocca aperta
  • Punto informatico, va bene repubblica e giornaletti vari che di informatica non ne sanno nulla ma... a vostro parere, è paragonabile la cosa?

    iOS: arriva la app, bella bella fa quel che vuole
    Android: le app dichiarano quello che fanno. Si può acconsentire oppure no.

    Quindi?
    non+autenticato
  • - Scritto da: hermanhesse
    > Punto informatico, va bene repubblica e
    > giornaletti vari che di informatica non ne sanno
    > nulla ma... a vostro parere, è paragonabile la
    > cosa?
    >
    > iOS: arriva la app, bella bella fa quel che vuole
    > Android: le app dichiarano quello che fanno. Si
    > può acconsentire oppure
    > no.
    >
    > Quindi?

    Sempre a difendere l'indifendibile eh?
    maxsix
    9669
  • macchina fotografica digitale = foto
    telefono cellulare = telefonate

    Nessuno MAI mi ha sottratto foto da remoto, chissa perche'...
    non+autenticato
  • Questo ragionamento poteva andar bene nel 2000, oggi il termine "telefono cellulare" è un derivato del passato. In realtà oggi abbiamo dei computer tascabili con connessione wi-fi e cellulare, che possono effettuare telefonate e scattare fotografie, e grazie all'uso combinato di queste funzioni, si possono per esempio caricare le foto immediatamente sul Web. Adesso possiamo scegliere se risolvere i problemi di sicurezza che ciò comporta, oppure continuare a vivere nel passato.
  • - Scritto da: iome
    > macchina fotografica digitale = foto
    > telefono cellulare = telefonate
    >
    > Nessuno MAI mi ha sottratto foto da remoto,
    > chissa
    > perche'...

    Allora: cellulare + macchina fotografica digitale + pda + console portatile + lettore mp3 e video + quello-che-vuoi-tu = smartphone! Allora, sta convergenza la vogliamo attuare o vogliamo continuare a portarci appresso decine di dispositivi diversi?
  • - Scritto da: Mela avvelenata
    > - Scritto da: iome
    > > macchina fotografica digitale = foto
    > > telefono cellulare = telefonate
    > >
    > > Nessuno MAI mi ha sottratto foto da remoto,
    > > chissa
    > > perche'...
    >
    > Allora: cellulare + macchina fotografica digitale
    > + pda + console portatile + lettore mp3 e video +
    > quello-che-vuoi-tu = smartphone! Allora, sta
    > convergenza la vogliamo attuare o vogliamo
    > continuare a portarci appresso decine di
    > dispositivi diversi?

    attua pure la convergenza, ma sii disposto a pagarne il fio.
    essendo un computer portatile sempre connesso in rete, ha i suoi aspetti negativi, questo e' uno.
    io, troglodita, continuoero' ad avere dispositivi diversi senza lamentarmi del peso/ingombro, voi fate come vi pare ma poi non lementatevi se la moltinazionale/farabutto di turno (che poi sono la stessa cosa) si rivolta i fatti vostri come un calzino. la convergenza.... si, si, convergete pure.
    non+autenticato
  • - Scritto da: iome
    > - Scritto da: Mela avvelenata
    > > - Scritto da: iome
    > > > macchina fotografica digitale = foto
    > > > telefono cellulare = telefonate
    > > >
    > > > Nessuno MAI mi ha sottratto foto da remoto,
    > > > chissa
    > > > perche'...
    > >
    > > Allora: cellulare + macchina fotografica
    > digitale
    > > + pda + console portatile + lettore mp3 e video
    > +
    > > quello-che-vuoi-tu = smartphone! Allora, sta
    > > convergenza la vogliamo attuare o vogliamo
    > > continuare a portarci appresso decine di
    > > dispositivi diversi?
    >
    > attua pure la convergenza, ma sii disposto a
    > pagarne il
    > fio.
    > essendo un computer portatile sempre connesso in
    > rete, ha i suoi aspetti negativi, questo e'
    > uno.

    Io non ho mai avuto problemi in tal senso! E ci tengo alla mia privacy ed alla sicurezza dei miei dati!


    > io, troglodita, continuoero' ad avere dispositivi
    > diversi senza lamentarmi del peso/ingombro, voi
    > fate come vi pare ma poi non lementatevi se la
    > moltinazionale/farabutto di turno (che poi sono
    > la stessa cosa) si rivolta i fatti vostri come un
    > calzino. la convergenza.... si, si, convergete
    > pure.

    Ci vorrebbe il correttore ortografico...A bocca aperta
  • MODIFICA/ELIMINAZIONE DEI CONTENUTI DELL'ARCHIVIO USB
    MODIFICA/ELIMINAZIONE DEI CONTENUTI DELLA SCHEDA SD

    Secondo voi che ci stanno a fare?
    non+autenticato
  • - Scritto da: Bla bla bla bla
    > MODIFICA/ELIMINAZIONE DEI CONTENUTI DELL'ARCHIVIO
    > USB
    >
    > MODIFICA/ELIMINAZIONE DEI CONTENUTI DELLA SCHEDA
    > SD
    >
    > Secondo voi che ci stanno a fare?

    Ho idea che quei permessi valgano solo per la scrittura/modifica/eliminazione dei file! Ma potrei sempre sbagliarmi!
  • > Ho idea che quei permessi valgano solo per la
    > scrittura/modifica/eliminazione dei file! Ma
    > potrei sempre
    > sbagliarmi!

    Difficilomente fai il downstream via tcp-ip con certi permessi.
    non+autenticato
  • - Scritto da: Bla bla bla bla
    > > Ho idea che quei permessi valgano solo per la
    > > scrittura/modifica/eliminazione dei file! Ma
    > > potrei sempre
    > > sbagliarmi!
    >
    > Difficilomente fai il downstream via tcp-ip con
    > certi
    > permessi.

    resta da vedere appunto i permessi...al limite sarebbe saggio bloccare l'accesso alla rete da parte di alcune app tramite firewall (droidwall o altri). il problema è che si può fare così solo se si dispone dei permessi di root sul dispositivo...
  • Le foto, in Android, sono tenute sulla memory card, che è formattata in FAT32, filesystem notoriamente senza gestione dei permessi.

    Il permesso di accedere a Internet permette di fare qualsiasi tipo di connessione (e non saprei nemmeno come limitarlo, onestamente).

    2+2: Basta accedere alla memory card, cercare i file .jpg, e farne quello che si vuole.

    L'ho sempre detto che il FAT32 era uno schifo, ma per semplificare la vita agli utonti Windows era necessario usare quello. Ora che con ICS le memory card vengono viste come MTP (lasciandole dentro il telefono collegato in USB), potranno usare il filesystem che preferiscono. Ci sono già voci su ext4.

    Personalmente non gradisco molto MTP (è lento, macchinoso, non tanto stabile, non standard), ed è il classico esempio di "è di default su Windows, quindi usiamolo".
    Io mi sono attrezzato con SSHDroid e RSync per ARM, e uso SFTP e rsync+ssh via wifi. Per fortuna Android si può rootare e personalizzare.Sorride
    Shu
    1232
  • - Scritto da: Shu
    > Le foto, in Android, sono tenute sulla memory
    > card, che è formattata in FAT32, filesystem
    > notoriamente senza gestione dei
    > permessi.
    >
    > Il permesso di accedere a Internet permette di
    > fare qualsiasi tipo di connessione (e non saprei
    > nemmeno come limitarlo,
    > onestamente).
    >
    > 2+2: Basta accedere alla memory card, cercare i
    > file .jpg, e farne quello che si
    > vuole.

    Tuttavia esiste il seguente permesso che richiedono alcune applicazioni:
    "MODIFICA/ELIMINAZIONE DEI CONTENUTI DELL'ARCHIVIO USB MODIFICA/ELIMINAZIONE DEI CONTENUTI DELLA SCHEDA SD"
    che in pratica permette ad un'app di scrivere o cancellare file dalle memorie esterne a quella del telefono. Volendo non potevano anche inserire un permesso di "lettura" dei contenuti di quelle memorie, visto che di fatto le applicazioni faranno una chiamata di sistema (suppongo) per leggere i file?


    > L'ho sempre detto che il FAT32 era uno schifo, ma
    > per semplificare la vita agli utonti Windows era
    > necessario usare quello. Ora che con ICS le
    > memory card vengono viste come MTP (lasciandole
    > dentro il telefono collegato in USB), potranno
    > usare il filesystem che preferiscono. Ci sono già
    > voci su
    > ext4.

    Eh, la FAT32 la leggi praticamente dappertutto, l'ext4 invece no...


    > Personalmente non gradisco molto MTP (è lento,
    > macchinoso, non tanto stabile, non standard), ed
    > è il classico esempio di "è di default su
    > Windows, quindi
    > usiamolo".

    Nemmeno io apprezzo molto MTP, ma ha i suoi lati positivi (pochi), anche se ovviamente ha le sue rogne, come ho potuto verificare personalmente!


    > Io mi sono attrezzato con SSHDroid e RSync per
    > ARM, e uso SFTP e rsync+ssh via wifi. Per fortuna
    > Android si può rootare e personalizzare.
    >Sorride

    Sono d'accordo, infatti uso anch'io il wifi per trasferire file, ma ti giuro che a volte la lentezza è davvero esasperante (rispetto al cavo)!
  • - Scritto da: Mela avvelenata

    > Volendo non potevano anche inserire
    > un permesso di "lettura" dei contenuti di quelle
    > memorie, visto che di fatto le applicazioni
    > faranno una chiamata di sistema (suppongo) per
    > leggere i
    > file?

    Questo onestamente non so perché non l'abbiano fatto. Forse per compatibilità con la 1.5 (che non richiedeva nemmeno il permesso per scrivere)

    > > Ora che con ICS le
    > > memory card vengono viste come MTP (lasciandole
    > > dentro il telefono collegato in USB), potranno
    > > usare il filesystem che preferiscono. Ci sono
    > già
    > > voci su
    > > ext4.
    >
    > Eh, la FAT32 la leggi praticamente dappertutto,
    > l'ext4 invece
    > no...

    Sì, ma avendo l'MTP di mezzo il filesystem sotto diventa irrilevante. Ci sono problemi solo se stacchi la uSD dal telefono e la attacchi al PC con un adattatore. Penso che quelli che lo fanno abbiano anche la capacità di installarsi ext2ifs, o usano già Linux.Sorride

    > Sono d'accordo, infatti uso anch'io il wifi per
    > trasferire file, ma ti giuro che a volte la
    > lentezza è davvero esasperante (rispetto al
    > cavo)!

    Finora non mi è mai capitata una memory card più veloce del WiFi. Per completezza io collego il PC all'access point via ethernet, quindi in realtà ho 8-9 MB/sec sul wifi verso il telefono.

    Bye.
    Shu
    1232
  • - Scritto da: Shu
    > - Scritto da: Mela avvelenata
    > > > Ora che con ICS le
    > > > memory card vengono viste come MTP
    > (lasciandole
    > > > dentro il telefono collegato in USB), potranno
    > > > usare il filesystem che preferiscono. Ci sono
    > > già
    > > > voci su
    > > > ext4.
    > >
    > > Eh, la FAT32 la leggi praticamente dappertutto,
    > > l'ext4 invece
    > > no...
    >
    > Sì, ma avendo l'MTP di mezzo il filesystem sotto
    > diventa irrilevante. Ci sono problemi solo se
    > stacchi la uSD dal telefono e la attacchi al PC
    > con un adattatore. Penso che quelli che lo fanno
    > abbiano anche la capacità di installarsi ext2ifs,
    > o usano già Linux.
    >Sorride

    I problemi però ci sono anche se colleghi un telefono in modalità MTP ad un pc windows, e vuoi usare script batch per fare backup di un paio di cartelle...Con MTP non puoi, perchè ovviamente non è stato previsto!


    > > Sono d'accordo, infatti uso anch'io il wifi per
    > > trasferire file, ma ti giuro che a volte la
    > > lentezza è davvero esasperante (rispetto al
    > > cavo)!
    >
    > Finora non mi è mai capitata una memory card più
    > veloce del WiFi. Per completezza io collego il PC
    > all'access point via ethernet, quindi in realtà
    > ho 8-9 MB/sec sul wifi verso il
    > telefono.

    Umm, io non sono mai arrivato a più di 2-3 megabyte al secondo, più o meno lo stesso setup tuo...
  • > Umm, io non sono mai arrivato a più di 2-3
    > megabyte al secondo, più o meno lo stesso setup
    > tuo...

    Telefono / App usata? Airdroid con SGS va ba bomba. Meglio con ICS.
    non+autenticato
  • - Scritto da: Bla bla bla bla
    > > Umm, io non sono mai arrivato a più di 2-3
    > > megabyte al secondo, più o meno lo stesso
    > setup
    > > tuo...
    >
    > Telefono / App usata? Airdroid con SGS va ba
    > bomba. Meglio con
    > ICS.

    Tablet, Acer A500, con FtpCafe!
  • > Tablet, Acer A500, con FtpCafe!

    Prova AirDroid e/o WiFiExplorer, imho hanno un protocollo migliore. Se poi l'hai rootato, puoi usare anche semplicemente samba.
    non+autenticato
  • - Scritto da: Bla bla bla bla
    > > Tablet, Acer A500, con FtpCafe!
    >
    > Prova AirDroid e/o WiFiExplorer, imho hanno un
    > protocollo migliore. Se poi l'hai rootato, puoi
    > usare anche semplicemente
    > samba.

    Proverò...
  • >
    > L'ho sempre detto che il FAT32 era uno schifo, ma
    > per semplificare la vita agli utonti Windows era
    > necessario usare quello. Ora che con ICS le
    > memory card vengono viste come MTP (lasciandole
    > dentro il telefono collegato in USB), potranno
    > usare il filesystem che preferiscono. Ci sono già
    > voci su
    > ext4.
    >
    > Personalmente non gradisco molto MTP (è lento,
    > macchinoso, non tanto stabile, non standard), ed
    > è il classico esempio di "è di default su
    > Windows, quindi
    > usiamolo".
    uazz io non usando android (se non uno vecchissimo su x86) non sapevo che quella trappola del Picture Protocol (riverniciato) fosse ancora in giro! Maccheccacchio... ma invece di fare un ennesimo pseudo-fs-for-dummy (che, se ben capisco, ha come unico punto d'interesse applicare feature da transactional file system ) non potevano usare un fs VERO e GIA ESISTENTE, eventualmente potenziando le feature transactional, che gia' peraltro esistono?

    PS: non ho quotato il pezzo di fat32 ..ma avrei dovuto.. avere M$ come monopolista ha prodotto danni 30ennali...
    non+autenticato