spyware IOS

[pierospanu]

Ho appena finito di leggere un articolo riguardante la presenza di spyware e trakers in app Android usate in un ambito in cui la tutela dei dati degli utenti dovrebbe essere il primo requisito, in particolare trattasi delle app usate per generare il codice di conferma delle operazioni bancarie.
Questo è il link all'articolo: https://www.zeusnews.it/n.php?c=28677
A parte le ovvie considerazioni generali sulla sicurezza di un s.o. come Android, creato e gestito da una organizzazione notoriamente dedita alla raccolta compulsiva dei dati dei suoi utenti (ed anche quelle, meno ovvie, sulla diciamo "disattenzione" della Banca citata nell'articolo nel confezionamento dell'app), esiste un identico rischio per quanto riguarda le app per IOS?
Ed esistono strumenti per "stanare" questo tipo di minacce nelle app IOS, come fa ad esempio εxodus, citato sempre nello stesso articolo, per i sistemi Android?

Saluti.

Piero

[mattleega]

Interessante, solo che chi predica bene...





Come la mettiamo?

[Paolofast]

Ed esistono strumenti per "stanare" questo tipo di minacce nelle app IOS…?

Sì, si chiama AppleStore.
Lo gestisce una ditta che non vende dati a terzi ma vende (e ci guadagna molto) sicurezza.
Ovviamente per guadagnare molto vendendo sicurezza non deve fare scemenze tipo vendere (o permettere di vendere a nostra insaputa) dati a terzi, altrimenti addio grossi guadagni.

Se poi per guadagnare molto si propone come i "buoni" contro i "cattivi" che violano la privacy, tutto di guadagnato (letteralmente).

Tutto di guadagnato anche per noi: per capirci, immaginate una fabbrica di cinture di sicurezza.
Le fabbricano per guadagnarci e se le facessero difettose non ci guadagnerebbero più.
Ma per noi sono dei benefattori (più o meno volontari ) che ci salvano la pelle.
Facendoci pagare le cinture di sicurezza e guadagnandoci.
Ma noi siamo contenti di pagare proprio perché ci salvano la pelle.

[Paolofast]

Risposta preventiva alle obiezioni al mio post:

Quale parte della frase "Ovviamente per guadagnare molto vendendo sicurezza non deve fare scemenze tipo vendere (o permettere di vendere a nostra insaputa) dati a terzi, altrimenti addio grossi guadagni." non hai capito?

[pierospanu]

Interessante, solo che chi predica bene...

E chi ha detto che il sito è immune da rischi?
Ma vedi caso, caro il mio "pestifero", il suo contenuto ha sollevato dubbi generali e sostanziali, per cui non è stato inutile o dannoso.

Ciao.

Piero

[RickS]

Interessante, solo che chi predica bene...

E chi ha detto che il sito è immune da rischi?
Ma vedi caso, caro il mio "pestifero", il suo contenuto ha sollevato dubbi generali e sostanziali, per cui non è stato inutile o dannoso.

Ciao.

Piero

Quel pezzo è pubblicato su un sito con che il "Privacy record" di safari mi dice usi 174 tracker di profilazione, in pratica è un sito acchiappaclick, basta vedere la montagna di pubblicità Google della peggiore specie, e il fatto che sia pieno dei tracker di Google analytic.
In pratica un sito fatto per guadagnare rubando la tua privacy, e prende articoli di altri siti, o almeno l'ha fatto in questo caso visto che l'articolo è del sito Exit, sarebbe interessante sapere come mai un articolo proveniente da un sito di puri e duri è finito li, fors quelli di Exit non lo sanno neanche.

Per quanto riguarda l'articolo in questione andando a vedere sul sito di pubblicazione originale https://www.3x1t.org/tracker-nelle-app- ... o-in-rete/, fa un bel cocktail mischiando FUD, retrocultura, pseudohacker, ed un po' di verità, come un po' tutto il sito.
Occhio non sto dicendo che da informazioni sbagliate, almeno per quel poco che ho letto, è solo il modo in quei le espone, un po' troppo da vi stiamo svelando un complotto segretissimo ecc. ecc., quando purtroppo non c'è nessun complotto perché viene tuto fatto alla luce del sole e con il nostro consenso, più o meno informato, ma cui il discorso si farebbe lungo.

Allora quello che dice l'articolo su tracker presenti nelle App. è vero, il problema è uscito fuori qualche anno fa, ed come in alti casi simili affiggeva migliaia o decine di migliaia di App Android, ed qualche decina probabilmente siamo sul centinaio, di App dell'Apple store, e si basava su librerie usate dagli sviluppatori, che permettevano di profilare gli utenti e visualizzare pubblicità o rimandi a siti vari, almeno nella gran parte dei casi, in pochissimi casi permettevano su Android di scoprire tutto quello che avevi sul tuo terminale, su iOS di vedere tutto quello che facevi con quell'app.
Apple e corsa ai ripari riscansionando tutti l'apple store alla ricerca di app con questi tracker e dando il solito consiglio da mamma a gli sviluppatori, o eliminate i tracker dalle vostre app in pochi giorni o vi butto fuori vuoi e le vostre app, ha poi modificato alcune regole dell'apple store per rendere chiaro che quei tracker o tracker simili non erano ammessi, ed non era ammesso in generale fare quello che facevano quei tracker.
Google si è comportato come fa sempre in questi casi, dicendo a gli sviluppatori di fare i buoni, cancellando un po' di app, qualche migliaio in effetti, ma il problema rimane, hanno solo cambiato tracker.

Ora il caso preso in esame se andiamo a seguire il link della scansione dell'app che c'è nell'articolo troviamo che ..... sono presenti solo tre tracker Demdex (Adobe), Dynatrace, ed il praticamente sempre presente Google Firebase Analytics, francamente da quello che ne so io, nessuno dei tre è un vero pericolo nel senso che non sono pericolosi per la sicurezza, ma sono ovviamente tracker di profilazione, che servono per la pubblicità integrata nell'app e di pubblicità nell'app di Unicredit ce n'è tanta per la maggior parte relativa ad altri loro prodotti sopratutto finanziari.

Ad esempio l'articolo dice

la banca di Michele non è nemmeno al corrente che sta regalando a terzi i dati dei suoi clienti. Dati peraltro relativi alle transazioni finanziarie, e quindi sensibilissimi.

Però non da nessuna prova di questo, è per questo che definisco quel sito un cocktail di "FUD, retrocultura, pseudohacker ed un po' di verità" perchè lancia un sacco di accusa ma poi non da vere prove.

[maddoc]

ragazzi, vi sfido...

[pierospanu]

Per Paolofast: nessuna obiezione al tuo post, anzi grazie della precisazione su Applestore (anche se io non sarei così fiducioso nella totale buona fede di Apple: business is business).

Per RickS: ringrazio anche te per la documentata dissertazione sull'argomento.

Voglio anche puntualizzare che non considrero quel sito a priori del tutto affidabile e sicuro, ma lo visito perché mi fornisce qualche volta notizie ed elementi di cui altrimenti non avrei conoscenza, dato che per me l'informatica è un divertimento e non un lavoro.
Nella fattispece prima di leggere tale articolo non pensavo che fosse così reale l'argomento della sicurezza delle app "bancarie", seppure il fatto che ci si affidi ad app su cellulare per l'accesso a funzioni bancarie mi sia sempre sembrato un po' sospetto.

Saluti.

Piero

[Paolofast]

Per Paolofast: nessuna obiezione al tuo post, anzi grazie della precisazione su Applestore (anche se io non sarei così fiducioso nella totale buona fede di Apple: business is business).

Appunto, business is business: non è buonafede, è convenienza. Se io vendo qualcosa e quella è difettosa, perdo soldi.
Sulla sicurezza, se lavori male o cerchi di fregare la gente, puoi fregarli per un po', ma poi le magagne saltano fuori.
Magari tramite un ex dipendente scontento.
E quando hai ventimila impiegati solo nella sede principale, statisticamente almeno uno scontento lo trovi.
Quindi ad Apple, per vendere sicurezza, conviene comportarsi correttamente.

Non ho fiducia di Apple, su questo argomento, perché la ritenga più buona e corretta, ma semplicemente perché ritengo i suoi dirigenti abbastanza bravi da non voler perdere tanti soldi per qualche fesseria.

[mattleega]

Infatti, come volevasi dimostrare:



L'articolo completo, su "il Fatto quotidiano" di oggi.

[Curzio]

https://sicurezza.net/privacy/apple-ced ... rno-cinese


con buona pace degli analisti pour parler

[Paolofast]

Apple cede i dati contenuti i iCloud quando è obbligata per legge, ovvero quando c'è un reato.
Quindi su richiesta di un giudice o, per gli Stati Uniti, anche un Grand Jury.
C'è un rapporto annuale, da anni, che dice quante richieste sono arrivate, quante sono state esaudite e chi le ha chieste.
Ce ne sono anche dall'Italia, alcune accolte, altre rifiutate.

Quelle del Dipartimento di Giustizia di Trump sono probabilmente illegali e Apple ha fatto bene a denunciare.
Ci saranno conseguenze penali.

Sulla Cina ho già detto: tutti i dati raccolti in Cina (ed in Russia) devono per legge essere conservati in server cinesi (o russi) a cui il governo per legge ha accesso.
Tutta l'enorme quantità di dati raccolti da Android e i pochissimi raccolti da iOs.
La privacy non si difende non dando i dati ai cinesi, la si difende non raccogliendoli, se non il minimo indispensabile.

Turro il resto è distorsione delle notizie e clickbait.

[Curzio]

Apple cede i dati contenuti i iCloud quando è obbligata per legge, ovvero quando c'è un reato.
Quindi su richiesta di un giudice o, per gli Stati Uniti, anche un Grand Jury.
C'è un rapporto annuale, da anni, che dice quante richieste sono arrivate, quante sono state esaudite e chi le ha chieste.
Ce ne sono anche dall'Italia, alcune accolte, altre rifiutate.

Quelle del Dipartimento di Giustizia di Trump sono probabilmente illegali e Apple ha fatto bene a denunciare.
Ci saranno conseguenze penali.

Sulla Cina ho già detto: tutti i dati raccolti in Cina (ed in Russia) devono per legge essere conservati in server cinesi (o russi) a cui il governo per legge ha accesso.
Tutta l'enorme quantità di dati raccolti da Android e i pochissimi raccolti da iOs.
La privacy non si difende non dando i dati ai cinesi, la si difende non raccogliendoli, se non il minimo indispensabile.

Turro il resto è distorsione delle notizie e clickbait.

e te pareva....

(dalle mie parti si dice: l'è admè purtàr n'oc a bear)

[mattleega]

Non facili i detti dalle tue parti.
E' meglio portare un'oca a bere?

Comunque lo scopo è stato raggiunto.
Sparito tasto-veloce dal forum da giorni, in molti speravano pensavano se ne fosse andato.
Toccare il suo argomento preferito, ci ha rivelato che sempreallertasta.

La pluralità di vedute, tiene vivo il forum.

[Curzio]

Non facili i detti dalle tue parti.
E' meglio portare un'oca a bere?

Comunque lo scopo è stato raggiunto.
Sparito tasto-veloce dal forum da giorni, in molti speravano pensavano se ne fosse andato.
Toccare il suo argomento preferito, ci ha rivelato che sempreallertasta.

La pluralità di vedute, tiene vivo il forum.

alla lettera significa: è come portare un'oca a bere, cioè: facile facile, o anche: servirla su un piatto d'argento
e comunque, sì, lo scopo è stato raggiunto