Link alla notizia: http://www.hwupgrade.it/news/telefonia/pichai-android-non-e-sviluppato-per-essere-sicuro-ma-per-essere-open_51232.html

Durante una conferenza a Barcellona al Mobile World Congress, Sundar Pichai è stato accusato di aver detto qualcosa di troppo riguardo alla presenza di malware su Android

Click sul link per visualizzare la notizia.

La notizia pare più che altro essere l'uscita del nexus 6, che smentisce le precedenti voci sull'abbandono di questa linea da parte di Google.
Ho idea che anche stavolta sarà un nexus LG, anche se non mi dispiacerebbe che fosse affiancato da altri prodotti google experience da parte di altri produttori.

come Windows su pc anche android su smartphone.. è normale che se devo perdere tempo a fare un malware lo faccio per il sistema più diffuso per avere il massimo risultato..

che mi metto a fare un malware per Dos 5.1 se non lo usa nessuno o per Symbian ?...

su su.. che ci si scandalizza fare..

"Non possiamo garantire che Android sia stato progettato per essere sicuro, ma l'abbiamo sviluppato per garantire la maggiore libertà possibile"
Pare più una costatazione che una ammissione di colpe. :doh:
Lo sappiamo tutti che Android è soggetta ad i malware anche per il bacino d'utenza.. ma cosa si fa per renderlo sicuro? Si constata con un "non ci possiamo fare niente perché è libero"? Ma sei scemo?!? :muro:

Lo smartphone per me è uno strumento dove passano soldi, dove passa la mia privacy (e non parlo della foto dove mi taggano mentre mangio un gelato), dove passa la mia vita.. e la giustifica a tutte le mie preoccupazioni è: "è perché è molto libero"?!?
Hanno cavalcato la storia che è "open" per cercar i favori ideologici di una cultura dov'è contrapposto il libero ed il chiuso come tra il bene ed il male ed ora continuano a farlo usandolo come scudo per parare la me**a?!? Ma credono che Android sia indirizzato solo a qualche bimbominkia smanettone e non anche a professionisti o gente con cui ci fa passare il proprio denaro?!? :muro:

Se queste son le dichiarazioni in risposta alla necessità maggior sicurezza per Android "non è stato progettato per essere sicuro" con il sottinteso "non ci possiamo fare niente" allora Android non è l'OS che fa per me.:O


CIAWA

Infatti, lavorando nella telefonia, all'utente medio consiglio sempre iOS o Windows Phone. Blindato è meglio, per l'end user.

Infatti, lavorando nella telefonia, all'utente medio consiglio sempre iOS o Windows Phone. Blindato è meglio, per l'end user.
Guarda, non dico che voglio il BlackBerry blindato della Merkel con chip di criptazione.. ma che la SICUREZZA sia la priorità dell'OS lo PRETENDO.. piuttosto mi prendo un iPhone anche se mi sentirei come le ragazze di 2g1c: sporco dentro e sporco fuori.
Dopo quest'uscita mi continuano a fornir buone motivazioni per aggiungere un altro chiodo alla bara di Android. :rolleyes:


-EDIT-
Leggendo altrove a quanto pare ha già smentito. HWup potete trovare il testo originale e darci la news completa? Grazie.


CIAWA

Leggendo altrove a quanto pare ha già smentito. HWup potete trovare il testo originale e darci la news completa? Grazie.


Più che smentire, direi precisare. Nel suo intervento ha detto pure che solo lo 0.001% delle installazioni buca il sistema. E onestamente non mi sarei aspettato di meno da un OS basato su capabilities. Ed è il motivo per cui tutti i malware android sono dei trojan.

È evidente che i malware necessitano della partecipazione attiva dell'utente per poter entrare nel sistema. Dunque il problema sono gli store. Quello ufficiale va controllato meglio, per gli altri...se l'utonto non è competente, farebbe meglio a starne alla larga.

non ha tutti i torti

http://mashable.com/2014/02/27/google-sundar-pichai-android/
Ha detto che proprio grazie alla sua natura opensource è più sicuro in quanto qualunque sviluppatore può vedere il codice e contribuire a risolvere problemi di sicurezza, in più Google effettua anche controlli sul Play Store

per adesso questa maggiore sicurezza non si vede, anzi

Pichai: 'Android non è sviluppato per essere sicuro, ma per essere open'
Sì, ed è proprio con questa filosofia che dalla versione 4.4.2 hanno bloccato l'accesso alle applicazioni alla memoria SD Card esterna (link (https://code.google.com/p/android/issues/detail?id=65974))!

:muro: :muro: :muro:

Dove sarebbero questi esagerati problemi di sicurezza che vedi? Mi fai una lista delle falle presenti (corrette o meno) da android 4.0 ad oggi?

e chi ha parlato di esagerati problemi, ho detto semplicemente che e' meno sicuro di altri... tutto qui

Lo smartphone per me è uno strumento dove passano soldi, dove passa la mia privacy (e non parlo della foto dove mi taggano mentre mangio un gelato), dove passa la mia vita.. e la giustifica a tutte le mie preoccupazioni è: "è perché è molto libero"?!?
Hanno cavalcato la storia che è "open" per cercar i favori ideologici di una cultura dov'è contrapposto il libero ed il chiuso come tra il bene ed il male ed ora continuano a farlo usandolo come scudo per parare la me**a?!? Ma credono che Android sia indirizzato solo a qualche bimbominkia smanettone e non anche a professionisti o gente con cui ci fa passare il proprio denaro?!? :muro:

Se queste son le dichiarazioni in risposta alla necessità maggior sicurezza per Android "non è stato progettato per essere sicuro" con il sottinteso "non ci possiamo fare niente" allora Android non è l'OS che fa per me.:O


CIAWA

quotissimo.....
troppa libertà nell'uso delle Api ( tra poco anche la torcia elettrica richiede l'accesso alla rubrica...), uno Store sterminato pieno di Fake App, le stesse App Google monitorano qualsiasi cosa transiti per fornire pubblicità mirata....

non che gli altri siano dei santi.....ma Google è una cosa impressionante......

nel mio caso mai un Android per "attrezzi" che uso per lavorare.....ho giusto un Tablet Android per uso prettamente casalingo.....per lavoro WPhone....;)

http://mashable.com/2014/02/27/google-sundar-pichai-android/
Ha detto che proprio grazie alla sua natura opensource è più sicuro in quanto qualunque sviluppatore può vedere il codice e contribuire a risolvere problemi di sicurezza, in più Google effettua anche controlli sul Play Store
E' una bella favola che noi tutti adoriamo.. ma resta pur sempre una favola buona giusto per la buona notte. :O
E' come dire "se tutti hanno un'arma da fuoco in casa le città sono più sicure dai criminali perché tutti possono agire per il bene comune" senza però dire che questo libero accesso alle armi può esser usato anche per far del male. :rolleyes:


Tutti possono vedere il codice nudo per far del bene ed in un Mondo utopico sarebbe il massimo ma, nel mondo reale, allo stesso modo tutti possono veder quel che c'è per sfruttarlo per far del male.
Questo non mette certo al riparo i "non-open" perché anche lì si possono scoprire delle vulnerabilità anche da parte dei "non addetti ad i lavori" che potranno poi esser usate "per il bene" (rendendole note a chi di dovere) o "per il male" (sfruttandole per creare qualche malware).. ma lì scoprirlo è un po' più complesso perché non ci si ha accesso al codice NUDO.

Detto questo basta con la balla che l'esser open ha come valore intrinseco l'esser sicuro, semplicemente è alla portata di tutti come una pistola, sta poi al singolo decidere cosa farci di quest'arma.


P.S.
Niente root, niente rom, niente debug, niente store terzi, niente app dubbie anche se provenienti dallo store ufficiale.. faccio tutto ciò che DEVO per garantire la sicurezza del mio Android.. detto questo mi aspetto più serietà e non spot da parte di Google quando si tratta di simili argomenti.


CIAWA

E' una bella favola che noi tutti adoriamo.. ma resta pur sempre una favola buona giusto per la buona notte. :O
E' come dire "se tutti hanno un'arma da fuoco in casa le città sono più sicure dai criminali perché tutti possono agire per il bene comune" senza però dire che questo libero accesso alle armi può esser usato anche per far del male. :rolleyes:


Tutti possono vedere il codice nudo per far del bene ed in un Mondo utopico sarebbe il massimo ma, nel mondo reale, allo stesso modo tutti possono veder quel che c'è per sfruttarlo per far del male.
Questo non mette certo al riparo i "non-open" perché anche lì si possono scoprire delle vulnerabilità anche da parte dei "non addetti ad i lavori" che potranno poi esser usate "per il bene" (rendendole note a chi di dovere) o "per il male" (sfruttandole per creare qualche malware).. ma lì scoprirlo è un po' più complesso perché non ci si ha accesso al codice NUDO.

Detto questo basta con la balla che l'esser open ha come valore intrinseco l'esser sicuro, semplicemente è alla portata di tutti come una pistola, sta poi al singolo decidere cosa farci di quest'arma.


CIAWA


Da quando la sicurezza tramite segretezza funziona? :mbe:
Tutte le cose più sicure che mi possano venire in mente non applicano quel principio.

Da quando la sicurezza tramite segretezza funziona? :mbe:
Da quando un'arma in mano ad ogni persona aumenta la sicurezza? :mbe:


CIAWA

Da quando un'arma in mano ad ogni persona aumenta la sicurezza? :mbe:


CIAWA

Infatti il tuo parallelo è errato, come gran parte degli esempi portati su questo forum che tirano sempre in ballo le stesse cose della realtà.
Si parla di conoscenza, non di possesso.
Tutti possiamo fare un'arma e non per questo la sicurezza diminuisce, anzi, l'industria ha sempre prodotto armi migliori in grado di aumentare la sicurezza.

NB Il tema dell'esempio resta criticabile e pessimo

[..]A casa mia si chiama onestà intellettuale, purché non ci si limiti alle considerazioni fin qui esposte, sarebbe pura e semplice rassegnazione ad essere danneggiati o rapinati, ad offrirsi quali vittime sacrificali insomma.[..]
Quel che cerco non è la sicurezza intesa come una qualche chimera astratta, quel che voglio io son prese di posizioni serie che DEVE prendere Google, non affrontando sotto gamba come ha fatto con simili dichiarazioni il Pichai di turno parlandoci di "open" come se fossimo nati ieri. Sull'OS ci si può imbattere in micro e macro problematiche relative alla sicurezza e questo ci può stare, è fisiologico.. quel che non ci sta è l'insofferenza verso certe tematiche.

1 Epurazione del PlayStore di tutte le App potenzialmente dannose.
2 Regolazione ferrea dei permessi concessi alle App.


Non è possibile trovar ancora tante App che son meri link che ti reindirizzano a siti dubbi o che abbiano la possibilità di richiederti gli accessi più disparati. Prima si faceva l'esempio della torcia che chiede l'accesso a rubrica e messaggi ed è qualcosa di inaccettabile così come è inaccettabile ma Google sotto questi aspetti tace perché sino ad oggi ne ha tratto vantaggio anche se a danno dell'utenza.

La guerra degli Store è bella che finita ed a nessuno più interessa se hai un miliardo di app quindi è arrivato il momento di far sparire tutta la porcheria che negli anni è servita a passarsi lo "scudetto" dello "lo store più fornito" e pensar più all'utente.


CIAWA

per adesso questa maggiore sicurezza non si vede, anzi

Se vogliamo analizzare i problemi di sicurezza di un software, dobbiamo categorizzare le minacce in maniera precisa.

Su Android esistono praticamente solo trojan ( aka virus albanese ). In questo caso la sicurezza ha due falle: gli store e gli utenti.

Potresti dire che Android è pieno di falle se bug nel software fossero il metodo preferenziale per diffondere malware ( vedi la miriade di attacchi drive-by sotto Windows ). Tuttavia il caso non è questo. Inoltre Android riesce ad isolare adeguatamente le applicazioni, per cui un malware installato non può avere accesso diretto a tutti i file che gli pare.

Il sistema di sicurezza è fatto bene, ma non può nulla contro un utente che installa volontariamente un malware e gli dà tutti i permessi immaginabili.

[..]
Tutti possiamo fare un'arma e non per questo la sicurezza diminuisce, anzi, l'industria ha sempre prodotto armi migliori in grado di aumentare la sicurezza.
NB Il tema dell'esempio resta criticabile e pessimo
Vabbé, lo prendo come OT ma..
dopo l'attentato alla Columbine High School, dove vennero uccisi 20 bambini, la soluzione lobbista fu "è avvenuto solo perché nessuno aveva un'arma, anche i professori dovrebbero averle e dovrebbe esser cancellato il divieto di non poter portare armi nelle "aree educative".

Il mio esempio sarà criticabile.. ma tu ricalchi esattamente quei ragionamenti "tutti possiamo farci un'arma quindi è meglio liberalizzarla".

[..]
Il sistema di sicurezza è fatto bene, ma non può nulla contro un utente che installa volontariamente un malware e gli dà tutti i permessi immaginabili.
[..]
1 Epurazione del PlayStore di tutte le App potenzialmente dannose.
2 Regolazione ferrea dei permessi concessi alle App.
[..]
CIAWA
Quindi sei d'accordo con quanto ho detto: Google, oltre agli spot, dovrebbe curare più il suo store e l'aspetto permessi perché così è ignobile.


CIAWA

come volevasi dimostrare, avere uno store sterminato serve solo a fare statistica, inutile e dannoso, visto che è veicolo di tante porcherie.

android è meno sicuro rispetto a iOS & WP.
è un dato di fatto.

We cannot guarantee that Android is designed to be safe, the format was designed to give more freedom. When people talk about 90 percent of malware for Android, they must of course take into account the fact that it is the most popular operating system in the world. If I had a company dedicated to malware, I would also be addressing my attacks on Android.


@pabloski:

Da quando è stato introdotto Vista ed in particolare UAC, la pericolosità di falle per cui non è necessario l'intervento dell'utente è diminuito del 92%. Ma questo lo si sapeva già, il principio del minimo privilegio è uno dei caposaldi della sicurezza dei sistemi UNIX e seppure in colpevole ritardo c'è arrivata anche Microsoft.

Dopodiché la sicurezza prima di tutto la fanno gli utenti, c'è bisogno di una maggiore educazione, e non c'è sistema operativo che tenga nel momento in cui un utente può arbitrariamente decidere di lanciare un qualsiasi eseguibile.

Quando mi viene detto che non è un fattore la diffusione, facendo l'esempio di sistemi Linux che pilotano la maggior parte dei server, faccio notare appunto che i server hanno pattern di interazione con l'utente completamente diversi ed è un fattore cruciale di cui pochi tengono conto.

Non è che chi amministra il cloud Amazon si mette a scaricare da torrent film e giochi e software piratato sui server del datacenter.

Dopodiché la sicurezza del sistema operativo è sicuramente un punto cruciale, ma TUTTO lo stack applicativo dev'esserlo (Kernel, Librerie, Server Web, Application Server).

Adesso inoltre si è aggiunto un ulteriore livello che è quello di virtualizzazione, che mediamente offre più vantaggi in termini di sicurezza.

Non è un caso che il punto più delicato di un sistema desktop sia il browser e i suoi plugin (pdf, flash, java e compagnia bella).

Vabbé, lo prendo come OT ma..
dopo l'attentato alla Columbine High School, dove vennero uccisi 20 bambini, la soluzione lobbista fu "è avvenuto solo perché nessuno aveva un'arma, anche i professori dovrebbero averle e dovrebbe esser cancellato il divieto di non poter portare armi nelle "aree educative".

Il mio esempio sarà criticabile.. ma tu ricalchi esattamente quei ragionamenti "tutti possiamo farci un'arma quindi è meglio liberalizzarla".
CIAWA


Fai dei salti logici che sinceramente non capisco :mbe:
Io ti parlo di conoscenza e tu di possesso.
Basta il solo esempio della crittografia per sottolineare quanto è vincente l'idea della conoscenza del codice.

ancora con questa storia... Android e' sicuro, semplicemente all'utente si danno gli strumenti per renderlo insicuro. Disabilita sideload, firma aggressivamente tutto cio' che arriva dal playstore ed e' fatta... Ma si perderebbe la sua natura. Questo e' il significato e il vero problema sicurezza su android

La colpa e' dell'utenza e basta, tutti maghi, acher che scaricano gratis app da 90 centesimi e poi si prendono i virus.

rendere un codice aperto permette ai buoni di migliorarlo e ai cattivi, statisticamente molto più bravi e con meno problemi da risolvere, di capire come bucarlo..

se ho una cassaforte non divulgo le specifiche di come è fatta altrimenti i ladri possono studiare con calma a casa come è fatta e poi vengono ad aprirla senza problemi dopo che hanno scoperto le falle..

se non dico come è fatta e più difficile aprirla perché devono provare dal vivo.. e ogni volta che rilevo un'effrazione posso ripararla e migliorare quel danno.. senza per forza divulgare al mondo il difetto che ha il mio prodotto..

non vuol dire che iOS sia meglio di Android perché è chiuso.. ma che Android non puo' inventare la balla che essendo aperto tutti possono migliorarlo.. perché proprio perché è aperto tutti possono bucarlo..

quando fai un lucchetto migliore qualcuno scoprirà una cesoia migliore per tagliarlo e dovrai trovarne uno migliore di prima.. aperto o chiuso che sia.. sono sempre sistemi bucabili.. dipende dall'interesse nel farlo..

Linux è meno bucato di Windows non perché è aperto.. ma perché è meno diffuso fra quelle persone che non sanno usare un OS e chi vuole bucarlo non ha motivi per farlo..

iOS è meno bucato di Android perché è meno diffuso di Android e chi lo usa ha uno store più controllato dove fare shopping.. nulla conta come sia l'OS.. dipende da chi buca cosa vuole bucare e chi usa l'OS come lo usa..

su su..

fine diatriba :D

rendere un codice aperto permette ai buoni di migliorarlo e ai cattivi, statisticamente molto più bravi e con meno problemi da risolvere, di capire come bucarlo..

se ho una cassaforte non divulgo le specifiche di come è fatta altrimenti i ladri possono studiare con calma a casa come è fatta e poi vengono ad aprirla senza problemi dopo che hanno scoperto le falle.

se non dico come è fatta e più difficile aprirla perché devono provare dal vivo.. e ogni volta che rilevo un'effrazione posso ripararla e migliorare quel danno.. senza per forza divulgare al mondo il difetto che ha il mio prodotto..

Insomma non sempre è così (anche se per alcuni casi la segretezza aiuta).

Purtroppo a volte la segretezza si usa anche perché si sa già che il sistema è bucabile se fai x,y,z ma si spera che non divulgando le specifiche si minimizzino i casi e si possa commercializzare lo stesso il prodotto senza investire troppi soldi nel renderlo più sicuro.

Inoltre se tu dai le specifiche come hai detto tu eviti che studiandole qualcuno se ne avvantaggi, ma eviti anche che qualcun altro più esperto ti faccia notare tue scelte errate fin da subito.

Se fai la cassaforte in alluminio ma non lo dici (lasciamo stare che si riconoscerebbe facilmente) quando magari qualcuno se ne accorge che così è violabile, magari ce l'hanno già 1.000.000 di clienti.
Ed i ladri ti ringrazieranno per la tua sicurezza via segretezza, perché prima che tu ci poni rimedio ne avranno già svuotate un bel po'. :D
Se invece le specifiche erano pubbliche magari qualcuno te l'avrebbe fatto notare prima che arrivassi a 1000 esamplari distribuiti.

Faccio un esempio reale, c'è stato (e forse c'è ancora) un sistema commerciale che gestiva acquisti con carte di credito e che nel registrare l'anagrafica dell'acquisto conservava i dati della CC con l'unica protezione di eliminare l'ultima cifra della carta (quindi bastava provare 10 combinazioni per ricostruire il numero giusto :D) e con in più l'elenco di queste anagrafiche accessibile a qualunque operatore avesse accesso al terminale e potesse fare interrogazioni sulla base dati.
Naturalmente era venduto per sicuro (dopotutto toglieva una cifra alla cc :D) ed ha anche funzionato per anni senza problemi più che altro perché non molti lo sapevano e tutti gli operatori che lo sapevano erano onesti e non si sono mai fatti una stampa di migliaia di dati di cc da portarsi a casa per poi pubblicarli o rivenderli.
E suppongo in giro ci siano (o ci siano stati nel passato) molti altri sistemi closed di quel tipo.

Post doppio rimosso

La questione è più complessa, e non è del tutto vero che il supporto in scrittura è stato rimosso, hanno solo limitato la possibilità a delle cartelle specifiche per evitare che le applicazioni creassero file ovunque nella sd...
http://www.androidpolice.com/2014/02/17/external-blues-google-has-brought-big-changes-to-sd-cards-in-kitkat-and-even-samsung-may-be-implementing-them/
https://groups.google.com/forum/#!msg/android-platform/14VUiIgwUjY/UsxMYwu02z0J
Resta comunque il fatto che è stata rimossa una funzionalità che per alcuni (come me) era molto utile, con la scusa di rendere il sistema "più sicuro" (e questo è tutto da vedere...), unilateralmente da Google e senza sentire ragioni.

Quindi sei d'accordo con quanto ho detto: Google, oltre agli spot, dovrebbe curare più il suo store e l'aspetto permessi perché così è ignobile.


Certo. Comunque sullo store stanno agendo da qualche anno ( mi pare che proprio l'anno scorso ci fu una massiccia epurazione e il lancio di un crawler per scovare i malware ). Riguardo i permessi ho qualche riserva, perchè vorrebbe dire affidare all'utente l'onere di assegnarli manualmente ( cosa che, per ignoranza e/o fastidio, l'utente finirebbe per non fare ).




Da quando è stato introdotto Vista ed in particolare UAC, la pericolosità di falle per cui non è necessario l'intervento dell'utente è diminuito del 92%.


Mi sembra un numero decisamente alto :mbe:


Quando mi viene detto che non è un fattore la diffusione, facendo l'esempio di sistemi Linux che pilotano la maggior parte dei server, faccio notare appunto che i server hanno pattern di interazione con l'utente completamente diversi ed è un fattore cruciale di cui pochi tengono conto.

Certo, ma si può anche andare a guardare le ricadute delle vulnerabilità per ogni sistema operativo. Nel caso di linux ( tempo fa lo feci notare ) solo il 7% delle vulnerabilità è sfruttabile per attacchi da remoto, mentre per i concorrenti tale percentuale è ben più alta. Quindi c'è anche il fattore "buona progettazione" alla base della sicurezza di linux.

Del resto mica linux gira solo sui server. Possiamo appunto citare Android. Millemila trojan, ma nessun exploit per le componenti del software di base ( kernel in primis ).


Adesso inoltre si è aggiunto un ulteriore livello che è quello di virtualizzazione, che mediamente offre più vantaggi in termini di sicurezza.


la virtualizzazione offre pure una maggiore superficie d'attacco

imho offre più svantaggi che vantaggi in termini di sicurezza ( lo vedremo più in là, per ora non c'è incentivo a bucare i vmm )


Non è un caso che il punto più delicato di un sistema desktop sia il browser e i suoi plugin (pdf, flash, java e compagnia bella).

se ci togli il browser, le occasioni d'interazione con l'esterno si riducono praticamente a zero

ai bei tempi potevi sfruttare i servizi tipo rpc come bersagli per attacchi remoti, oggi con i router natted non si può più fare

l'unico che è esposto al mondo esterno è proprio il browser...ci sarebbero anche gli instant messenger, gli email client, ecc... ma onestamente mi pare che il loro utilizzo sia diminuito massicciamente

rendere un codice aperto permette ai buoni di migliorarlo e ai cattivi, statisticamente molto più bravi e con meno problemi da risolvere, di capire come bucarlo..


non necessariamente, perchè i sorgenti e gli eseguibili non corrispondono al 100%

i compilatori realizzano varie ottimizzazioni, nel corso delle quali alcune vulnerabilità nel codice possono sparire e altre possono essere inserite a causa del comportamento del compilatore

l'esempio della cassaforte non è adatto, perchè comunque ( pure nel caso del cloud ) il software esiste, è in circolazione, chiunque può acquistarlo/procurarselo e scoprire come bucarlo, senza che tu ne sappia niente e quindi possa intervenire per ripararlo

la security through obscurity è un paradigma notissimo, ed è convinzione diffusa che non sia affatto una protezione


ma che Android non puo' inventare la balla che essendo aperto tutti possono migliorarlo.. perché proprio perché è aperto tutti possono bucarlo..


e no, perchè attacchi contro il software non ce ne sono

i malware per android sono trojan, l'utente li deve installare e deve cliccare Accetto quando esce la finestrella dei permessi

non c'è nessuno sfruttamento di qualsivoglia vulnerabilità software in tutto questo processo


Linux è meno bucato di Windows non perché è aperto.. ma perché è meno diffuso fra quelle persone che non sanno usare un OS e chi vuole bucarlo non ha motivi per farlo..


Android è linux, quindi diffusissimo tra gente non esperta e c'è un grandissimo interesse a bucarlo ( come dimostrano i tanti cloni malvagi di flappy birds )


nulla conta come sia l'OS..

quindi un os che non implementa nessuna misura di sicurezza, fa girare tutto il software a ring 0, è pieno zeppo di buffer overflow, sarebbe identico ad un os che invece è creato prestando la massima attenzione ad ogni possibile vulnerabilità?

Resta comunque il fatto che è stata rimossa una funzionalità che per alcuni (come me) era molto utile, con la scusa di rendere il sistema "più sicuro" (e questo è tutto da vedere...), unilateralmente da Google e senza sentire ragioni.

Più che rimossa, ne è stata cambiata la semantica. Un pò come quando fu introdotto UAC in windows.

Imho questo cambiamento andava fatto prima, anzi bisognava partire dall'inizio organizzando la memoria esterna per namespace, piuttosto che consentire il far west.

Qui c'è il testo integrale dell'intervista, conviene leggerlo prima di commentare:
http://techcrunch.com/2014/02/27/no-googles-sundar-pichai-didnt-say-androids-openness-makes-it-less-insecure/?ncid=rss

Qui c'è il testo integrale dell'intervista, conviene leggerlo prima di commentare:
http://techcrunch.com/2014/02/27/no-googles-sundar-pichai-didnt-say-androids-openness-makes-it-less-insecure/?ncid=rss

Beh direi che le parti importanti sono

"What matters much more is – as a user, if you use Android, are you fundamentally more compromised? We don’t think so."

"some partners when they ship devices, they have an older version of Android. And sure you can have a security vulnerability there"

"Google Play automatically scans and verifies thousands of applications for malware"

Alla fin fine si ritorna al punto iniziale. Il sistema è robusto, l'essere opensource è un problema perchè chiunque può prenderne pezzi ( magari buggati ) e fare disastri ( ma poi si scrivere un titolone tipo "Android è bucato così e colà" ), google ( tutto sommato ) qualche controllo sullo store lo fa.

E' ovvio che chiunque può usare vecchie versioni di android, ma anche nuove togliendo e/o aggiungendo pezzi di codice. Poi sbuca il bug sul codice del progetto derivato. Ma non possiamo certo dire che è un bug di Android.

Beh direi che le parti importanti sono

"What matters much more is – as a user, if you use Android, are you fundamentally more compromised? We don’t think so."

"some partners when they ship devices, they have an older version of Android. And sure you can have a security vulnerability there"

"Google Play automatically scans and verifies thousands of applications for malware"

Alla fin fine si ritorna al punto iniziale. Il sistema è robusto, l'essere opensource è un problema perchè chiunque può prenderne pezzi ( magari buggati ) e fare disastri ( ma poi si scrivere un titolone tipo "Android è bucato così e colà" ), google ( tutto sommato ) qualche controllo sullo store lo fa.

E' ovvio che chiunque può usare vecchie versioni di android, ma anche nuove togliendo e/o aggiungendo pezzi di codice. Poi sbuca il bug sul codice del progetto derivato. Ma non possiamo certo dire che è un bug di Android.

Android è un grosso bersaglio, ormai lo si trova ovunque,
Inevitabile e redditizio prenderlo di mira per questo.

I produttori hanno poi tutti gli strumenti per rendere più sicuri i loro firmware. Se li "ignorano" più o meno consapevolmente, non vedo cosa centri Android.

Se uno riesce a farsi pagare come si conviene, può fare come la Boeing :D
http://www.boeing.com/boeing/defense-space/ic/black/index.page

android è meno sicuro rispetto a iOS & WP.
è un dato di fatto.

e come fai a dire che e' meno sicuro?

ps a chi dice che linux e' piu' sicuro di windows solo perche' e' meno diffuso, guardate i dati di diffusione di linux sui server, rispetto a windows e osx. non siamo a percentuali bulgare ma poco ci manca.
linux e' sicuro primo per la sua architettura (con tutte le cose "strane" che si porta dietro) e secondo per il fatto di essere open.
se uno trova una falla di sicurezza la posta e poche ORE dopo ci sono gia' le patch o i workaround, visto che se hai i sorgenti sai molto meglio da dove puo' arrivare il problema e come risolverlo.
provate a segnalare una falla a microsoft o a apple, e vedete quanto ci mettono a sistemare i loro so.
che poi esista gente che gira ancora con kernel, moduli o applicazioni vecchi di anni e' un altro discorso, ma provate voi a usare su internet windows xp senza SP.

android non lo conosco se non per averlo sul tablet (che oltretutto uso pochissimo), ma per quanto non mi piaccia molto (credo che comprerei roba WP), secondo me il suo grosso problema e' che ogni produttore di telefonini/tablet/sarca$$o lo modifica a c::::o di cane (e questo lo riempie di buchi, infatti anche su linux ci sono distro che modificano kernel, utility e applicazioni, e sono quelle che hanno i casini piu' grossi. tieniti tutto stock e vedi che e' un'altra cosa) e che lo store e' enorme e pieno di roba inutile (e questo e' per il 90% colpa degli utenti, non del so, conosco gente che scarica ogni giorno decine di app. 'zzo se ne fanno? e poi magari si lamentano di android perche' e' lento, e poi vedi la barra piena di icone di programmi che girano, roba del tipo "che tempo fa in questo momento in alaska?" "il tuo centrocampista preferito in questo momento sta rilasciando interviste?").
cominciamo a fare i seri NOI utenti, a non installare porcherie (ma c....! sono anni che si dice "non scaricare allegati mail da gente che non conosci, non andare su siti strani che rischi, non dare i dati della carta di credito" ecc e continuiamo a farci del male DA SOLI?)
a scegliere produttori che danno sistemi operativi stock e non sputtanati, insomma, cominciamo noi a usare come dio comanda i sistemi operativi, e magari POI vediamo quale SO e' meglio.

e come fai a dire che e' meno sicuro?

è la statistica.

mettetevi d' accordo voi estimatori del free-Google-adroid:
non è che la statistica la bene solo quando bisogna dire che android è il sistema più diffuso, mentre per quando si deve dire che è quello più attaccato, o quello che ha più lag, non va bene.

che poi android se viene usato "blindato" da un utente accorto non pigli malware è un conto, ma da qui ad estendere a tutti questo assunto, ce ne passa.
pure io con Windows xp, seven o 8.1 non ho mai preso un virus, ma non per questo posso dire che il resto del mondo sappia come proteggere il proprio sistema operativo.

poi come già detto da tanti più un SO è diffuso, e più logicamente è più appetibile e sensibile ad attacchi.

Android è un grosso bersaglio, ormai lo si trova ovunque,
Inevitabile e redditizio prenderlo di mira per questo.


Verissimo. Tuttavia è proprio per questo che ( anche ) Google dovrebbe darsi una mossa. Per la serie "li avete voluti utonti, adesso trottate". Purtroppo non si farà nulla, perchè alle multinazionali non interessa rendere il computing un'attività sicura, e gli utonti nemmeno scendono in piazza per pretenderlo ( oddio, non scendono in piazza manco per chiedere meno tasse e più lavoro ).


I produttori hanno poi tutti gli strumenti per rendere più sicuri i loro firmware.


Questa è la proverbiale beffa che si aggiunge al danno. Questi signori sono sempre 2-3 gradini al di sotto rispetto a ciò che Google rende disponibile. Più che colpevoli, direi che sono proprio criminali.


Se uno riesce a farsi pagare come si conviene, può fare come la Boeing :D
http://www.boeing.com/boeing/defense-space/ic/black/index.page

Eh ma la Boeing c'ha fior fiori di lobbisti che "convincono" i politici di turno ad appaltarle questo e quello :D

è la statistica.

mettetevi d' accordo voi estimatori del free-Google-adroid:
non è che la statistica la bene solo quando bisogna dire che android è il sistema più diffuso, mentre per quando si deve dire che è quello più attaccato, o quello che ha più lag, non va bene.

che poi android se viene usato "blindato" da un utente accorto non pigli malware è un conto, ma da qui ad estendere a tutti questo assunto, ce ne passa.
pure io con Windows xp, seven o 8.1 non ho mai preso un virus, ma non per questo posso dire che il resto del mondo sappia come proteggere il proprio sistema operativo.

poi come già detto da tanti più un SO è diffuso, e più logicamente è più appetibile e sensibile ad attacchi.

Eh appunto, facciamola bene questa statistica. Nel computo va inserito pure il market share, visto che è uno degli elementi che "porta" malware verso una piattaforma.

Ti ricordi quando scrivevi ( in altri post e altre epoche ) che linux non se lo filano perchè non lo usa nessuno? Idem per windows phone. Tanto è un OS usato da quattro gatti! :asd:

p.s. comunque non temere, FinFisher ( il malware di Stato ) gira pure su windows phone

Ti ricordi quando scrivevi ( in altri post e altre epoche ) che linux non se lo filano perchè non lo usa nessuno? Idem per windows phone. Tanto è un OS usato da quattro gatti! :asd:


ed infatti non ho mica detto il contrario.
ho solo detto che visto che quando vi dicevo che WP o W8.1 sono ottimi sistemi operativi, mi veniva detto che non vendevano un tubo rispetto ad android,
adesso però secondo i dati android essendo quello più diffuso, risulta essere anche quello più vulnerabile.

è statistica.
punto.

è la statistica.

sistema chiuso != sistema sicuro, e' ora che lo capiate.
e l'esistenza di trojan per un so e' diverso da dire so insicuro.
sapere queste cose e' la base per parlare di sicurezza.
altro che statistica, le statistiche le fanno mettendoci dentro app fatte da c...., gente che clicca su ogni cosa che si muove, che scarica di tutto, trojan e roba del genere.
come dire che la macchina X e' pericolosa perche' e' usata dai rapinatori. non c'entra nulla.


che poi android se viene usato "blindato" da un utente accorto non pigli malware è un conto, ma da qui ad estendere a tutti questo assunto, ce ne passa.


quanti di questi attacchi a android sono virus/worm o roba simile e quanti sono causati da un "free penis enlargment! click here" o su scaricamento di app idiote?
che un so sia bacato e' un conto, che l'utente sia idiota e' un altro. prendi un ios o wp e comincia a cliccare su qualsiasi cosa vedi, e poi dimmi se non lo riduci a uno schifo.
prima di parlare di vulnerabilita' sarebbe bene che ci si mettesse d'accordo su cosa e' una vulnerabilita' e cosa un "problema tra lo schermo e la sedia".
che poi ios con la sua natura chiusa sia piu' protettivo per l'utente medio ti do' ragione, ma non c'entra nulla con la bonta' del sistema operativo in se'.
con linux/bsd posso fare fine tuning sul sistema o modificare i sorgenti fino a farlo diventare un colabrodo, ma non direi mai (come nessuno sano di mente) che linux/bsd e' insicuro.

e comunque NON vuol dire che un'app per ios o wp non possa fare dei disastri immensi.
poi lo store apple conta poco meno di UN MILIONE di app, non crederai mica che la apple abbia certificato PER OGNUNA l'assenza di virus o trojan?

ho solo detto che visto che quando vi dicevo che WP o W8.1 sono ottimi sistemi operativi, mi veniva detto che non vendevano un tubo rispetto ad android,
adesso però secondo i dati android essendo quello più diffuso, risulta essere anche quello più vulnerabile.

è statistica.
punto.

Non capisco il nesso tra le due cose. Windows phone = ottimo sistema, ma pure Android lo è.

Se leggi gli ultimi 10 post, in molti hanno scritto a caratteri cubitali che i malware per Android sono TROJAN, cioè è l'utente che li installa volontariamente. Questo significa che Android ha vulnerabilità software?

Non esiste nessun modo conosciuto per cui un sistema operativo sia in grado di distinguere un trojan da un software benevolo. In fondo sono entrambi software, fanno le stesse cose!!

è la statistica.

mettetevi d' accordo voi estimatori del free-Google-adroid:
non è che la statistica la bene solo quando bisogna dire che android è il sistema più diffuso, mentre per quando si deve dire che è quello più attaccato, o quello che ha più lag, non va bene.

che poi android se viene usato "blindato" da un utente accorto non pigli malware è un conto, ma da qui ad estendere a tutti questo assunto, ce ne passa.
pure io con Windows xp, seven o 8.1 non ho mai preso un virus, ma non per questo posso dire che il resto del mondo sappia come proteggere il proprio sistema operativo.

poi come già detto da tanti più un SO è diffuso, e più logicamente è più appetibile e sensibile ad attacchi.

La statistica non mente ed infatti proprio per questo
TUTTI gli algoritmi crittografici maggiori sono open source.

Il motivo è che l'accesso ai sorgenti permette un OODA loop più rapido ai "buoni" che in questo modo possono contrastare in modo più efficace i "cattivi".
NON IMPORTA se anche i "cattivi" hanno accesso ai sorgenti, se la qualità del codice migliora e si riducono i bug sfruttabili, per i "cattivi" diventa molto più duro trovare nuovi exploit.

Nel caso di Android, il fatto che la sicurezza non sia la prima priorità è legato al fatto che è già più che buona ed è pure superiore a quella di Windows nonostante Microsoft continui a metterci pezze da ormai più di venti anni dopo che era diventato sin troppo evidente quanto fosse vulnerabile.

Inoltre proprio perchè il software è open source, se qualcuno ha esigenze di sicurezza particolari può sviluppare una sua versione "blindata" e/o usare un app store con criteri di sicurezza più stretti.
Due accorgimenti che tagliano la testa al toro ma che attualmente non sono possibili ne con Windows Phone e neppure con iOS.

Nel caso non lo sapeste, lo US Army sta finanziando lo sviluppo di "smartphone da battaglia" e guardacaso proprio per i due motivi sopra usano Android.

@Notturnia: Linux si trova sulla maggior parte dei server presenti sul webe con ciò?
la casistica e i requisiti di un sistema server il cui unico utente è l' amministratore (e magari nemmeno lui) e quelli di un sistema in mano all' utente finale (desktop o mobile) sono radicalmente differenti
servire pagine web richiede, in configurazione tweaked, una frazione minima dei componenti di runtime (server http, kernel, runtime library, shell, eventualmente vm per script o servlet)
ed è un qualcosa che qualunque OS dotato di uno stack di rete e un file system per il caricamento di file (compresi OS desktop come windows, mac os, haikuOS o syllable, a maggior ragione se il loro kernel è adeguatamente scalabile - mentre non vale il viceversa) potrebbe (certo, con prestazioni differenti data la mancanza di meccanismi specifici) fare senza che si manifesti necessariamente "insicurezza" a livello di sistema
se tutto il traffico passa per un servizio che disaccoppia l' utente (che può essere solo remoto) dal sistema ed è l' unica cosa in esecuzione sullo stesso in un dato momento, è sufficiente che sia il servizio ad essere affidabile - non vada per esempio a scrivere dove non dovrebbe - e non vulnerabile...
quello che un generico altro OS (in particolare uno proprietario) però non dà, è proprio la possibilità di tweaking della configurazione di runtime - nella fattispecie, eliminare da questa componenti inseriti per coprire una gamma di altri utilizzi ma non utili in quello server (dove appunto necessita un kernel e poco altro) - e/o dello stesso kernel in funzione del tipo di impiego,
a cui si aggiunge il non dover spendere cifre esorbitanti per l' utilizzo su sistemi ad elevato numero di cpu (come i cluster che tipicamente stanno dietro a siti web ad alto traffico)
e last but not least, una manpower considerevole da non dover pagare direttamente, ma costantemente attiva nella manutenzione e bugfix del sistema
aspetti che, se ci fai caso, prescindono dall' essere il sistema più o meno intrinsecamente sicuro...
quindi evitiamo di sparare certe idiozie quindi evitiamo (comunque) di dare degli idioti agli altri che potrebbero magari avere ragione ;)

Se leggi gli ultimi 10 post, in molti hanno scritto a caratteri cubitali che i malware per Android sono TROJAN, cioè è l'utente che li installa volontariamente. Questo significa che Android ha vulnerabilità software?se un utente scarica a pagamento dal Play Store un gioco di cui ha letto recensioni o sentito parlare o provato da amici - e terminato il download dell' apk, una dialog annuncia che il gioco richiede accesso:
<...>
- a internet;
- alla risorsa di archiviazione;
- alla geolocalizzazione;
- alla rubrica e al sistema di messaggistica(!);
- al sistema di tariffazione(!!);
<...>
e senza la sua approvazione all' accesso completo il gioco non può essere installato;
in casi come questo dove sta la colpa?
dalla parte dell' utente che avendo pagato per quel gioco cliccherà su "accetto" - non sempre supinamente ma a volte con la (ingenua?) speranza che, anche se dichiarati nel manifest, la necessità di quei permessi sia più teorica che pratica, e il gioco non farà un uso arbitrario delle risorse autorizzate (non eseguendo addebiti se non per contenuti DLC che effettivamente l' utente acquisti in game, ad es)?
o da quella di google che potrebbe fare qualcosa per dare all' utente maggiore sicurezza e privacy, ma dimostra che non è nel suo interesse farlo (prova ne è che un pannello per l' abilitazione granulare delle singole capabilities per le singole app, era stato introdotto ed è stato a stretto giro rimosso nella versione 4.3 (https://www.eff.org/deeplinks/2013/12/google-removes-vital-privacy-features-android-shortly-after-adding-them)) ?

L'ennesima discussione..
Non sono un fan di Android, di Linux si..
Android è SICURAMENTE più vulnerabile di IOS e WP, e non perchè il malware è composto da Trojan.. (TUTTI i virus sui S.O. mobili sono trojan..) ma perchè la suà libertà di accesso a praticamente tutte le api di sistema lo rende vulnerabile, IOS e WP non permettono di fare quasi nulla.. (WP non ha neanche un file manager e non permette l'accesso quasi a niente) , ed alcuni giustamente li hanno criticati per questo.. peccato che le stesse persone che criticano WP e IOS perchè sono chiusi adesso dicano che Android ha solo dei Trojan ed è colpa dell'utente (Un po come la storia dell'Iphone i cui fan dicevano che l'effetto mano dell'antenna si verificava perchè veniva agguantato in maniera sbagliata..)
E' ovvio che la colpa è anche dell'utente.. l'80% del mercato smart è composto di ragazzini che si divertono a scaricare app del cavolo.. per loro il divertimento è proprio questo.. eppure qualche zia meraviglia scopre che i virus su android sono trojan..
Il giorno che WP permetterà più accesso al proprio sistema "Interno" (cosa che chiedono tutti a gran voce..) e sarà abbastanza diffuso.. sarà invaso dai trojan come Android...
Avete voluto creare il magico mondo delle "APPS" e adesso tenetevelo..
E smettetela di dire Android è Linux..
Android non ha nulla a che fare con linux.. (ormai tutti prendono un pezzetto di linux come il prezzemolo e si vantano di aver fatto un s.o. open source.. x carità..) forse lo sarà UBUNTU mobile, forse..

Notizia succulenta per Apple che si sta strofinando le mani :D

non aveva bisogno di questa notizia per gongolare

ed il tizio dell'articolo ha detto che ad Android interessa molto la liberta' di utilizzo, il che non significa che se ne strafreghino della sicurezza, anche se si riconoscono di non esserne i leader.

Il problema è che "il tizio" abbia in realtà detto l'esatto contrario è cioè che dire che android è meno sicuro perché aperto e un errore, e che invece Andorid è molto ma molto sicuro proprio perché aperto.

http://techcrunch.com/2014/02/27/no-googles-sundar-pichai-didnt-say-androids-openness-makes-it-less-insecure/?ncid=rss

Sorry, the premise of the question is because Android is open, it has more security issues? Respectfully, I’m not sure that’s a correct premise of the question. [...]
Android was built to be very, very secure. The thing that you’re seeing is because Android is an open platform

Non voglio entrare nel merito della discussione e se Andorid sia o meno più sicuro di IOS, o WP ti avviso solo che stai commentando una notizia già data per falsa ancora prima che fosse pubblicata qui.

e senza la sua approvazione all' accesso completo il gioco non può essere installato;
in casi come questo dove sta la colpa?
dalla parte dell' utente che avendo pagato per quel gioco cliccherà su "accetto" - non sempre supinamente ma a volte con la (ingenua?) speranza che, anche se dichiarati nel manifest, la necessità di quei permessi sia più teorica che pratica, e il gioco non farà un uso arbitrario delle risorse autorizzate (non eseguendo addebiti se non per contenuti DLC che effettivamente l' utente acquisti in game, ad es)?
o da quella di google che potrebbe fare qualcosa per dare all' utente maggiore sicurezza e privacy, ma dimostra che non è nel suo interesse farlo (prova ne è che un pannello per l' abilitazione granulare delle singole capabilities per le singole app, era stato introdotto ed è stato a stretto giro rimosso nella versione 4.3 (https://www.eff.org/deeplinks/2013/12/google-removes-vital-privacy-features-android-shortly-after-adding-them)) ?

Sicuramente la colpa non è da attribuire ad una vulnerabilità del software. E' di questo che si parlava caro Japillas.

E permettemi di ricordarti che tante tante volte hai difeso windows allo stesso modo, dicendo che la colpa è dell'utente che scarica ed installa schifezze.

Onestamente, molti di voi, hanno coerenza zero.

Sicuramente la colpa non è da attribuire ad una vulnerabilità del software. E' di questo che si parlava caro Japillas.non mi interessa a cosa non va attribuita la colpa, mi interessa a cosa VA attribuita..
E quello di cui si parlava è un sistema in cui i DATI personali e sensibili dell' utente non sono adeguatamente protetti e nascosti alle app che non avrebbero titolo ad accedervi
E questo, nel momento in cui un tool di google che aiuterebbe l' utente a sopperire,viene prima pubblicato poi rimosso, appare sempre più frutto non di una "svista" ma di una precisa politica...
Peraltro, non esistono solo le vulnerabilità, pensare che un discorso ampio come la sicurezza (/riservatezza/segretezza/confidenzialità) si fermi alle vulnerabilita denota vedute alquanto ristrette...
E permettemi di ricordarti che tante tante volte hai difeso windows allo stesso modo, premesso che con buona probabilità mi confondi con altri utenti, dal momento che a me non piace parlare dell' utente come del "problema tra la tastiera e la sedia", e in un' ottica di sicurezza preferisco analizzare i rispettivi modelli di capability dell' uno e dell' altro kernel...
Ma se ricordo male non avrai difficoltà a linkare i post in cui avrei detto ciò a cui ti riferisci ;)
( ma se ricordo bene cosa fai? )
Ma permettimi di farti notare che sviare il discorso ricorrendo all' ad hominem non sia il massimo come argomentazione (in effetti è una fallacy) ;)

dicendo che la colpa è dell'utente che scarica ed installa schifezzedimmi solo: un gioco gameloft scaricato a 4 euro dal play store è una schifezza ? io utente non avrei diritto a installarlo e giocarvi senza la preoccupazione che numeri telefonici dei miei contatti vengano comunicati a chissà chi, o mi vengano addebitati chissà quali extra?
Perché è di quello che parlavo prima... Ah, il gioco NON era identificato come free to play

Onestamente, molti di voi, hanno coerenza zero.e molti di voi hanno rispetto per l' interlocutore zero..

Peraltro, non esistono solo le vulnerabilità, pensare che un discorso ampio come la sicurezza (/riservatezza/segretezza/confidenzialità) si fermi alle vulnerabilita denota vedute alquanto ristrette...


Se rileggi i miei post, in nessuno di essi ho detto che Google non ha le sue responsabilità e DEVE intervenire per cambiare le regole dello store e le regole nell'assegnazione delle capabilities alle app.



preferisco analizzare i rispettivi modelli di capability dell' uno e dell' altro kernel...

windows supporta le capabilities??


dimmi solo: un gioco gameloft scaricato a 4 euro dal play store è una schifezza ? io utente non avrei diritto a installarlo e giocarvi senza la preoccupazione che numeri telefonici dei miei contatti vengano comunicati a chissà chi, o mi vengano addebitati chissà quali extra?
Perché è di quello che parlavo prima... Ah, il gioco NON era identificato come free to play


in che modo android non ti darebbe il controllo su quel gioco? ti dice chiaro e tondo quali permessi il gioco richiede...se ti sta bene lo installi, altrimenti pace

non puoi accusare google o android di aver colpa di cosa il gioco farà una volta che TU gli avrai dato accesso ai tuoi segreti

l'unica critica giusta è quella che muoveva Balthasar, ovvero offrire la possibilità di selezionare i singoli permessi e aumentare i controlli sullo store

La statistica non mente
NON IMPORTA se anche i "cattivi" hanno accesso ai sorgenti, se la qualità del codice migliora e si riducono i bug sfruttabili, per i "cattivi" diventa molto più duro trovare nuovi exploit.

eccomese importa.
android è il sistema più diffuso, ma dove i virus entrano con più facilità.


Nel caso di Android, il fatto che la sicurezza non sia la prima priorità è legato al fatto che è già più che buona ed è pure superiore a quella di Windows

semplicemente non è così, lo dice la statistica.


Inoltre proprio perchè il software è open source, se qualcuno ha esigenze di sicurezza particolari può sviluppare una sua versione "blindata" e/o usare un app store con criteri di sicurezza più stretti.

il tuo ragionamento non va bene: è già da utente android evoluto, non dal ragazzino o dalla signora di mezza età al quale regalano il cellulare per il compleanno.


Due accorgimenti che tagliano la testa al toro ma che attualmente non sono possibili ne con Windows Phone e neppure con iOS.

ma con Windows Phone o iOS non he hai bisogno.


Nel caso non lo sapeste, lo US Army sta finanziando lo sviluppo di "smartphone da battaglia" e guardacaso proprio per i due motivi sopra usano Android.

scusa, ma questo non significa proprio nulla.
la US army (che per me può pure chiudere domani stesso) immagino che realizzi un sistema totalmente personalizzato e blindato.
poi se fra 1 anno uscirà la notizia che sfruttando una falla gli hanno violato il sistema, ci faremo tutti delle grasse risate!:stordita:

la US army (che per me può pure chiudere domani stesso) immagino che realizzi un sistema totalmente personalizzato e blindato.


e sai cos'hanno fatto? hanno istruito il personale e bloccato gli store di terze parti

questo vuol dire che il software è robusto


poi se fra 1 anno uscirà la notizia che sfruttando una falla gli hanno violato il sistema, ci faremo tutti delle grasse risate!:stordita:

e appunto, sono 3 pagine che si continua a ripetere che i malware per android sono praticamente TUTTI trojan, proprio perchè falle di quel tipo non se ne trovano da sfruttare

se poi parliamo di statistiche, allora considera numero di falle di android / market share e fai lo stesso con i competitor

ti accorgerai che ( statisticamente ) ha più falle un windows phone che, a memoria, ne ha una sfruttabile http://thehackernews.com/2013/08/hacking-windows-phone-wifi-tool-download.html

riguardo apple c'è semplicemente poca informazione in giro...primo perchè lo share è ridotto e quindi, anche se ci sono malware in circolazione, è più difficile che vengano scoperti....secondo perchè l'azienda ha una politica di totale opacità relativamente a questi problemi ( vedi il bug ssl presente da mesi e mai patchato )

non ci sono molte parole da dire a chi afferma una cosa del genere...

e sai cos'hanno fatto? hanno istruito il personale e bloccato gli store di terze parti


ovvero, lo hanno "blindato"


questo vuol dire che il software è robusto

no, vuol dire che lo hanno blindato per evitare danni.


e appunto, sono 3 pagine che si continua a ripetere che i malware per android sono praticamente TUTTI trojan, proprio perchè falle di quel tipo non se ne trovano da sfruttare

trojan o no sempre di vulnerabilità si parla.
e statisticamente android è il più vulnerabile.


ti accorgerai che ( statisticamente ) ha più falle un windows phone che, a memoria, ne ha una sfruttabile http://thehackernews.com/2013/08/hacking-windows-phone-wifi-tool-download.html

"a memoria"? ma se sarai corso a googlare in cerca di una vulnerabilità di WP (contro le statistiche di android) tanto per avvalorare le tue tesi! :p

riguarda prevalentemente il mondo consumer.


Si. Del resto è lì che sta il grosso problema. Un'azienda c'avrà un minimo di politiche per contenere il malware, sia sui server sia sui pc.

ovvero, lo hanno "blindato"

E allora dobbiamo definire i termini "infezione", "blindato" e "malware". Quando si parla di un software, ci si riferisce ( in genere ) ai problemi di sicurezza che quel software genera attraverso vulnerabilità ivi presenti. L'utente, gli store, le politiche sciatte nel bannare le app, non sono conteggiate tra i problemi creati dal software.

E infatti io stesso ho scritto che android è estremamente robusto, l'ecosistema google android necessita invece di una bella ripulita. L'utente, beh, a meno che non ci pensi la scuola, non so come altro si potrebbe/dovrebbe fare.



no, vuol dire che lo hanno blindato per evitare danni.

impedire l'accesso a store esterni è blindare? l'hanno fatto perchè si sono accorti che il 99.99% del malware android arriva dai trojan, soprattutto quelli craccati che si trovano su store di terze parti

ergo, siccome il software è robusto, eliminati i trojan si elimina il grosso del problema




trojan o no sempre di vulnerabilità si parla.


NO!!! la vulnerabilità è un difetto del software, qui parliamo di malware che non usano difetti nel software


e statisticamente android è il più vulnerabile.


NO!!! la statistica deve contemplare il market share, altrimenti è fasulla

NO!!! vulnerabile significa che è il software ad avere buchi


"a memoria"? ma se sarai corso a googlare in cerca di una vulnerabilità di WP (contro le statistiche di android) tanto per avvalorare le tue tesi! :p

NO!!! leggo TheHackerNews tutti i giorni! E leggo pure le sezioni reverse engineering, cryptography e information security di StackExchange!

Ripeto: "affermare che android è vulnerabile ( senza specificare cosa s'intende per vulnerabile ) è pure FUD"

Android non ha problemi software, ha problemi nella gestione dello store, nel fatto che esistano store non controllabili, nel fatto che gli OEM facciamo quello che gli pare, infine nel fatto che l'utente non abbia la più pallida idea di cosa siano i permessi/capabilities e quando/se accettare un'applicazione troppo invasiva.

Riguardo Google le cose da fare sono due:

1. permettere di settare i singoli permessi per ogni app, quindi bloccando certe funzionalità delle app, ma lasciando comunque che l'applicazione s'installi e funzioni
2. cercare di ripulire lo store il più possibile

OEM e store di terze parti, sono un problema dell'utente che compra e di quello che scarica a manetta roba craccata.

Android non ha problemi software...

anche xp se lo "blindi" non ha problemi, che ragionamenti sono..

Beh oddio qualche differenza c'è.
Android la domanda di "posso farlo" te la fa poi se tu rispondi "si" mica è colpa delle fondamenta del sistema.

Allora per te sono fallaci anche gli antifurti per auto, perché se io ti chiedo le chiavi per fare un giro e tu me le dai.
Poi se io scappo con l'auto è colpa dell'antifurto ?

Magari si può solo dire che vista la tua ingenuità (solo esempio dell'auto) forse sarebbe meglio che ci fosse un servizio di filtro che discrimini le amicizie o conoscenze che tu possa avere.
Insomma un genitore che vegli su di te (utente generico) e ti tenga lontano dalla cattive frequentazioni.
Ma non per questo si può dire che l'auto è fallata visto che permette di essere violata da tutti quelli a cui io/te do/dai le chiavi.

Windows XP non è una schifezza, però esempi in passato di falle ne ha avuti e mi pare non pochi.
E scusa se c'è differenza tra aprire l'auto perché il possessore sprovveduto dà o perde le chiavi, ed aprirla perché c'è un difetto nella serratura e posso aprirla anche senza chiavi.

anche xp se lo "blindi" non ha problemi, che ragionamenti sono..

E Sasser? E tutti gli altri worm che ti bucavano senza che tu dovessi premere un tasto? Vedi, su Android questo genere di malware NON ESISTE!!!

Tutto qui. E' inutile che porti avanti le solite provocazioni, fingendo di non capire che un software malevolo INSTALLATO DALL'UTENTE è molto diverso da uno che SI INSTALLA DA SOLO sfruttando bug nel software.

E faccio notare che un trojan non c'ha un attributo trojan settato nel manifest, per cui è completamente indistinguibile ( almeno vai software ) da un programma lecito!!!

Se rileggi i miei post <...>

l'unica critica giusta è quella che muoveva Balthasar, ovvero offrire la possibilità di selezionare i singoli permessi e aumentare i controlli sullo storee se tu rileggi i miei ti accorgerai che stavo praticamente facendo lo stesso discorso

come avresti notato se avessi letto i miei post precedenti e l' articolo linkato (ma è evidente che non l' hai fatto) selezionare i singoli permessi è esattamente la funzione del tool a cui mi riferivo (AppOps) che google ha prima inserito e poi rimosso
rimozione che in questo contesto acquista una rilevanza e se vogliamo una gravità, non indifferente, dal momento che fa pensare google osteggi attivamente proprio quello di cui tutti quanti stiamo parlando
ma perchè rimuovere AppOps e con esso la possibilità di inibire singolarmente i permessi alle app? paura che i dati personali dell' utente circolino meno liberamente?

in aggiunta (non in contraddizione) a ciò, facevo una considerazione di altro tipo
liquidare con "chi è causa del suo mal, ecc. ecc" la questione di chi clicca "accetto" per installare un apk, è semplicistico, miope e se vogliamo un tantino elitista
perchè se io scarico, ribadisco dal play store (quindi una fonte affidabile, non proprio un sito warez) un qualunque gioco che so non essere "social" (quindi non avere bisogno di accesso alla rete nè tantomeno alla mia SIM) pagandolo anche 3-4 euro, mi aspetto di poterlo installare e usare confidando che non faccia porcate
ma se al momento di installarlo mi è richiesto di autorizzare in blocco tutta la serie di capabilities (perchè di default il mio così come quasi qualunque smartphone non rootato non permette l' impostazione fine), pena non poter giocare (sprecando di fatto i soldi dell' acquisto), la mia aspettativa viene tradita - e d' altra parte ci vorrebbe una motivazione molto solida per dimostrare che essa non fosse giusta e sensata in prima istanza..
trattandosi di una fonte ritenuta affidabile, mancando indicazioni a priori e il controllo a posteriori, sulle capabilities richieste, lo scenario dell' "incauto acquisto" non è contemplato nè ammisibile
in che modo android non ti darebbe il controllo su quel gioco? ti dice chiaro e tondo quali permessi il gioco richiede...se ti sta bene lo installi, altrimenti pace"pace" per modo di dire
oltre a non essere applicato un minimo di controllo sulle applicazioni presenti e sulle capability effettivamente necessarie caso per caso in base al tipo di app, sul play store non sono indicati i permessi richiesti da una applicazione o gioco prima di scaricarlo, sono indicati dopo, al momento di installare l' apk una volta scaricato
a me pare ci sia una certa differenza, a te no? in particolare non pensi che un utente potrebbe, vedendo che una app richiede l' accesso completo, pensarci due volte prima di scaricarla (soprattutto se a pagamento)?
windows supporta le capabilities??belìn (genovesismo) ;)

il kernel NT prevede un modello MAC con una serie di capability a granularità fine, access token (gruppi di capability associati a utenti -> processi) modulabili e filtrabili, ACL con entry a loro a volta molto più granulari dei permission bit posix, e che quasi ogni oggetto (file, socket, thread, message port, registry key..) sia securable, dall' alba dei tempi... le acl in particolare erano mandatory da prima che venissero implementate per default su linux

User e Administrator su NT sono solo nomi per due profili utente predefiniti e "agli estremi del range", ma teoricamente si possono creare profili arbitrari in maniera assai precisa
il problema è che leggere la documentazione e "perdere tempo" a creare profili utente (fare "amministrazione" di sistemi NT al livello a cui la si farebbe su sistemi unix) è qualcosa che quasi nessuno fa(ceva) limitandosi a usare quelli di default - peggio ancora, il default proposto da MS era il profilo amministrativo
quello che ha finito per minare la reputazione e la percezione del grande pubblico della sicurezza del sistema, è in effetti una questione di interfaccia e impostazioni di default, che non rendeva giustizia alla tecnologia sottostante

Scusate ma io so che android non è che sia tutto questo opensource.
Cioè, tra i progetti open è il meno open.

C'è stata una diatriba incredibile la settimana scorsa, proprio su questo punto. OSNews ha ribadito che si tratta di opensource a tutti gli effetti, idem alcuni ingegneri di Google, mentre un articolista di Arstechnica ha sostenuto il contrario.

Comunque sia, AOSP ( Android Open Source Project ) è 100% codice aperto. Puoi farci quello che vuoi. Forkarlo, ricompilarlo, modificarlo, ecc...

A non essere open sono i Google Web Services ( mappe, gmail, google+, play store e via dicendo ). Tuttavia, anche senza GWS puoi crearti un sistema Android 100% funzionante.

Per lo meno Google ha sempre distinto nettamente Android dai suoi servizi proprietari.


Questi sono, non solo nel campo dei cell ma in tutti gli ambiti, i requisiti ideali per abbassare il livello di sicurezza.

E' vero, se consideriamo nel mix anche gli OEM pasticcioni e che non aggiornano il software.

Però è anche il metodo più rapido per garantire la diffusione di un sistema e di creare un'ecosistema in cui i vari attori ( oem, odm, sviluppatori, utenti ) possano godere di massima libertà di scelta e d'azione. Giusto a titolo d'esempio, la società capitalistica è basata sullo stesso principio di totale apertura. Windows si è impostato sui pc per lo stesso motivo!


Lo trovo ridondante, caotico, e privo totalmente di privacy.

Non che apple ti garantisca maggiore privacy, visto che tutte le multinazionali americane vanno a braccetto con la NSA.

perchè se io scarico, ribadisco dal play store (quindi una fonte affidabile, non proprio un sito warez) un qualunque gioco che so non essere "social" (quindi non avere bisogno di accesso alla rete nè tantomeno alla mia SIM) pagandolo anche 3-4 euro, mi aspetto di poterlo installare e usare confidando che non faccia porcate
ma se al momento di installarlo mi è richiesto di autorizzare in blocco tutta la serie di capabilities, pena non poter giocare (sprecando di fatto i soldi dell' acquisto)fortunatamente si puo' chiedere il rimborso entro 15 minuti dall'acquisto. Certo troverei più corretto poter leggere le autorizzazioni prima dell'acquisto e non solo al momento del download.

E Sasser? E tutti gli altri worm che ti bucavano senza che tu dovessi premere un tasto? Vedi, su Android questo genere di malware NON ESISTE!!!

ma non importa, io non stavo parlando del tipo di attacco, io stavo parlando della statistica degli attacchi.


Tutto qui. E' inutile che porti avanti le solite provocazioni, fingendo di non capire che un software malevolo INSTALLATO DALL'UTENTE è molto diverso da uno che SI INSTALLA DA SOLO sfruttando bug nel software.

nessuna provocazione.
quello che tu dici è molto diverso su tutti i SO, non solo su android.

ricordavo male, tanto meglio.

ma non importa, io non stavo parlando del tipo di attacco, io stavo parlando della statistica degli attacchi.


ok, quindi stai dicendo che google fa poco per tenere lontani i trojan, giusto!?!

però non puoi non ammettere che android ( il software ) sia molto molto robusto e sicuro

ma se parliamo di trojan, store e utenti, noterai che l'anello debole è proprio quest'ultimo....un sistema operativo non ha nessun modo di riconoscere "a pelle" un malware

c'hanno provato i produttori di antivirus, si sono inventati elenchi pieni di firme virali, c'hanno provato con le euristiche, hanno provato a studiare il comportamento dei programmi per scovare i malware....nada, niet, non ci si riesce!!!

google può solo aumentare i controlli sul SUO store, ma resterebbero comunque fuori gli OEM pasticcioni/svogliati/incompetenti/malevoli e gli store di terze parti

è il prezzo da pagare per la libertà, altrimenti si compra un fascist-phone della Apple e pace ( ammesso che siano più sicuri per davvero!! )

eccomese importa.
android è il sistema più diffuso, ma dove i virus entrano con più facilità.

QUALI virus ? Esiste una precisa definizione di virus informatici e per quelli Andorid sta a zero.


semplicemente non è così, lo dice la statistica.
Su Windows girano VERI virus informatici, su Android no. Questo ci dicono le statistiche. Per questo è sin troppo ovvio che le misure di sicurezza di Android sono buone.

il tuo ragionamento non va bene: è già da utente android evoluto, non dal ragazzino o dalla signora di mezza età al quale regalano il cellulare per il compleanno.
Il mio ragionamento non era riferito all'utente ma ai produttori di dispositivi, se non lo fanno è perche il livello di sicurezza è sufficientemente buono per l'uso comune.

ma con Windows Phone o iOS non he hai bisogno.

CREDI di non averne bisogno, visto che entrambe le aziende che stanno dietro di essi prediligono l'approccio "security by obscurity", ma chiunque abbia fatto una seria analisi dei rispettivi SO ha ben evidente che si basano essenzialmente sugli stessi meccanismi di sicurezza usati su Android.

I "cattivi" non hanno alcun interesse a rendere pubblica l'esistenza di falle da cui ricavano soldi in un modo o l'altro, se i sorgenti non sono accessibili il produttore ha ancor meno incentivi a rendere pubblici difetti o problemi gravi e fornire i relativi fix ed aggiornamenti, così alla fine chi se lo prende in quel posto è l'utente che crede di avere un sistema più sicuro ma che in pratica è messo peggio che con Android.

scusa, ma questo non significa proprio nulla.
la US army (che per me può pure chiudere domani stesso) immagino che realizzi un sistema totalmente personalizzato e blindato.
poi se fra 1 anno uscirà la notizia che sfruttando una falla gli hanno violato il sistema, ci faremo tutti delle grasse risate!:stordita:

Significa che hanno scartato sia WP che iOS perchè erano quantomeno non migliori sul lato della sicurezza. :read:

QUALI virus ? Esiste una precisa definizione di virus informatici e per quelli Andorid sta a zero.



Su Windows girano VERI virus informatici, su Android no. Questo ci dicono le statistiche. Per questo è sin troppo ovvio che le misure di sicurezza di Android sono buone.


Il mio ragionamento non era riferito all'utente ma ai produttori di dispositivi, se non lo fanno è perche il livello di sicurezza è sufficientemente buono per l'uso comune.



CREDI di non averne bisogno, visto che entrambe le aziende che stanno dietro di essi prediligono l'approccio "security by obscurity", ma chiunque abbia fatto una seria analisi dei rispettivi SO ha ben evidente che si basano essenzialmente sugli stessi meccanismi di sicurezza usati su Android.

I "cattivi" non hanno alcun interesse a rendere pubblica l'esistenza di falle da cui ricavano soldi in un modo o l'altro, se i sorgenti non sono accessibili il produttore ha ancor meno incentivi a rendere pubblici difetti o problemi gravi e fornire i relativi fix ed aggiornamenti, così alla fine chi se lo prende in quel posto è l'utente che crede di avere un sistema più sicuro ma che in pratica è messo peggio che con Android.



Significa che hanno scartato sia WP che iOS perchè erano quantomeno non migliori sul lato della sicurezza. :read:

Certo paragonare i virus di un S.O. desktop con quelli di un S.O. mobile..

La US Army (e tante altre forze armate) usa windows mobile.. se ora sceglie di usare Android (la versione Aosp) è per staccarsi da microsoft e crearsi un S.O. proprietario partendo da quel codice (come stanno facendo i cinesi tra l'altro..).

Peccato che tutti dimenticano che AOSP (il progetto Open Source) è GOOGLE (che non mi pare sia una Multinazionale Indonesiana..), lei sceglie di rendere libero quel codice.. e tra l'altro vari componenti AOSP sono rimasti al 2010..

In ogni caso è una polemica inutile.. OGNI sistema ha le sue falle, le uniche armi di difesa sono 1) La chiusura (vedi WP e IOS) 2) la scarsa diffusione..

e tra l'altro vari componenti AOSP sono rimasti al 2010..

Non scriviamo inesattezze please https://github.com/android

Guarda le date dei commits e noterai che i repository sono aggiornati. Del resto Android x86 e tutti i vari Android-bastardizzati non mi pare usino versioni dei sorgenti del 2010!!

In ogni caso è una polemica inutile.. OGNI sistema ha le sue falle, le uniche armi di difesa sono 1) La chiusura (vedi WP e IOS) 2) la scarsa diffusione..

La chiusura NON è una difesa efficace, tutti i precedenti SO "chiusi" sono sempre stati pieni di falle da paura, ufficialmente ignote all'azienda stessa che li sviluppava ma ampiamente in uso tra i "cattivi".
Non parliamo poi di backdoor ed uova di pasqua inserite per motivi di ogni genere.

La US Army (e tante altre forze armate) usa windows mobile.. se ora sceglie di usare Android (la versione Aosp) è per staccarsi da microsoft e crearsi un S.O. proprietario partendo da quel codice (come stanno facendo i cinesi tra l'altro..).

Primo: chi sviluppa dispositivi basati su Windows Mobile ha accesso ai sorgenti (licenza shared source).
Secondo: fornitori della difesa producevano dispositivi che usavano Windows CE o Windows Mobile, ma le specifiche che interessavano ai militari era il rispetto dei protocolli di comunicazione e le funzionalita del software, non lo specifico SO utilizzato.
Terzo: non hanno alcuna intenzione di sviluppare un SO proprietario, vogliono semplicemente una versione di Android "blindata" perchè altrimenti perdono uno dei vantaggi principali (l'ecosistema di tool e sviluppatori).

Non scriviamo inesattezze please https://github.com/android

Guarda le date dei commits e noterai che i repository sono aggiornati. Del resto Android x86 e tutti i vari Android-bastardizzati non mi pare usino versioni dei sorgenti del 2010!!

Non so se siano inesattezze.

In rete trovi molto materiale, ad es:

http://www.pionero.it/2013/11/08/google-ha-davvero-a-cuore-lopen-source-di-android/

La chiusura NON è una difesa efficace, tutti i precedenti SO "chiusi" sono sempre stati pieni di falle da paura, ufficialmente ignote all'azienda stessa che li sviluppava ma ampiamente in uso tra i "cattivi".
Non parliamo poi di backdoor ed uova di pasqua inserite per motivi di ogni genere.

Non lo so.. Un sistema chiuso che non permette accesso ai sui file di sistema più delicati è certamente più sicuro al di là della bontà in se del S.O.

Certo si deve arrivare ad un compromesso Libertà/sicurezza, e questo vale non solo per i S.O.

In ogni caso volevo solo chiarire che per me Android è un sistema "Sicuro" quanto gli altri, in alcuni aspetti migliore, in altri peggiore.

ok, quindi stai dicendo che google fa poco per tenere lontani i trojan, giusto!?!

per niente, non sto dicendo questo.
sto solo dicendo che la statistica dice che android non è sicuro


però non puoi non ammettere che android ( il software ) sia molto molto robusto e sicuro

se lo fai usare da un utente evoluto che non installa porcherie ed ha una navigazione accorta?
certo, come tutti i SO


ma se parliamo di trojan, store e utenti, noterai che l'anello debole è proprio quest'ultimo....un sistema operativo non ha nessun modo di riconoscere "a pelle" un malware

certo, un SO è inanimato.
ma questo vale per tutti i SO



google può solo aumentare i controlli sul SUO store, ma resterebbero comunque fuori gli OEM pasticcioni/svogliati/incompetenti/malevoli e gli store di terze parti

non lo discuto mica quello che Google può fare o non fa.
io intanto avrei evitato di riempire lo store di migliaia di app cloni di se stesse tanto per fare numeroni per far parlare le masse..



è il prezzo da pagare per la libertà, altrimenti si compra un fascist-phone della Apple e pace ( ammesso che siano più sicuri per davvero!! )

libertà di un SO con il gigante Google alle spalle?
ma per piacere..

Primo: chi sviluppa dispositivi basati su Windows Mobile ha accesso ai sorgenti (licenza shared source).
Secondo: fornitori della difesa producevano dispositivi che usavano Windows CE o Windows Mobile, ma le specifiche che interessavano ai militari era il rispetto dei protocolli di comunicazione e le funzionalita del software, non lo specifico SO utilizzato.
Terzo: non hanno alcuna intenzione di sviluppare un SO proprietario, vogliono semplicemente una versione di Android "blindata" perchè altrimenti perdono uno dei vantaggi principali (l'ecosistema di tool e sviluppatori).

Grazie per le precisazioni.

Questo significa che svilupperanno su Android software degno di chiamarsi tale..

Su Windows Mobile (che ho usato dal 2003 al 2010, e che ancora uso sporadicamente) non esistevano App.. ma software veri e propri che in molti casi ancora non hanno una controparte all'altezza sui S.O. mobili attuali (e mi riferisco a IOS, Android e WP).

libertà di un SO con il gigante Google alle spalle?
ma per piacere..

E' quello che dico io.. non capisco perchè MS ed Apple siano i cattivi e Google il santo.. oggi tutti i S.O. sono veicoli per immagazzinare più informazioni possibili su di noi allo scopo di venderci qualcosa.. Google gli utili come li fa? Distribuendo Santini?

Penso ci sia tanto rincoglionimento in giro..

Non so se siano inesattezze.

In rete trovi molto materiale, ad es:

http://www.pionero.it/2013/11/08/google-ha-davvero-a-cuore-lopen-source-di-android/

appunto

lì c'è scritto che search, musica, mappe, ecc... non fanno di AOSP, ma questo si sapeva già

tu avevi scritto che il codice di AOSP è rimasto fermo al 2010, cosa assolutamente non veritiera

per niente, non sto dicendo questo.
sto solo dicendo che la statistica dice che android non è sicuro


ricominciamo con le rigirate di frittata? l'altra volta ti sei beccato una sospensione e io un'ammonizione

non intendo cascare nello stesso tranello

mi pare di aver ben chiarito che il tuo "android non è sicuro" non si può riferire al software, perchè quest'ultimo non ha visto vulnerabilità SOFTWARE sfruttate da worm e compagnia per diffondersi sui dispositivi android

gli unici malware sono trojan, necessitano che l'utente li scarichi, li installi e gli conceda i permessi richiesti....e questa non è solo statistica, ma un fatto!!!!

sei d'accordo su quest'ultimo punto o vuoi ancora rigirare la frittata?


se lo fai usare da un utente evoluto che non installa porcherie ed ha una navigazione accorta?
certo, come tutti i SO


no, perchè nemmeno un utente evoluto ed accorto può evitare un'infezione da worm







libertà di un SO con il gigante Google alle spalle?
ma per piacere..

chiedilo ad Amazon o ai millemila vendor cinesi che usano AOSP senza restrizioni e censure da parte di Google

La falla in cui un malware può propagarsi senza la richiesta di interazione dall'utenza (sasser (http://windowsitpro.com/security/update-sasser-and-gaobot-worm-variants-attack-iis) ti ricorda niente? Attaccava anche i server oltre ai desktop) infatti io non mi riferivo alla richiesta di interazione dell' utenza in sè, parlavo di quali e quanti strati sw sono installati e a runtime attraversati, per servirla
parlavo di quella che in altre occasioni è definita "superficie attaccabile"
la quale su un web server e su un desktop sarà differente in semplice conseguenza dell' avere installato, il primo giusto l' essenziale al funzionamento ed eventualmente alla gestione del servizio, il secondo tutto ciò che può servire per fornire un' esperienza utente completa
il problema di sasser è che un servizio vulnerabile era installato per default andando ad aumentare (in maniera prevedibile) la superficie attaccabile
o un malintenzionato accedere al computer e prenderne il controllo può esserci sia nei server che nei desktop, e dato che linux è presente prevalentemente sui server cosi come windows è presente prevalentemente sui desktop la teoria che "linux non è attaccato perché poco utilizzato" non ha il minimo sensocosì come non ne ha quella "è utilizzato sui server web ERGO è sicuro" (che in effetti è una logica fallace per vari motivi)

in realtà se si specifica "..poco utilizzato sui desktop" - cioè dove sarebbe più remunerativo attaccarlo - la frase sopra acquista un certo senso...
i siti più importanti girano su linux, e ci sarebbe tutto il motivo di attaccarlima anche no...
il motivo per cui si attacca i client è perchè è appunto molto più redditizio (*) e a più alte probabilità di successo (**) e richiede il minore sforzo (***)

(*) i terminali contengono o generano dati effettivamente sensibili, e sono estremamente più numerosi (anche di vari ordini di grandezza) dei server, mentre un server Web di per sè difficilmente contiene dati sensibili... anche i DB di supporto dei sistemi affacciati su web, operano tipicamente su server a parte o istanze vmware a parte, che è quasi lo stesso, separati da livelli di firewalling - e non è detto che l' os su cui girano sia a sua volta linux
(**) sui server l' immagine binaria (kernel - versione base più customizzazioni della distribuzione specifica - più librerie - idem - e altri servizi) di runtime se non si può dire unica per ogni sistema, quantomeno si ripete identica con molta minore frequenza, e di conseguenza anche la diffusione di un exploit una volta trovata una vulnerabilità sarà molto più contenuta, di sistemi su cui uno stesso OS è deployed invariato (o al più in una manciata di varianti, peraltro compatibili tra loro) in centinaia di milioni se non miliardi di copie
(***) preso controllo del sistema, su un client i dati di valore sono a portata di mano, mentre su un server sarebbe solo il primo passo per poi andarli a cercare sulla rete interna - ammesso e non concesso che il server web e quello aziendale siano sulla stessa rete, sarebbe comunque un lavoro non da poco)
(http://toolbar.netcraft.com/stats/topsites , guardati i report di ogni sito)i report mi dicono che usano linux come webserver - quello che posso dire è: bene, buon per loro :)
ma i report mi dicono qualcosa sul modello di sicurezza di android (che oltre a una versione customizzata di linux prevede una userland del tutto differente da quella tipica di uno stack LA*P)? no? allora non sono rilevanti in questo contesto... ;)
p.s.
ho detto che ha sparato idiozie, non che è idiotafidati, è lo stesso ;)
la seconda è una vera e propria offesa, ma anche tacciare l' interlocutore di "sparare idiozie" non combacia con la definizione di educazione e rispetto per esso, da ex moderatore ti posso dire che una volta saresti stato ammonito lo stesso ;)
Stai sparando falsità ed inesattezze a non finire, dimostrazione che non sapete neanche di quello che parlate:ti dirò... ammetto di poter ricordare male od essere rimasto ad una vecchia versione del client Google Play dato l' uso a dir poco sporadico che ho fatto dello smartphone (al di fuori del testing di applicazioni sviluppate da me)

e potrei anche dirti di essere contento di sbagliarmi su questo particolare punto, se le nuove versioni client permettono di conoscere a priori i permessi necessari, tanto meglio
ma c'è modo e modo di farlo notare ;)

mi pare di aver ben chiarito che il tuo "android non è sicuro" non si può riferire al software, perchè quest'ultimo non ha visto vulnerabilità SOFTWARE sfruttate da worm e compagnia per diffondersi sui dispositivi android

guarda pabloski, ti do' ragione al 100%, ma evita di continuare a rispondere a chi dice "os non sicuro" perche' ci sono trojan, vuol dire che il tipo non ha la competenza per scrivere di certe cose.
lascia perdere che gia' io spesso mi faccio venire il fegato grosso come un'anguria a sentire certe str.....

@Solemareluna: non so se stai cercando di fare una massiccia propaganda anti-Android, ma nell'articolo che hai postato non viene minimamente data la colpa ad Android.

Si dice che le app bancarie ( indipendentemente dal sistema operativo ) sono piene di bug.

il rapporto Cisco parla chiaramente di Android come poco sicuro.


quale rapporto esattamente?


il link ce scritto che sono state analizzate app ANDROID.


si, però tu avevi scritto

il problema sembra dovuto proprio al "mondo Android"

e aggiunto

Da quello che ho capito le app possono avere accesso libero praticamente a tutto.
Non ci sono controlli e precise regole dunque gli sviluppatori fanno un po "come cavolo gli pare".

Intendendo che il sistema operativo è scritto da cani e i dati sono in balia del primo pirata che passa.

Se l'italiano no è un'opinione, le accuse erano rivolte ad Android. Nell'articolo invece si accusano le app, non Android. Si specifica semplicemente che sono state analizzate le versioni per Android di quelle app, ma non si imputano le vulnerabilità al sistema operativo nè esplicitamente nè implicitamente.

Stavolta sono daccordo nel non colpevolizzare Android, è il sistema mobile più diffuso, quindi è ovvio che sia il più attaccato.. Andorid NON è intrinsecamente più attaccabile di altri S.O., anzi.

Però chi è senza peccato scagli la prima pietra.. in questo forum ci sono tanti professoroni pronti a spaccare il capello in 4 sulla presunta superiorità di Android su tutto l'universo conosciuto e sulla "Santità" di google a cui tutti dobbiamo rendere omaggio.. si fa continuamente cattiva propaganda a Wp, IOS.. a va bè ma lì è giusto.. loro sono i cattivi.. ah poveri noi..

appunto

lì c'è scritto che search, musica, mappe, ecc... non fanno di AOSP, ma questo si sapeva già

tu avevi scritto che il codice di AOSP è rimasto fermo al 2010, cosa assolutamente non veritiera


E' vero hai ragione, mi riferivo solo alle applicazioni principali del S.O...
E come mai secondo te tutte queste applicazioni sono rimaste così indietro, mentre quelle di google vengono aggiornate? Android non è un progetto che Google dall'alto della sua misericordia ha deciso di donarci? Ah si è vero tutti possono prendere il codice e farci le proprie app.. daltronde se non fosse stato così Android oggi avrebbe il 3% del mercato e google avrebbe introitato miliardi di dollari in meno.. chi se lo sarebbe ca....to un cellulare prodotto da google (che non ha ed aveva esperienza nel progettare e costruire smartphone) con android 1.6 sopra? Voi parlate di Trojan, secondo me Google ha usato Android come Trojan.. da motore di ricerca a super colosso nella fornitura di servizi..(10 ave maria e verrò perdonato per il pensiero impuro?).. e tra poco tutti ad osannare Chromebook.. è libero e 100000 volte più potente di Win e linux, vuoi mettere tutte quelle cacatine di App con i software veri?
Anni fa mi incaxxavo contro il pensiero dominante di windows e seguaci.. oggi purtroppo le cose si sono invertite..

E' vero hai ragione, mi riferivo solo alle applicazioni principali del S.O...
E come mai secondo te tutte queste applicazioni sono rimaste così indietro, mentre quelle di google vengono aggiornate?


Applicazioni principali? Quali esattamente?

Ce ne sono alcune che fanno parte di GWS, ma quelle non sono incluse in AOSP. Onestamente non vedo quali sarebbero queste applicazioni vecchie contenute in AOSP. Quelle che ci sono le aggiornano, le altre semplicemente non ci sono.


Ah si è vero tutti possono prendere il codice e farci le proprie app.. daltronde se non fosse stato così Android oggi avrebbe il 3% del mercato e google avrebbe introitato miliardi di dollari in meno.. chi se lo sarebbe ca....to un cellulare prodotto da google (che non ha ed aveva esperienza nel progettare e costruire smartphone) con android 1.6 sopra? Voi parlate di Trojan, secondo me Google ha usato Android come Trojan.. da motore di ricerca a super colosso nella fornitura di servizi..(10 ave maria e verrò perdonato per il pensiero impuro?).. e tra poco tutti ad osannare Chromebook.. è libero e 100000 volte più potente di Win, vuoi mettere tutte quelle cacatine di App con i software veri?

Onestamente non capisco come dal tuo commento precedente sui "professoroni" sboroni e fanboy, tu sia passato ad un simile commento pieno di astio verso un'azienda che, nonostante tutti i suoi difetti, non è peggiore delle sue concorrenti.

Parli della misericordia di Google in senso dispregiativo. Forse Microsoft o Apple hanno fatto altrettanto? Non mi pare che io possa usare il codice di windows per produrmi un OS custom per le mie esigenze.

Capisco che il successo di Android faccia male ai fan della concorrenza, ma cerchiamo di mantenere un pò di contegno :asd:

Applicazioni principali? Quali esattamente?

Ce ne sono alcune che fanno parte di GWS, ma quelle non sono incluse in AOSP. Onestamente non vedo quali sarebbero queste applicazioni vecchie contenute in AOSP. Quelle che ci sono le aggiornano, le altre semplicemente non ci sono.



Onestamente non capisco come dal tuo commento precedente sui "professoroni" sboroni e fanboy, tu sia passato ad un simile commento pieno di astio verso un'azienda che, nonostante tutti i suoi difetti, non è peggiore delle sue concorrenti.

Parli della misericordia di Google in senso dispregiativo. Forse Microsoft o Apple hanno fatto altrettanto? Non mi pare che io possa usare il codice di windows per produrmi un OS custom per le mie esigenze.

Capisco che il successo di Android faccia male ai fan della concorrenza, ma cerchiamo di mantenere un pò di contegno :asd:

Io non sono un fan della concorrenza, è vero il contrario: ci sono troppi "adepti" di Android/Google che non hanno il minimo senso dell'obbiettività.. e poi sai che ti dico: Apple e MS nel bene e nel male non hanno mai preso in giro nessuno.. fanno S.O. (Apple anche hardware) da circa 40 anni.. e non hanno mai detto di pensare al bene comune.. hanno sfruttato tutte le armi legali (e a volte non) per sbaragliare la concorrenza e fare più profitti.. Google col mito dell'opensource ha fregato tutti facendo enormi margini di guadagno e venendo pure applaudita ed adorata.. sempre a ripetere che il codice è libero e si possono fare os custom (Guarda caso sempre utilizzando qualche servizio di google..).. perchè se Samsung/Nokia/Htc customizza Android il cellulare è gratis? Questo sarebbe un pregio? Avere tanti Android diversi (ma sempre con google play store.. altrimenti non servono a niente..) dovrebbe essere un vantaggio rispetto ad un altro S.O.? Dimmi che vantaggio ho io oggi (e questo non vale solo per Android) ad avere uno smart 100 volte più potente di 5-6 anni fa che non mi fa girare programmi più potenti di 5-6 anni fa, anzi spesso non sono neanche all'altezza.. con sta mania delle app si è distrutto qualunque software serio che ci potesse girare sopra.. io sono ancora costretto ad utilizzare a volte un HTC cruise 2 con WM 6.1 perchè li ho PocketPlan che mi apre, modifica e crea file di MS Project ad un livello che oggi non esiste su alcun S.O... eppure parliamo di un fetente di processore single core a 400mhz con 128 mb di ram.. se allora ci fossero stati vari servizi disponibili su internet come oggi.. si potrebbe dire che WM è di molto superiore ad Android/WP/IOS, ti rendi conto dell'assurdità?
A proposito io a casa ho solo Linux (Xubuntu ed Ubuntu) installati sui miei net.. vedi come sono fan della concorrenza?
Probabilmente mi da fastidio l'ipocrisia e la manipolazione delle cose...

Come "mondo android" intendo proprio tutto.

Dal sistema operativo, a come viene gestito, allo store e all'utilizzatore ecc. ecc.

Dall'articolo, sempre che non sia inventato di sana pianta, si capisce invece che e' possibilissimo creare un app che a sua volta crei una criticità di sicurezza!

Se permetti ha poco senso giudicare Android in senso assoluto svincolato dal contesto, o perlomeno a me proprio non riesce..

E' come se una banca avesse la cassaforte fantastica e indistruttibile (Android).
Se poi la banca viene lasciata con porte aperte (nessun controllo sullo store).
Senza regole (politica di google).
O le pareti sono sfondabili (Criticità delle app)

Per me questa banca non e' sicura.

Ma diciamo che Android e' sicurissimo.

Sarai d'accordo con me che c'e' qualcosa che non torna... o no?

cmq il rapporto annuale Cisco era uno spunto per discutere:
https://www.appsquare.it/starbytes/permalink/cisco-il-nuovo-rapporto-sulla-sicurezza-evidenzia-come-windows-phone-risulti-piu-sicuro-di-android.action

http://www.corriere.it/tecnologia/mobile/14_gennaio_22/attacco-apple-android-rischio-virus-malware-schiller-be376c84-836f-11e3-9ab1-851e2181383b.shtml

e cosi via.. poi cercando trovi proprio il pdf originale in inglese

ad una prima lettura cmq sembrerebbero parlare anche di attacchi web oriented e non solo di app installate volontariamente dall'utilizzatore.

Per quanto non ami il "Lato oscuro" di Android, ti assicuro (da addetto ai lavori stavolta..) che Android in questo senso non è più vulnerabile di altri S.O. mobili e non. Gli applicativi bancari (con i conseguenti dati sensibili) sono da sempre il principale obiettivo dei truffatori, le applicazioni sotto Android ricevono più attacchi semplicemente perchè sono quelle più utilizzate (Molte banche non hanno nemmeno apps sotto Wp..)..
Oggi la maggior parte delle banche per le disposizioni utilizzano un token con codici random della durata di un minuto circa (alcuni lo rendono visibile premendo un pulsante). Ecco esistono dei server dove ci sono dei programmi che ad ogni token (numero seriale) fisico corrisponde un token virtuale sincronizzato con lo stesso algoritmo di generazione di codice (molti utilizzano una azienda israeliana come fornitrice di questi algoritmi..). Ad oggi questo sistema (parliamo di circa 9 anni ormai) non è stato mai craccato, quindi utilizzato correttamente non esiste che ti sparano bonifici a tua insaputa sul tuo c/c, pur se si appropriano dei tuoi codici di accesso, possono vedere i tuoi movimenti, ma per fare disposizioni hanno bisogno o del token fisico o di un programma che genera il codice del tuo token.. Infatti oggi la maggiorparte delle truffe nell'ambito bancario vengono effettuate tramite furto di identità.. direttamente agli sportelli..

è vero il contrario: ci sono troppi "adepti" di Android/Google che non hanno il minimo senso dell'obbiettività..


i fanboy ci sono ovunque, dal calcio ai gelati


e poi sai che ti dico: Apple e MS nel bene e nel male non hanno mai preso in giro nessuno..

sicuro? tipo quando Apple sbandierava l'invulnerabilità del suo Mac OS X? o quando MS spalava FUD su linux?

siamo seri, le multinazionali americane non hanno nulla da insegnare sotto il profilo della serietà e dell'onestà


e non hanno mai detto di pensare al bene comune..


scusa, mi linkeresti un comunicato in cui Google sostiene di essere il Messia dell'informatica?


Google col mito dell'opensource ha fregato tutti facendo enormi margini di guadagno e venendo pure applaudita ed adorata..


quindi un'azienda non può usare/scrivere codice opensource? altrimenti viene automaticamente bollata come ipocrita?

e riguardo l'essere applauditi ed adorati, microsoft, apple, sony, ecc... c'hanno le loro armate di fanboy adoranti

quindi io la differenza tra google e gli altri non la vedo


sempre a ripetere che il codice è libero e si possono fare os custom (Guarda caso sempre utilizzando qualche servizio di google..)..


perdonami ma sei male informato

ti scariachi AOSP e hai un sistema operativo Android perfettamente funzionante...perchè continui a sostenere che bisogna per forza usare i servizi di google

e Amazon che non li usa? non ha un os funzionante?


Avere tanti Android diversi (ma sempre con google play store.. altrimenti non servono a niente..)


Punto primo, non si tratta di "Android diversi", perchè sono perfettamente interoperabili

Secondo punto, ci sono millemila produttori cinesi che usano AOSP senza il playstore e funzionano alla grande. Questi signori forniscono un loro store ( pure Amazon fa così ). Quindi continuo a non capire il senso della tua critica.



dovrebbe essere un vantaggio rispetto ad un altro S.O.? Dimmi che vantaggio ho io oggi (e questo non vale solo per Android) ad avere uno smart 100 volte più potente di 5-6 anni fa che non mi fa girare programmi più potenti di 5-6 anni fa, anzi spesso non sono neanche all'altezza.. con sta mania delle app si è distrutto qualunque software serio che ci potesse girare sopra..


Onestamente non riesco più a capire da quale punto di vista stai analizzando la faccenda. Dici che le app hanno distrutto tutto, ma le app sono un fenomeno mobile, che include ios, windows phone, firefox os, tizen, ecc... Perchè accusi solo android?


io sono ancora costretto ad utilizzare a volte un HTC cruise 2 con WM 6.1 perchè li ho PocketPlan che mi apre, modifica e crea file di MS Project ad un livello che oggi non esiste su alcun S.O... eppure parliamo di un fetente di processore single core a 400mhz con 128 mb di ram..


Rimane un problema legato all'intero mondo mobile. Ed è una fase che pure i pc hanno dovuto attraverso. Con un Pentium 1 oggi non fai girare nemmeno le routine di bootstrap di windows 8, figuriamoci tutti i millemila programmi che ci sono in giro.


si potrebbe dire che WM è di molto superiore ad Android/WP/IOS, ti rendi conto dell'assurdità?


Seguendo questa logica, si può anche dire che il DOS è molto superiore a windows/macos/windows phone/android/ios/windows mobile, ecc...

E poi non capisco perchè continui ad attribuire il problema SOLO ad android. Non mi pare che i concorrenti girino su hardware di 10 anni fa.

Probabilmente mi da fastidio l'ipocrisia e la manipolazione delle cose...

quale manipolazione? si stava parlando di sicurezza e tu ci metti in mezzo i requisiti hardware

lo sappiamo, il software richiede sempre più potenza, ma è pur vero che il wm di 10 anni non ti dava la possibilità di riprodurre video h264 in fullhd!!


Dall'articolo, sempre che non sia inventato di sana pianta, si capisce invece che e' possibilissimo creare un app che a sua volta crei una criticità di sicurezza!


No, questo non è possibile. L'app ( se scritta male ) può rendere accessibili i SUOI dati. Per il resto Android usa le capabilities, ed ogni app non può ficcanasare nei dati delle altre app.


Se permetti ha poco senso giudicare Android in senso assoluto svincolato dal contesto, o perlomeno a me proprio non riesce..

E' come se una banca avesse la cassaforte fantastica e indistruttibile (Android).
Se poi la banca viene lasciata con porte aperte (nessun controllo sullo store).
Senza regole (politica di google).
O le pareti sono sfondabili (Criticità delle app)


ma la colpa è della banca non della cassaforte

lo stesso vale per android, dove la colpa è di google non del software

quello che mi premeva era fare chiarezza, perchè alcuni hanno ( volutamente ) fatto passare l'idea che android sia pieno zeppo di vulnerabilità sfruttabili da software malevoli


Ma diciamo che Android e' sicurissimo.

Sarai d'accordo con me che c'e' qualcosa che non torna... o no?


non torna perchè si vuole fare di tutte le erbe un fascio...i malware sono una categoria generica che contiene tante tipologie di codici malevoli....un trojan non è un worm, dunque l'essere infettabili dall'uno o dall'altro indica che si ha un punto di debolezza invece che un altro


cmq il rapporto annuale Cisco era uno spunto per discutere:
https://www.appsquare.it/starbytes/permalink/cisco-il-nuovo-rapporto-sulla-sicurezza-evidenzia-come-windows-phone-risulti-piu-sicuro-di-android.action

http://www.corriere.it/tecnologia/mobile/14_gennaio_22/attacco-apple-android-rischio-virus-malware-schiller-be376c84-836f-11e3-9ab1-851e2181383b.shtml

e cosi via.. poi cercando trovi proprio il pdf originale in inglese

ad una prima lettura cmq sembrerebbero parlare anche di attacchi web oriented e non solo di app installate volontariamente dall'utilizzatore.[/QUOTE]

l'analisi di Cisco mi pare che si limiti a dire che ci sono molti trojan per android....bella scoperta!

l'altro articolo, beh, la apple parla di android? e che altro poteva dire?

comunque interessante notare che "SMSSend (andr.smssend), famigerato trojan di fattura russa che viene distribuito tramite APK postati fuori dal Play Store"

quindi il problema sono:

1. utenti sbadati
2. store non ufficiali
3. trojan

come vedi android ( il software ) ne esce benissimo, è semmai l'ecosistema che ruota intorno ad android a non uscirne tanto bene

tuttavia, se rifletti sui 3 punti di sopra, noterai che l'utente è la chiave, e onestamente non vedo cosa google, microsoft, ibm, ecc.... possano fare di fronte ad utenti sbadati

a meno di imporre alla gente una scelta limitata di app, non vedo come altro si possa fare ( e anche questa soluzione non sarebbe perfetta )

i fanboy ci sono ovunque, dal calcio ai gelati


Per chiarire meglio (ed evitare così un taglia e cuci..)


1) Siete voi che la menate sulla superiorità tecnica e morale di Android/Google.
2) Io non ci vedo alcuna superiorità nel fatto che l'AOSP sia utilizzabile da tutti per farci quello gli pare, visto che poi alla fine i risultati sono quelli che si vedono in giro..
3) Android è (Per me) un S.O. mobile fondamentalmente mal riuscito, pesante e confusionario.
4) Quando Android avrà raggiunto il 99% del mercato (cosa auspicata da molti, visto che gli utenti IOS sono degli idioti informatici e quelli di M$ servi del padrone..) e google deciderà di farsi pagare per l'utilizzo dell'AOSP, che facciamo?
5) La mia critica sulle APP non è rivolta solo ad Android (e mi sembra di averlo scritto), anzi il modello l'ha creato Apple..
6) Non puoi paragonare MS Dos ai sistemi di oggi, un foglio elettronico (ad esempio) ha 50000 funzioni in più rispetto a quei tempi.
7) L'esempio dei video full hd è completamente sbagliato, in quanto è una questione di Hardware, mettiamo Wm6.1 su un hardware moderno e vediamo..
8) Il punto è proprio questo: sui S.O. mobili di oggi non gira nulla di meglio che non girasse su Palm e Wm 6.1, e questo è dovuto proprio alle famigerate APP.

Sono talmente fan della concorrenza che non vedo l'ora di mettere la mano su un dispositivo Ubuntu e Firefox per valutarli..

stavo facendo un bonifico con l'app della banca e improvvisamente si e' chiusa e mi e' tornata al desktop...
sono diventato bianco lenzuolo...

comprendo, ma il problema è che l'app della banca è fatta da cani

non possiamo dare la colpa a Google, men che meno ad Android

se la tua banca banca produce app così buggate, non oso pensare in che stato siano i loro server :asd:


Tra me e Google diciamo.. non e' stato proprio amore a prima vista.


per via della banca? devi prendertela con la banca che diffonde app scritte coi piedi


“Abbiamo scoperto che anche dopo la chiusura dell'app, in realtà il suo “processo” era ancora attivo in background per diverso tempo. Questo implica che l’area di memoria che le era stata riservata era ancora al suo posto, con all’interno tutti i dati e le informazioni che aveva utilizzato,


Guarda che gli OS mobile funzionano tutti così. Prova con iOS o Windows Phone, vedrai che le app non vengono chiuse ma semplicemente messe in background/sospensione.

Ti consiglio vivamente di non dar credito a chi scrive ( evidentemente senza conoscere ciò di cui parla ) e di consultare documentazione più seria ed affidabile https://developer.apple.com/library/ios/documentation/iphone/conceptual/iphoneosprogrammingguide/ManagingYourApplicationsFlow/ManagingYourApplicationsFlow.html


Inoltre circa il 75 per cento delle applicazioni delle banche, oltre a tenere username e password “in chiaro” in memoria, le tengono precedute da una sorta di etichetta identificativa, che le rende facilmente riconoscibili”.


Si ok, ma l'amico non dice se lo stesso accade per le medesime app su altri sistemi operativi. Credo fortemente di si, visto che c'è un'enorme base di codice in comune.


da qui sembra invece che sia proprio l' app a creare una criticita'.


e infatti è proprio così


Da profano capisco che se faccio operazioni bancarie e uno che ci sa mi ruba il cell sono fottuto.

ma infatti il cellulare non è assolutamente il mezzo più adatto per svolgere operazioni di questo tipo

ti consiglio di usare una distro linux live, che è stateless e non conserva nessun tipo di dato nè in memoria nè altrove


Ora sarebbe da fare una comparazione e capire se anche le app su iphone per esempio fanno le stesse "minchiate"

http://www.techradar.com/news/software/applications/most-iphone-banking-apps-vulnerable-to-hacking-1214929

questo è lo stato delle app bancarie...e no, i sistemi operativi non ne sono colpevoli

Solo il 10% delle infezioni avviene per cause diverse, non è una statistica ma un'opinione in cui largheggio nella percentuale.
Come ti spieghi altrimenti la prevalenza dei Trojan e del Phishing?

Ma infatti anch'io ho notato che quelli che operano nel cybercrime puntano a 90% a fregare l'utente piuttosto che il software.

Per questo ho ribadito più volte il fatto che il malware android esistente è composto unicamente da trojan.



1) Siete voi che la menate sulla superiorità tecnica e morale di Android/Google.
2) Io non ci vedo alcuna superiorità nel fatto che l'AOSP sia utilizzabile da tutti per farci quello gli pare, visto che poi alla fine i risultati sono quelli che si vedono in giro..
3) Android è (Per me) un S.O. mobile fondamentalmente mal riuscito, pesante e confusionario.
4) Quando Android avrà raggiunto il 99% del mercato (cosa auspicata da molti, visto che gli utenti IOS sono degli idioti informatici e quelli di M$ servi del padrone..) e google deciderà di farsi pagare per l'utilizzo dell'AOSP, che facciamo?
5) La mia critica sulle APP non è rivolta solo ad Android (e mi sembra di averlo scritto), anzi il modello l'ha creato Apple..
6) Non puoi paragonare MS Dos ai sistemi di oggi, un foglio elettronico (ad esempio) ha 50000 funzioni in più rispetto a quei tempi.
7) L'esempio dei video full hd è completamente sbagliato, in quanto è una questione di Hardware, mettiamo Wm6.1 su un hardware moderno e vediamo..
8) Il punto è proprio questo: sui S.O. mobili di oggi non gira nulla di meglio che non girasse su Palm e Wm 6.1, e questo è dovuto proprio alle famigerate APP.

Sono talmente fan della concorrenza che non vedo l'ora di mettere la mano su un dispositivo Ubuntu e Firefox per valutarli..

1. perdonami ma così stai ragionando come gli USA ( o con noi o contro di noi )....io non ho mai parlato di superiorità morale di chicchessia, ho semplicemente ribadito che Android ( il software, di google non me ne frega una cippa ) è estremamente robusto...chiunque abbia studiato i fondamenti dei sistemi di gestione dei permessi, può rendersi conto che android è fatto molto bene sotto questo punto di vista

2. questione di punti di vista, ma non capisco quali sarebbero questi risultati che si vedono in giro....io vedo invece un mercato estremamente fervido, con tante startup, tanti posti di lavoro e un tasso d'innovazione elevato...decisamente diverso ( ad esempio ) dal trentennio Wintel

3. questione di punti di vista, ma ti consiglio di studiarne il codice e l'architettura prima di emettere giudizi affrettati

4. e come farebbe? android è rilasciato sotto licenze open, che vanno dalla gpl alla bsd all'apache....credo tu lo sappia ( visto che ti professi linaro ) che si può fare un bel fork e tanti saluti a google e alla sua ciurma

5. bene, su questo siamo d'accordo ( in parte )....ma onestamente credo che le app siano quello che serve per il mondo mobile...in fondo nessuno si aspetta che uno smartphone gestisce la banca dati del Ministro delle Finanze

6. il foglio elettronico con le 50000 funzioni in più, richiede pure 1000 volte la potenza che avevano i pc allora...dunque la tua affermazione circa i processori da 400mhz, ecc... è completamente fuori dal mondo....

7. no, un attimo....la questione l'hai creata tu affermando che windows mobile girava su hardware ridicolo e faceva LE STESSE COSE che fanno android e soci oggi, necessitando però di hardware molto più potente....se metti windows mobile su hardware moderno, stai vanificando la tua precedente affermazione....

8. punto 7!!! i video full hd...giravano su windows mobile e sull'hardware vecchio? NO!

Per quanto non ami il "Lato oscuro" di Android, ti assicuro (da addetto ai lavori stavolta..) che Android in questo senso non è più vulnerabile di altri S.O. mobili e non. Gli applicativi bancari (con i conseguenti dati sensibili) sono da sempre il principale obiettivo dei truffatori, le applicazioni sotto Android ricevono più attacchi semplicemente perchè sono quelle più utilizzate (Molte banche non hanno nemmeno apps sotto Wp..)..
Oggi la maggior parte delle banche per le disposizioni utilizzano un token con codici random della durata di un minuto circa (alcuni lo rendono visibile premendo un pulsante). Ecco esistono dei server dove ci sono dei programmi che ad ogni token (numero seriale) fisico corrisponde un token virtuale sincronizzato con lo stesso algoritmo di generazione di codice (molti utilizzano una azienda israeliana come fornitrice di questi algoritmi..). Ad oggi questo sistema (parliamo di circa 9 anni ormai) non è stato mai craccato, quindi utilizzato correttamente non esiste che ti sparano bonifici a tua insaputa sul tuo c/c, pur se si appropriano dei tuoi codici di accesso, possono vedere i tuoi movimenti, ma per fare disposizioni hanno bisogno o del token fisico o di un programma che genera il codice del tuo token.. Infatti oggi la maggiorparte delle truffe nell'ambito bancario vengono effettuate tramite furto di identità.. direttamente agli sportelli..

La maggior parte delle truffe di cui parli riguarda quelle banche che non hanno sistemi di messaggistica che avvisano il cliente dell'avvenuto bonifico/pagamento tramite SMS.
Quindi, non è che se sono allo sportello posso sapere chi mi riprende, se qualcuno mi sta guardando, se qualcuno mi ascolta con un microfono direzionale o altro.
Semplicemente faccio le mie operazioni e vivo sereno convinto che la banca stessa abbia diversi livelli di protezione.
E per come la vedo io, mi possono anche fottere l'identità allo sportello ma se arrivo a casa e mi arriva un SMS che mi avvisa di una disposizione di pagamento qualche domanda me la pongo....:asd:
Certo, se il tutto si basa su un'app che magari finisce in uno store che nessuno controlla grazie al cavolo che succedono casini.
Mi sono letto tutto il topic, il fatto che certi casini non succedono con WP e IOS centra poco con la diffusione.
Con un android da 100 euro è più difficile che uno si installi l'app per fare operazioni bancarie visto che probabilmente è un telefono che finisce in mano al ragazzino piuttosto che alla mamma che va a fare la spesa.
Quindi la diffusione centra in minima parte, i devoti di Android vogliono forse far credere a tutti che IOS lo hanno solo 4 gatti e nessuno lo usa per fare acquisti o operazioni bancarie?
Suvvia....E' quasi esclusivamente un discorso che riguarda gli store, come vengono controllati, come vengono gestiti e quanta possibilità hanno gli utenti esperti come quelli inesperti di mettere mano a un sistema aperto.

Come può essere attaccato il servizio che veniva sfruttato su windows, possono essere sfruttati anche quelli su android.. peccato però che non se ne sia sentito ancora uno di malware che si propaga automaticamente tramite una servizio vulnerabile di android come faceva il sassernon mi risulta che il fatto che un non si sia ancora sentito implichi che non vi sarà nemmeno in futuro - anzi una regola empirica è che la probabilità del verificarsi di un evento aumenta col passare del tempo
Dove avrei scritto che è sicuro perché utilizzato sui server?
precisamente nel post 31 rispondendo a Notturnia che faceva un discorso di sicurezza in base all' essere aperto o meno
@Notturnia: Linux si trova sulla maggior parte dei server presenti sul web, quindi evitiamo di sparare certe idiozie
quindi l' essere usato sui server taglierebbe la testa al toro e sostenere il contrario sarebbe un' "idiozia" :rolleyes:
Si vabbe ora mettono il sito su linux ed il database con i dati sensibili lo mettono su windows server, certo... credicici credo sì dal momento che (come probabilmente non sai o non consideri) spesso e volentieri l' hosting del sito web è totalmente esterno all' azienda
indi per cui all' azienda cliente, che sistemi usi Aruba o chi per essa sui propri server web-facing non gliene frega una beneamata
basta che il sisto sia visibile da un certo numero di client contemporaneamente ergo siano supportate tot connessioni e tot Mbit/s di banda, parametri in base a cui il servizio viene tariffato
mentre il caso di infrastuttura omogenea piuttosto che eterogenea (sistemi tutti di uno stesso vendor) con nella fattispecie, combinazioni di Windows , Active Directory, MS SQL server, Exchange, e/o banalissime cartelle di file Excel / Word condivise in rete (sempre da sistemi windows in protocollo CIFS. non ftp, nfs o che altro) era praticamente una costante in parecchie ditte o studi per cui ho lavorato ;)
Stavamo parlando anche di linux, il kernelstavamo parlando di android, che con linux sistema operativo completo condivide giusto il kernel

ma qualunque parte della userland android il kernel non lo vede se non da lontano, come sicuramente saprai rimane da esso disaccoppiato già da una c library che già non è quella comunemente impiegata, in più tipicamente gira in una virtual machine java (peraltro a sua volta proprietaria) ed anche quando operante in nativo è conformata a un process model che non è quello solito posix / *nix delle applicazioni linux a causa di un sottosistema di ipc derivante da un sistema non unix e della sua api dei suoi meccanismi

capisci bene che essendo android (o meglio il modo in cui qualunque pezzo di userland - applicazioni così come il malware - lo vede come piattaforma programmatica) una combinazione peculiare di altri componenti oltre al kernel (che peraltro all' epoca google scelse linux per una questione di convenienza, ma ricordo bene un periodo in cui si ipotizzava di cambiare kernel più avanti) , in questo contesto linux per come usato sui server (cioè GNU\linux) c' entri fino a un certo punto
A parte che non mi sembra, in questo caso, di aver insulto nessun...potrei dirti di essere invece parecchio offeso dal tuo atteggiamento, punti di vista ;)
in ogni caso è la prova che non tocchi un android da un secolo e quando lo hai fatto è stato sporadicamentenon tocco il client google play store da un certo tempo, e per lo più lascio che lo smartphone si aggiorni autonomamente, è vero
ma il client play store è android sistema operativo? no, è una app del belino .. fidati, android sistema l' ho toccato ed anche intimamente assai di recente, essendo passato per la programmazione di applicazioni e giochi per desktop (windows E linux) in precedenza e dedicandomi a tool di sistema e driver su android proprio in questi giorni
quindi saresti gentilmente pregato di evitare di criticare un sistema che non conoscicosa su cui non posso certo pretendere tu mi creda sulla parola, naturalmente...
ma ti faccio notare che inficiare la credibilità e la reputazione di qualcuno nella sua interezza appigliandosi ad un fattore marginale (la gui dello store rispetto alll' intero sistema) è una fallacy variazione dell' attacco ad hominem nota come avvelenamento del pozzo - ricorrervi non ti dà ragione automaticamente...
men che meno ti dà diritto a dire a qualcuno cosa scrivere, solo perchè a te non aggrada - non l' ho fatto io nei tuoi confronti, mi aspetto non lo faccia tu nei miei, non essere d' accordo è un conto, rivolgersi a qualcuno in questo modo è un altro
per cui saresti tu pregato di evitare di farlo...

Ma comunque, aldilà del casino che si è creato nel thread, tutta la diatriba è partira dal titolo dell'articolo. Titolo evidentemente trolloso, considerando che Pichai non l'ha buttata giù esattamente in quei termini.

A questo punto è opportuno distinguere i vari attori in gioco:

1. AOSP
2. Google col suo store, le sue applicazioni, le sue politiche
3. Gli utenti
4. Gli OEM
5. Le applicazioni

Se parliamo di sicurezza del sistema operativo Android, allora è giusto partire dalle vulnerabilità software, estendendo il discorso fino alla gestione dei permessi. Non oltre!

Poi c'è Google, a cui si può imputare incompetenza, malizia, quello che si vuole, riguardo la gestione del suo store.

Poi ci sono le app, quelle bancarie di cui si parlava sono un colabrodo, e lo sono su qualsiasi OS!!

Abbiamo poi gli OEM che non sempre fanno il dovuto nell'aggiornare/patchare/usare le ultime versioni del sistema operativo.

Infine ci sono gli utenti con la mania del tap facile, che li porta ad installare porcate provenienti da ogni dove.

Credo che, allo stato attuale, ad AOSP si possa imputare solo l'impossibilità di selezionare singolarmente i permessi all'atto dell'installazione di un'app. Non penso che questo cambierebbe di molto la situazione!

A google si può imputare un superficiale controllo sui contenuti dello store e la volontà di preferire la pubblicità e i suoi ritorni rispetto ad un maggiore privacy e sicurezza per l'utente.

Agli OEM possiamo imputare di essere menefreghisti, superficiali e un pò incompetenti ( ma non deve meravigliare, visto che hanno dimostrato in ogni occasione di non saper realizzare alcun software senza produrre bestialità immonde ).

Riguardo le app, la situazione è variegata. Ci sono signore app e ci sono porcate incredibili. L'utente è l'unico che può bastonare questi spara-app.

Si arriva infine all'utente. Onestamente non saprei cosa fare, visto che l'analfabetismo informatico permea in profondità la nostra società. Le multinazionali hanno lavorato alacremente alla creazione della mostruosità chiamata "Utonto". Le ricadute negative le stiamo subendo tutti, esperti e non!

Si Ok ma alla fine di tutto questo discorso, se uno vuole un terminale quasi sicuro se ne sbatte le balle di tutti i discorsi che fate.
Acquisterà quello con lo store blindato, (dove non ci bazzicano cani e porci e dove c'è un minimo controllo) e quello con il sistema chiuso e buonanotte! :ciapet:

Si Ok ma alla fine di tutto questo discorso, se uno vuole un terminale quasi sicuro se ne sbatte le balle di tutti i discorsi che fate.
Acquisterà quello con lo store blindato, (dove non ci bazzicano cani e porci e dove c'è un minimo controllo) e quello con il sistema chiuso e buonanotte! :ciapet:

Ragionamento sballato, perchè nessuno ti assicura che sia sicuro. La security through obscurity non ha mai funzionato. Windows ne è la prova lampante.

Non e' un discorso di "dare la colpa" ma "capire le cause"


Se è questo che ti preme, posso dirti che la causa consiste nell'assunzione di pessimi programmatori per la realizzazione di quelle app bancarie.

Comunque il problema non sta al livello del sistema operativo. Come risolvere? Cambiando banca, scegliendone una che non sia tanto spilorcia da appaltare un lavoro simile a degli incompetenti.


Siccome non penso che le banche si affidino a studentelli per creare le app,


Non conosci il mondo dell'informatica allora.


siccome la stessa app su iphone e ipad funziona PERFETTAMENTE e siccome su Android mi ha sempre funzionato maluccio, mi pongo una domanda.
Perche' su Android e' peggio che su iphone?

Guarda, non conosco il caso in esame ( qual è l'app in questione? ). Può benissimo essere che le app per i due sistemi siano state realizzate in tempi differenti, da team differenti, con competenze molto differenti.

Ma comunque, stando a quanto scritto in quegli articoli che hai linkato, il problema non sta al livello del sistema operativo.

Inoltre cosa intendi per "funziona maluccio"? Parliamo di crash? Di perdita d'informazioni? Cosa esattamente?


E' peggio perche' A CAUSA di Google si e' creato un mercato con cosi tanti cellulari, modifiche, versioni e anarchia sui firmware che chi crea l'app NON puo testarla su tutto l'esistente.

Mettete un pò d'accordo però. Google tiene Android stretto per il collo? O Google è uno sprovveduto che lascia crescere millemila versioni incompatibili di Android?

L'ultima frase è volutamente sbagliata, in quanto i vari Android in circolazione non sono affatto incompatibili tra di loro.


Perche' su console lo stesso gioco ha meno bug che sui PC ed e' piu ottimizato?


Perchè il gioco nasce console e viene portato ( a costi ridotti e in tempi umanamente impossibili ) su pc.


La risposta e' la stessa, e cioe' che avere un hardware fisso permette al programmatore di fare un bel lavoro mentre avere infinite combo di hardware driver e software NON permette al programmatore di fare un bel lavoro


Guarda, ogni soluzione ha vantaggi e svantaggi. L'hardware "fisso" ( che poi non è così ), i monopoli, il tutto nelle mani di una singola entità, portano all'inaridimento di un mercato.

I PC si sono evoluti e diffusi ovunque proprio perchè c'erano millemila aziende che li producevano e altrettanti sistemi operativi disponibili ( poi ha vinto MS, ma questo è avvenuto dopo ).


Mi interessa capire il PERCHE'.

Senza il codice dell'app in questione non puoi saperlo.


La mia risposta e' che la causa del problema e' che Microsoft, per vari motivi, abbia creato un sistema inefficiente.

Non dico che windows non abbia i suoi bug, però ( almeno da 7 in poi ) la stabilità del sistema è aumentata notevolmente. I BSOD, i blocchi, ecc... sono spessissimo dovuti a driver e altri componenti che girano in kernel space, prodotti da terze parti.


google ha creato un "mondo" che non mi sembra brilli per trasparenza, ottimizzazione, controllo ed efficienza.

Imho:

1. Trasparenza -- Apple non può insegnare nulla a nessuno, visto che consegna dati al FBI, va a braccetto con NSA ( come tutte le altre ), presenta vulnerabilità serie nel suo sistema operativo che annientano la privacy dell'utente http://www.neowin.net/news/serious-vulnerability-found-in-ssltls-on-os-x-mavericks-and-ios-7-easily-exploitable

2. Ottimizzazione -- Su questo punto ti dò ragione, ma considera che parliamo di un'azienda che produce hardware e software, e ha un numero di modelli hardware limitatissimo

3. Efficienza -- Non credo che ci riferiamo allo stesso tipo di efficienza



Per assurdo sarebbe 1000 volte meglio se il SO fosse fatto a merda e Google compententissima e attentissima sul tema della sicurezza.

Le competenze le hanno, basta guardare al modello di security di Android e a Chrome.


Perche' i problemi di SO poi li risolvi, i danni che sta facendo Google non li risolvi piu.
Ormai la politica e' quella, non c'e' piu soluzione.
Il mondo Android sui cellulari sara sempre un casino cosi.


Questione di punti di vista. Per alcuni quel "casino" implica varietà, freschezza, possibilità di scelta. Non è un caso se Android domina il settore mobile.


in tutti i modi comunque e' un test poco utile perche mi dice una cosa che gia so e cioe che tutte le app bancarie hanno problemi di sicurezza, ma non mi dice quello che vorrei sapere, e cioe' una COMPARATIVA a parita di app sui tre sistemi big.

Una comparativa credo che non te la darà mai nessuno. Quando si testa un'app, la si testa su una particolare piattaforma. Poi vai a sapere se la versione per un'altra piattaforma ha una parte del codice in comune, quale, o se è scritto ex-novo.

cioe' in pratica se uno indeciso legge questo compra tutto tranne che Android.

Non vedo perchè. Mica ho detto che Android è un colabrodo. Semplicemente ho analizzato la principale fonte di malware, ovvero il comportamento dell'utente.

L'utente deve capire che i dispositivi elettronici non sono giocattoli, e che bisogna prestare molta accortezza nella loro gestione.

Inoltre c'è una cosa che non ho detto, ovvero che il malware di cui sentiamo parlare è quello che viene scoperto. Campagne mirate possono restare nascoste per anni http://www.tomshw.it/cont/news/la-russia-spia-col-software-uroburos/53916/1.html

Apple ha una politica totalmente opaca riguardo il suo store. Per esempio si sa che anche lì si usano bot per far salire artificialmente la popolarità delle app. Tuttavia Apple giura e sacramenta che non è così.

Infine, il ridotto market share rende più difficile per i ricercatori incappare in un malware per iOS o Mac OS. Senza contare che tali ricercatori bazzicano prevalentemente nelle aziende, ed è lì che scoprono i nuovi malware ( non ci sono vendor di antivirus che vengono a casa tua ad analizzarti il pc o lo smartphone! ).

Del resto le vulnerabilità come quella sul SSL che ho linkato sopra, dimostrano che iOS ha delle voragini belle grosse, altro che super sicuro.

Non voglio demonizzare Apple, ma semplicemente far notare che l'essere open non rende il sistema meno sicuro. Android, a questo riguardo, è fatto molto molto bene. Poi si può parlare della frammentazione, degli OEM tonti, della non ottimizzazione ( ma lì il problema è relativo soprattutto al fatto che le app Android non sono compilate in codice nativo ).

La maggior parte delle truffe di cui parli riguarda quelle banche che non hanno sistemi di messaggistica che avvisano il cliente dell'avvenuto bonifico/pagamento tramite SMS.
Quindi, non è che se sono allo sportello posso sapere chi mi riprende, se qualcuno mi sta guardando, se qualcuno mi ascolta con un microfono direzionale o altro.
Semplicemente faccio le mie operazioni e vivo sereno convinto che la banca stessa abbia diversi livelli di protezione.
E per come la vedo io, mi possono anche fottere l'identità allo sportello ma se arrivo a casa e mi arriva un SMS che mi avvisa di una disposizione di pagamento qualche domanda me la pongo....:asd:
Certo, se il tutto si basa su un'app che magari finisce in uno store che nessuno controlla grazie al cavolo che succedono casini.
Mi sono letto tutto il topic, il fatto che certi casini non succedono con WP e IOS centra poco con la diffusione.
Con un android da 100 euro è più difficile che uno si installi l'app per fare operazioni bancarie visto che probabilmente è un telefono che finisce in mano al ragazzino piuttosto che alla mamma che va a fare la spesa.
Quindi la diffusione centra in minima parte, i devoti di Android vogliono forse far credere a tutti che IOS lo hanno solo 4 gatti e nessuno lo usa per fare acquisti o operazioni bancarie?
Suvvia....E' quasi esclusivamente un discorso che riguarda gli store, come vengono controllati, come vengono gestiti e quanta possibilità hanno gli utenti esperti come quelli inesperti di mettere mano a un sistema aperto.

Al momento non conosco nessuna banca che ti invia l'sms se vieni a prelevare o fare un bonifico allo sportello...
Poi ci sono tante situazioni.. ti racconto un caso che ho vissuto in prima persona.. Tizio ruba l'identità a Caio (il quale sembrerebbe non saperne nulla..), con questa identità rubata apre una ditta di abbigliamento vera (nel senso che apre partita iva e si iscrive in camera di commercio.. poi affitta un piccolo locale, apre una linea telefonica intestata alla ditta, e poi viene in banca (la quale verifica che i documenti sono a posto, interroga la camera di commercio, verifica p.iva e num. di telefono), apre un conto intestato alla ditta, ci versa pure 1000 eur.. dopo un paio di settimane viene a prendersi un carnet di assegni e... in un mese arrivano 10 assegni per un totale di quasi 100k eur tutti versati nel centro italia a vari grossisti di abbigliamento.. la banca protesta gli assegni, chiude il conto (non riesce a rintracciare il cliente, il locale, prima aperto, chiude). Dopo un mese arriva la lettera di un Avvocato.. l'avvocato di Caio (colui a cui è stata rubata l'identità..) che chiede alla banca i danni per questi protesti ingiustificati, viene fatta denuncia ai carabinieri, i quali scoprono il furto di identità.. e segnalano pure che i 100k di merce acquistata (capi di abbigliamento) in gran parte è stata venduta ad altri negozi su canali paralleli. La Finta/Vera Ditta ha aperto nello stesso tempo 3 conti correnti presso 3 istituti della zona, e gli assegni arrivati sono per un ammontare totale di circa 350K Eur.. Ad oggi il truffatore (o i truffatori) non è stato scoperto..
In casi come questi non c'è sicurezza che tenga.. oggi diamo i ns documenti con molta facilità.. questo per dire che il problema non sono le app sui telefonini..

Non si capisce se nel link che mi hai mandato parlano di un test fatto con 40 app fatte girare su sistemi jailbreccati o no perche dice:

"All of the apps that Sanchez tested could be installed and run on jailbroken devices, which have been modified by the user to accept apps unauthorized by Apple. Running an app on a jailbroken device lets attackers circumvent the security features built into iOS and access the restricted resources of other apps on a user's device."

penso di poterti rispondere io: sì, le app prese in esame sono in grado di girare su sistemi jailbroken. Questo puo' implicare due cose:
1) che l'app non controlla se il dispositivo è jailbroken
2) che l'app effettua il controllo ma il check è stato aggirato

il primo caso è il più grave perché, oltre al problema oggettivo di sicurezza in caso di smarrimento o furto, testimonierebbe poca cura nello sviluppo dell'app incriminata.



in tutti i modi comunque e' un test poco utile perche mi dice una cosa che gia so e cioe che tutte le app bancarie hanno problemi di sicurezza, ma non mi dice quello che vorrei sapere, e cioe' una COMPARATIVA a parita di app sui tre sistemi big.dipende da cosa vuoi sapere: una comparativa del genere non potrebbe fornirti una risposta alla domanda "qual è l'OS più sicuro?" bensì piuttosto potrebbe indicarti quale delle tre è stata sviluppata meglio.

Ragionamento sballato, perchè nessuno ti assicura che sia sicuro. La security through obscurity non ha mai funzionato. Windows ne è la prova lampante.

Windows lasciamo perdere, quando uno si scarica un .exe dal web e per installarlo deve rispondere su una domanda in stile quiz SI/NO capirai benissimo che non può essere sempre chi sta dietro la sedia il colpevole in considerazione del fatto che se sono sovrapensiero potrei benissimo sbagliare a clikkare.
Insomma…In ufficio ho Linux e scarico quello che mi serve dal loro software center, non mi è mai capitato di installare qualcosa che mi impesta il sistema.
Forse perché il software center è controllato seriamente e non ci bazzica Pippo e Topolino?
Dai su…Siamo seri ma i problemi che si porta dietro lo store Google li conosciamo tutti.
Blinda tutto e metti dei paletti e vedi che anche se sei il più diffuso le possibilità di aprire la cassaforte si riducono e di molto.
E sottolineo riducono, ovviamente è pura utopia pensare a un sistema 100% sicuro. ;)

Al momento non conosco nessuna banca che ti invia l'sms se vieni a prelevare o fare un bonifico allo sportello...
..


Si Ok ma al momento io non conosco neppure casi in cui chi è andato a fare operazioni bancarie è stato fottuto da quello che c'era dietro.
Una cosa del genere la può fare chi sta dietro allo sportello, in tal caso è meglio non uscire più da casa visto che alla fine i documenti li mostri spesso e ovunque, se vuoi ottenerne altri di vitale importanza….:asd:

@pabloski

Uno competente metteva una "certifcazione di sicurezza"
Cioe.. come dici te.. tu banca somara fai l'app orenda, io google competentissima te la boccio all'infinito finche non la fai decente.
Poi dopo la butti nello store.
Allora si che io, Mr.Nessuno, mi accorgo che gogole e' competente.

Cioe ma lo devo anche spiegare?
Al lavoro da me funziona cosi per tutto....



Quoto!
Puoi fare tutte le app che vuoi, farle fare anche da incapaci ma se a valle c'è qualcuno che le controlla col caxxo che poi dai la possibilità di scaricarle!

Si Ok ma al momento io non conosco neppure casi in cui chi è andato a fare operazioni bancarie è stato fottuto da quello che c'era dietro.
Una cosa del genere la può fare chi sta dietro allo sportello, in tal caso è meglio non uscire più da casa visto che alla fine i documenti li mostri spesso e ovunque, se vuoi ottenerne altri di vitale importanza….:asd:

Ma figurati.. sei sicuro che li mostri solo in banca i documenti?.. La truffa in banca è solo l'ultimo atto di una storia nata prima.. sai quanti assegni di assicurazioni, inail, cassa edile etc.. vengono incassati con delle false identità?
Non bisogna chiudersi in casa, ma essere vigili perchè il cetriolo può arrivare a 360° gradi.. e non solo dietro..

Ma figurati.. sei sicuro che li mostri solo in banca i documenti?.. La truffa in banca è solo l'ultimo atto di una storia nata prima.. sai quanti assegni di assicurazioni, inail, cassa edile etc.. vengono incassati con delle false identità?
Non bisogna chiudersi in casa, ma essere vigili perchè il cetriolo può arrivare a 360° gradi.. e non solo dietro..

Appunto!
Quindi tu, quando a chiederteli non è il pincopallo qualsiasi, che fai?
Io in ogni ufficio dove entro e avvio pratiche per avere altri documenti devo mostrare i miei…..:asd:
Quindi la domanda sorge spontanea: andiamo a vivere su un'isola deserta?

Windows lasciamo perdere


Vabbè dai, fino a XP mancava di alcuni elementari e diffusissimi ( su altri sistemi ) sistemi di sicurezza. C'è da dire che si sono dati una mossa ultimamente.


In ufficio ho Linux e scarico quello che mi serve dal loro software center, non mi è mai capitato di installare qualcosa che mi impesta il sistema.


Ed è questo uno dei vantaggi dei repository o, come amano chiamarli i tipi fescion mela-like, app store.


Forse perché il software center è controllato seriamente e non ci bazzica Pippo e Topolino?

Considera che i repository delle distro non danno accesso a tutti, ma sono a persone che vengono prima identificate. Per ovvi motivi è impossibile fare altrettanto sugli store mobile.



Blinda tutto e metti dei paletti e vedi che anche se sei il più diffuso le possibilità di aprire la cassaforte si riducono e di molto.
E sottolineo riducono, ovviamente è pura utopia pensare a un sistema 100% sicuro. ;)

Il problema è capire quali dovrebbero essere questi paletti. Apple è stata criticata per le sue politiche molto poco liberali. Si va dal caso delle app per adulti, a quelle per la gestione dei bitcoin, fino al developer che si vide bannare la sua app per le previsioni meteo ( e poi ritrovò, tra le app preinstallate in ios, una che era identica alla sua ).

E' molto difficile capire qual è il limite. La logica del blindare è simile a quella ( in ambito politico ) delle oligarchie, o peggio delle dittature. Sappiamo tutti che disastri produce.

@pabloski
Cmq
io penso che le app girino meglio su iphone, piu fluide e stabili.


Si, in parte è vero. Però c'è pure safari che ( almeno a me ) va in crash spessissimo quando vado su tomshw.it.

Che ci siano app mal progettate e realizzate nel play store, non mi pare sia un segreto. Riguardo la fluidità, dipende moltissimo dalle ottimizzazioni degli OEM. Ho avuto ( oltre all'iphone 5 che uso adesso ) i nexus ( dal nexus s in poi ) e problemi di fluidità non ne ho incontrati. Sul S ho installato poi la MIUI e la fluidità è aumentata enormemente ( segno che c'è chi sa ottimizzare Android meglio di quanto faccia google ). Ho pure avuto esperienza indiretta ( tramite amici ) dei disastri di samsung.

Poi la fluidità dipende pure dall'hardware. C'avevo ios 6 sull'iphone, stessa versione che un mio conoscente provò ad installare sull'iphone 4. Un bagno di sangue!


Inoltre su iphone ce ne sono di piu e fatte meglio.
Tipo le app musicali per esempio.
Le app della palestra e cosi via...

Di più non direi http://www.phonearena.com/news/Androids-Google-Play-beats-App-Store-with-over-1-million-apps-now-officially-largest_id45680

Alcune fatte meglio, altre fatte peggio. Dipende sempre da quali app usi.


Non centrano i porting.
In generale, chi e' vissuto con i videogame SA che sulle console i bug sono rari
Megadrive SNES Dreamcast Play1 ecc.


C'è anche da dire che gli sviluppatori che lavorano sulle console hanno aziende di grosso calibro alle spalle, con centinaia o migliaia di programmatori, tutti molto competenti, con enormi capitali alle spalle.

Poi è chiaro che lavorare su una console che fornisce accesso diretto all'hardware ( quindi meno latenze, meno bug ) produce risultati oggettivamente migliori rispetto ai pc.


Sul PC invece i giochi sono sempre stati meno ottimizzati e piu buggati.

Per i soliti ovvi motivi.... ma non e' argomento di discussione


Spera che non lo legga qualche gamer, altrimenti sei spacciato.



Se la pensi diversamente vuol dire che non stiamo parlando dello stesso sistema


O magari ognuno ha le sue necessità e priorità e vede le cose in maniera differente rispetto agli altri.


Trasparenza (+ Privacy): non sai i cazzi tua dove vanno davero a chi vanno e perche' (e' cosi un po anche per gli altri ma Android qui fa proprio una fatality agli avversari).. prova a scrivere tre volte fagiolo su www.gogle.it e ti ritrovi i fagioli dappertutto come il pane di fantozzi

Questo punto non mi è chiaro. Un motore di ricerca delle leggere le tue query, altrimenti come fa a sapere cosa vuoi?

E la privacy non è un problema solo di google. Snowden insegna.


ottimizzazione: impossibile per definizione se non si ha un hardware fisso con regole vere e ferree. Non e' un caso se android si e' beccato il nomignolo di lagdroid


Il nomignolo di lagdroid è figlio di una certa tifoseria avversaria. Si parla del sistema ma non si dice mai su quale hardware si comporta da "lagdroid".

L'ottimizzazione Android la fa a vari livelli. A partire dal kernel che è compilato per ogni specifico SoC, fino alle app che vengono compilate jit all'atto dell'installazione e/o esecuzione.

Il lagdroid è figlio di samsung, ovvero della sua assurda interfaccia malriuscita.


Efficienza: da wikipedia..... L'efficienza di un software è la capacità del software (in particolare di un algoritmo) di utilizzare meno risorse informatiche possibile.... il mio cell andava a cento gradi per fare delle segate, tipo anche solo telefonare.


no aspè, ma cosa gli facevi fare per arrivare a 100 gradi? e che hardware era?

comunque la definizione di wikipedia è sbagliata, perchè quello è l'overhead...l'efficienza è la capacità di usare tutti le risorse elaborative a disposizione per l'esecuzione di un job

un buon software, un software efficiente sfrutta ( senza sprecare ) l'hardware a disposizione


inoltre il navigatore spianava la batteria.. poi parliamo dei mille programmini in background che non ci capivi piu nulla cosa cera e cosa non cera?


pure ios c'ha programmi in background e in sospensione....anzi, quel modello l'hanno copiato da android, perchè in origine non supportavano il multitasking...solo da ios 4 in poi ( 2010 ) ios è diventato multitasking


Cioe.. come dici te.. tu banca somara fai l'app orenda, io google competentissima te la boccio all'infinito finche non la fai decente.


è una scelta precisa, ovvero rendere lo store il più possibile aperto

alcune app vengono rifiutate, quindi i controlli ci sono, solo che google non è dello stesso parare di apple

Ma ribadisco..... se io non conosco "il mondo Android" , leggo questo tuo intervento, rimango sfavorevolmente colpito dalle frasi in neretto e NON compro Android.


Penso anch'io, considerando che l'utente vuole sempre "il più meglio". Purtroppo questo concetto non fa parte dell'ingegneria. L'utente dovrebbe capirlo, un giorno, chissà!!


Anzi, non ho ancora capito cosa pensi veramente di Android + Google inteso in senso generale... cioe.. dalle frasi in neretto e se sei un addetto ai lavori dovresti pensarne male ma proprio a bomba..

Personalmente non m'interessa Google, ma trovo Android un buon sistema operativo. Considera che Android ha spinto l'implementazione delle capabilities anche in Linux ( in verità c'erano già, ma venivano usate in contesti molto particolari ) e FreeBSD ( capsicum ).

Insomma, Google ha dato una bella sveglia in questo senso.

Se poi consideri che Chrome è uno tra i browser più sicuri in circolazione, si può concludere che certamente gli ingegneri Google non sono dei pivelli.

Ovviamente c'è il problema relativo all'adv e alla privacy. Google ha tutto l'interesse a sapere tutto di tutti ( ma sembra che in America sia questo lo sport attualmente in voga ), mentre io propendo per la privacy assoluta.

Una delle cause di Google che non condividerò mai, è quella del cloud computing. Non è minimamente pensabile ricentralizzare le reti informatiche ( Arpanet fu creata proprio perchè capirono che la centralizzazione è una cavolata ). E non è minimamente accettabile che tutti i fatti miei debbano essere su un server di terze parti, che sia di Microsoft, Apple o Google, non cambia nulla.

cmq come app tieni conto che ipad e iphone avevano, quando li avevo io, molte app esclusive


considerando che apple è stata la prima ad arrivare sul mercato, direi che è normale


le app sono ottimizzate per ipad

la app su android era tutto un miscuglio, cioe, non cera neanche distinzione tra tablet e cellulare.. allucinante....

oggi non so, magari si e' invertito tutto..


un problema noto, a cui anche gli utenti chiedono una soluzione

il grosso problema è l'interfaccia, che va cambiata per renderla più simile a quelle per i pc, considerando che un pad ha un display abbastanza grande

il problema vero è legato ai display con elevata risoluzione, visto che le app HD sono decisamente poche, e gli sviluppatori sembra non curarsene più di tanto


Quindi... come cavolo fanno a fare sti benedetti soldi?
Sempre con parole non mie.. che e' meglio:
Ma a volte si sottovaluta un dato molto importante. E cioè che bigG guadagna, indirettamente, anche in un altro modo, attraverso tutte le informazioni che noi utilizzatori gli forniamo.


google guadagna dalla pubblicità, non credo sia un mistero....pubblicità mirata implica raccolta di alcune informazioni sull'utente

non è una bella cosa certamente, ma lo fanno tutti, da facebook ad apple, fino a mcdonald's

ormai è questa la nuova normalità


Ora come ora sto usando chrome nel pc di mia mamma e ho banner di rc auto a tutta randa tipo qui, sul sit di hwu... perche?

stavo per scrivere che, nel caso di hwupgrade, si tratta dei servizi pubblicitari di ms...ma vedo che hanno messo doubleclick di google....evidentemente con la pubblicità di ms non si guadagna molto :asd:


Per questo che non condivido come Google calpesti la mia privacy.
Questo e' tracking selvaggio, lo concepirei solo in ottica di indagini della guardia di finanza.
Cioe', mettimi anzi chrome a pagamento, lo compro, ma lasciami pure stare poi...


questo pensiero dovresti mandarlo al garante della privacy...secondo lui è tutto normale :D



Laggavano anche il mio Sony e anche l'HTC di un mio amico quindi....
Io ho visto solo 1 cell android non laggare. Mi e' apparso come OBI ONE KENOBI. no scherzo dai!!!!

considera anche che android fu lanciato frettolosamente sul mercato, non era ottimizzato per nulla e ( addirittura ) aveva metodi di alcune classi del sdk non implementati!!!

android è stato migliorato negli anni...ad esempio tra Kitkat con ART e i predecessori con Dalvik non c'è proprio paragone


Secondo me l'ottimizzazione non puo' esistere perche ci sono troppi cell differenti.


Il sistema operativo può essere ottimizzato, dato che il kernel va cucito su misura per il SoC presente nello smartphone/pad. Le app devono le loro ottimizzazioni alla virtual machine. E google stessa, su questo punto, ha dimostrato di sapere e capire che c'è ancora molto da fare ( motivo per cui è stata creata ART ).

Ma il vero punto è che tutti questi cellulari differenti CI SONO!!! Non possiamo dire a metà degli OEM di non produrre più cellulari.


Quindi come fai ad ottimizzare se non sai su quanta ram stai lavorando,


In questo caso ci si basa sulle specifiche minime. O almeno ci si dovrebbe basare. Comunque è un dato irrilevante, considerando che alcune app vengono scritte da cani. Nemmeno Apple può impedire ad uno sviluppatore di creare una mostruosità.


che risoluzione dello schermo hai,


Questo si è dimostrato essere un problema rilevante. Non tanto per la varietà, ma per la presenza di risoluzioni con elevato numero di dpi. Tant'è che è nata la categoria HD per le app.


quanti core hai,


Anche qui l'importante è attenersi ai requisiti minimi.


che versione del sistema,


Sviluppi per una certa versione in poi. E impedisci che l'app possa installarsi su versioni precedenti. E' una scelta che richiede un pò di sale in zucca da parte dello sviluppatore, ma in fondo è il loro lavoro.


quali driver video sono in quel firmware, ecc ecc?


I driver devono essere trasparenti. Pure sui pc è così. Tu non parli col driver, ma con una libreria grafica, una libreria contenente le funzioni di rete, ecc...

Introduce overhead? Certo! Ma è il prezzo da pagare.

Ad esempio pure iOS c'ha le librerie opengl. Mica un'app iOS comunica col driver direttamente. Ma si tratta di un'astrazione accettata da decenni nel campo dei sistemi operativi.



Telefonavi e scaldava a tuono, laggava, uscivano le app ogni tanto al desktop, perdevi i frame quando giravi i video, app in background incasinate, colassava su se stesso il sistema Android di autoupdate delle app e cosi via.


Anche un mio amico aveva un Sony e lamentava il fatto che l'app della fotocamera laggava di brutto.

Sul nexus S era invece fluida. Credo che non si possa accusare Android o Google per i difetti introdotti dagli OEM.


Il fatto era che era solo un single core con poca ram , con una cosa che accade spesso nel mondo Android (il supporto interrotto) , quindi android detonava.

Il punto è che gli OEM sanno che c'è un limite da non superare. L'utente vuole qualcosa che funzioni decentemente, tanto il 90% degli utilizzatori di smartphone sono ragazzini che li usano per fare i fighetti.

Quindi gli OEM sentono di poter forzare la mano su certi temi. Google, da parte sua, è stata zitta e muta finchè Android non si è affermato. Adesso comincia a bacchettare, perchè capisce che è importante alzare l'asticella della qualità.

Avrei cambiato l'affermazione di Pichai da:
Android non è un sistema nato per essere sicuro ma per essere open in;
Android non è il sistema nato per essere sicuro ma per essere diffuso...

Avrei cambiato l'affermazione di Pichai da:
Android non è un sistema nato per essere sicuro ma per essere open in;
Android non è il sistema nato per essere sicuro ma per essere diffuso...

molto più applicabile a SO tipo windows sui PC imho :D. Mai avuto la necessità di avere un antivirus su Android ehhehehe

Android non è il sistema nato per essere sicuro ma per essere diffuso...

Ma anche no http://www.tomshw.it/cont/news/il-malware-mobile-e-tutto-android-ma-non-sul-play-store/54006/1.html

"riguarda soprattutto chi cerca applicazioni fuori dai canali ufficiali"

"di questi solo lo 0,1% ha raggiunto il Google Play Store"

Ovvero, come scritto in vari post precedenti:

1. il sistema è dannatamente robusto
2. il play store non è così abbandonato a sè stesso come alcuni vorrebbero far credere

Scusate ma una simile dichiarazione sarebbe stata apprezzata anche da Microsoft che per anni ha venduto un sistema pieno di falle fino al 2007, ovvero windows 9x, nt (2000, xp) fregandosene della sicurezza..

almeno quelli di Android hanno la faccia di bronzo di ammetterlo, cosa che a Redmond non è mai parso per la testa..
:read:

Scusate ma una simile dichiarazione sarebbe stata apprezzata anche da Microsoft che per anni ha venduto un sistema pieno di falle fino al 2007, ovvero windows 9x, nt (2000, xp) fregandosene della sicurezza..

almeno quelli di Android hanno la faccia di bronzo di ammetterlo, cosa che a Redmond non è mai parso per la testa..
:read:

Veramente Pichai ha detto che la sicurezza non era primaria ...
ma è come quello che dice che i soldi non sono poi così importanti ...
perche è un miliardario. :ciapet:

Android è nato con un sistema di gestione della sicurezza che fa invidia a Windows 8 (ogni app è un utente Linux separato ed isolato, le capability permettono di limitare quello che possono fare le varie app ed ogni app deve dichiarare "cosa fa e cosa chiede" altrimenti non gira, ecc.).

L'unico vero rischio è l'utente che roota il dispositivo ed installa app di ogni genere, ma anche li al massimo ci sono stati dei worm, per questo gli "antivirus" per Android non è che facciano poi chissà cosa (alle cose critiche ci pensa già il S.O.) e per rimuovere un malware nel 99.8% dei casi basta ... disinstallarlo come una normale app.

L'unico vero rischio è l'utente che roota il dispositivo ed installa app di ogni genere

Il problema è che le piattaforme programmabili sono appunto programmabili. Pertanto è possibile infilarci dentro qualsiasi programma ( a condizione di raggirare l'utonto, cosa che sembra riuscire bene ai cybercriminali ).

L'unico metodo per evitare malware al 100%, sarebbe di basarsi su piattaforme non programmabili. Praticamente si ritorna alla macchina a vapore :D ....ma pure in questo caso si potrebbe sempre hackerarla con un buon martello da carpentiere :ciapet: