IT Wallet è disponibile per tutti da oggi su App IO

[lammoth]

Per ora non può sostituire i documenti fisici in quanto l'app non funziona se sei offline, ma da quello che ho letto ci stanno lavorando. Spero almeno che la copia dei documenti che risiederà sul dispositivo verrà criptata e non lasciata in balia dei malware che possono arrivare dal Play Store

[insane74]

non ho Android, ma questa news potrebbe essere legata allo stesso "concetto" di integrità del dispositivo?

https://www.hdblog.it/smartphone/art...ch-app-banche/

come scritto nell'articolo linkato, il rischio è di lasciar fuori un sacco di dispositivi.

[Darkon]

Quote:

Originariamente inviato da Mr_Paulus

un'ente/azienda che mette a disposizione un sistema informatico deve permettere all'utente la scelta di poter creare eventuali falle nello stesso.

sei serio?

Ma di quali falle parli... l'eventuale problema di sicurezza sarebbe solo lato utente e in nessun modo tale falla potrebbe rendere possibile un qualsiasi tipo di attacco ai danni del sistema centrale.

Tra l'altro essendo che le credenziali sono server-side anche l'eventuale creazione di un QRcode tarocco non servirebbe a niente dato che il controllo avviene tramite altro dispositivo che leggere il QR e interroga il server.

Quindi spiegami quale sarebbe il rischio? Che attacco potrebbe essere effettuato ai danni dello stato?

Tra l'altro ribadisco stato che nella stessa identica app non prevede tale controllo quando devo effettuare un pagamento o salvare una carta di credito.

Ribadisco che si tratta semplicemente del fatto che si programma di merda e sarei pronto a scommettere che semplicemente qualcuno quando si è trattato di scegliere ha flaggato tutti i controlli senza nemmeno sapere di cosa si parla perché ribadisco che per salvare la tessera sanitaria adesso servano controlli più elevati che per fare un bonifico di 100k€ è tutto dire.

Quote:

Originariamente inviato da insane74

non ho Android, ma questa news potrebbe essere legata allo stesso "concetto" di integrità del dispositivo?

https://www.hdblog.it/smartphone/art...ch-app-banche/

come scritto nell'articolo linkato, il rischio è di lasciar fuori un sacco di dispositivi.

No, si tratta di un'altra cosa rispetto all'OS aggiornato o meno.

[insane74]

Quote:

Originariamente inviato da Darkon

...No, si tratta di un'altra cosa rispetto all'OS aggiornato o meno.

ok grazie del chiarimento.

[UtenteHD]

Boh a me dopo ultimo aggiornamento non si avi piu', esce attendere e poi qualcvosa e' andato storto. Provato a spegnerlo riavviare ecc... Ho anche cancellato dati (su Android), nulla non va. Vabboh, continuero' a vivere senza fiono a quando non torna a funzionare.

[Mr_Paulus]

Quote:

Originariamente inviato da Darkon

Ma di quali falle parli... l'eventuale problema di sicurezza sarebbe solo lato utente e in nessun modo tale falla potrebbe rendere possibile un qualsiasi tipo di attacco ai danni del sistema centrale.

Tra l'altro essendo che le credenziali sono server-side anche l'eventuale creazione di un QRcode tarocco non servirebbe a niente dato che il controllo avviene tramite altro dispositivo che leggere il QR e interroga il server.

Quindi spiegami quale sarebbe il rischio? Che attacco potrebbe essere effettuato ai danni dello stato?

Tra l'altro ribadisco stato che nella stessa identica app non prevede tale controllo quando devo effettuare un pagamento o salvare una carta di credito.

Ribadisco che si tratta semplicemente del fatto che si programma di merda e sarei pronto a scommettere che semplicemente qualcuno quando si è trattato di scegliere ha flaggato tutti i controlli senza nemmeno sapere di cosa si parla perché ribadisco che per salvare la tessera sanitaria adesso servano controlli più elevati che per fare un bonifico di 100k€ è tutto dire.

quindi tu sei un esperto di cybersecurity che ha fatto l'analisi del sistema in questione e ha determinato che non ci sono rischi? in tal caso manda pure il tuo CV, sono sicuro che prenderanno in considerazione tutti i tuoi insight su questo argomento.

sull'ultima frase, se fai un bonifico di 100K al conto sbagliato son caxxi tuoi, allo stato fotte zero, se qualcuno si "clona" la patente nel suo smartphone e la usa per spacciarsi per te è un problema per lo stato.

poi che questo si riesca a fare o meno su un sistema rootato, sinceramente mi frega zero.

bye

[Mr_Paulus]

Quote:

Originariamente inviato da insane74

non ho Android, ma questa news potrebbe essere legata allo stesso "concetto" di integrità del dispositivo?

https://www.hdblog.it/smartphone/art...ch-app-banche/

come scritto nell'articolo linkato, il rischio è di lasciar fuori un sacco di dispositivi.

si tratta di un controllo che va a verificare che il software sul dispositivo non sia stato "manomesso/alterato".


che lo stato permetta di installare un wallet di documenti di identità in un sistema originale mi pare proprio uno scandalo

[Mr_Paulus]

Quote:

Originariamente inviato da randorama

scusate, ma non si chiamava "IT" wallet?

ormai sto sito

[Saturn]

Quote:

Originariamente inviato da Mr_Paulus

quindi tu sei un esperto di cybersecurity che ha fatto l'analisi del sistema in questione e ha determinato che non ci sono rischi? in tal caso manda pure il tuo CV, sono sicuro che prenderanno in considerazione tutti i tuoi insight su questo argomento.

sull'ultima frase, se fai un bonifico di 100K al conto sbagliato son caxxi tuoi, allo stato fotte zero, se qualcuno si "clona" la patente nel suo smartphone e la usa per spacciarsi per te è un problema per lo stato.

poi che questo si riesca a fare o meno su un sistema rootato, sinceramente mi frega zero.

bye

Si....che infatti gli smartphone non rootati degli "utenti normali" sono tutti lindi e pinti...io il root ho dovuto abbandonarlo non per problemi di sicurezza, ma per sfinimento, nel senso che Google ne inventava sempre una nuova per bloccarmi funzionalità...ma non per questo ORA che sono fermo con il Oneplus 7 PRO ad Android 11 con le patch vecchie di due anni sono "più sicuro" - sarei molto più sicuro con una rom custom e l'ultimo Android aggiornato e patchato che il mio smartphone reggerebbe benissimo ! E potrei farlo ! Ma no ! Altrimenti non funziona più una sega...

...ah però sono riuscito qualche settimana fa a caricare patente e tessera sanitaria su IO....URRA !!!!

p.s. perchè ce l'avete tanto con chi utilizza il root ...boh !

[Darkon]

Quote:

Originariamente inviato da Mr_Paulus

quindi tu sei un esperto di cybersecurity che ha fatto l'analisi del sistema in questione e ha determinato che non ci sono rischi? in tal caso manda pure il tuo CV, sono sicuro che prenderanno in considerazione tutti i tuoi insight su questo argomento.

Piuttosto collaboro con qualsiasi gruppo (su XDA ci stanno già lavorando) per violare anche lo strong integrity e ci si arriva... vedrai che si viola anche quello.

Quote:

sull'ultima frase, se fai un bonifico di 100K al conto sbagliato son caxxi tuoi, allo stato fotte zero, se qualcuno si "clona" la patente nel suo smartphone e la usa per spacciarsi per te è un problema per lo stato.

Ah ok... quindi visto che per CIE, PosteID e che io sappia tutti gli SPID lo strong integrity non l'ha implementato NESSUNO prendo atto che per lo stato che qualcuno usi quelle credenziali non è un problema. Così come a parte che per i documenti per lo stato non è un problema che qualcuno usi qualsiasi delle altre funzioni di IO. Interessante eh... non fa una piega.

Quote:

poi che questo si riesca a fare o meno su un sistema rootato, sinceramente mi frega zero.

Male... l'informatica e internet stanno andando in vacca perché a sempre più persone frega zero. Sai quanti anni ho passato nel mio piccino magari insignificante contributo per rendere tutto aperto?! Non può e non deve esistere un sistema chiuso.

[ferro75]

Non posso procedere perché il mio device non è sicuro... Huawei P30 pro aggiornato e non sbloccato... Mah
E intanto app bancarie, app io, infocert e compagnia funzionano senza problemi

[Mr_Paulus]

Quote:

Originariamente inviato da Saturn

p.s. perchè ce l'avete tanto con chi utilizza il root ...boh !

mi fraintendi, io non ce l'ho con chi usa i sistemi rootati, semplicemente capisco chi NON vuole che i suoi software girino sui sistemi rootati (io in primis, non vorrei).

Quote:

Originariamente inviato da Darkon

Ah ok... quindi visto che per CIE, PosteID e che io sappia tutti gli SPID lo strong integrity non l'ha implementato NESSUNO prendo atto che per lo stato che qualcuno usi quelle credenziali non è un problema. Così come a parte che per i documenti per lo stato non è un problema che qualcuno usi qualsiasi delle altre funzioni di IO. Interessante eh... non fa una piega.

ad oggi CIE e SPID sono poco più che l'equivalente del mandare la fotocopia dei documenti di identità via mail (forse l'unica eccezione è l'accesso al fascicolo sanitario), comunque sarei d'accordo se si volesse farli girare solo su sistemi non rootati

per le altre funzioni di IO, se qualcuno vuole pagarmi di tasca sua le multe chi sono io per incavolarmi

[chichino84]

Quote:

Originariamente inviato da Darkon

Ah ok... quindi visto che per CIE, PosteID e che io sappia tutti gli SPID lo strong integrity non l'ha implementato NESSUNO prendo atto che per lo stato che qualcuno usi quelle credenziali non è un problema. Così come a parte che per i documenti per lo stato non è un problema che qualcuno usi qualsiasi delle altre funzioni di IO. Interessante eh... non fa una piega.

Queste app che citi non implementano (ancora) strong verdict per una semplice ragione pratica, girano su una marea di vecchi dispositivi che fanno ancora affidamento sulla vetusta SafetyNet attestation.
L’articolo prima linkato dall’altro utente sulla testata concorrente è abbastanza inesatto ma del tutto pertinente con quanto stiamo discutendo qui: da maggio ci sarà un altro giro di vite e si vedrà come andranno le cose. Era una roadmap già decisa ma credo che una bella spinta sia arrivata proprio a causa dello spoof per strong conosciuto ormai da questa primavera (che tu sembri ignorare, ma mi pare impossibile visto che parli di xda...).

Giusto per chiarire un altro paio di punti che mi paiono spesso fraintesi da molti:
- spoof di Play Integrity e occultamento del root ad un’app SONO DUE COSE DIVERSE.
- sin da quando ha acquisito android, google non ha mai impedito lo sblocco del bootloader in alcun modo, sono produttori terzi - Xiaomi la più recente - e sviluppatori di app quelli orientati sempre più verso la chiusura totale.

[Darkon]

Quote:

Originariamente inviato da chichino84

Queste app che citi non implementano (ancora) strong verdict per una semplice ragione pratica, girano su una marea di vecchi dispositivi che fanno ancora affidamento sulla vetusta SafetyNet attestation.
L’articolo prima linkato dall’altro utente sulla testata concorrente è abbastanza inesatto ma del tutto pertinente con quanto stiamo discutendo qui: da maggio ci sarà un altro giro di vite e si vedrà come andranno le cose. Era una roadmap già decisa ma credo che una bella spinta sia arrivata proprio a causa dello spoof per strong conosciuto ormai da questa primavera (che tu sembri ignorare, ma mi pare impossibile visto che parli di xda...).

Giusto per chiarire un altro paio di punti che mi paiono spesso fraintesi da molti:
- spoof di Play Integrity e occultamento del root ad un’app SONO DUE COSE DIVERSE.
- sin da quando ha acquisito android, google non ha mai impedito lo sblocco del bootloader in alcun modo, sono produttori terzi - Xiaomi la più recente - e sviluppatori di app quelli orientati sempre più verso la chiusura totale.

Lo spoof per strong funziona solo apparentemente, infatti su TB checker io passo anche lo strong integrity ma nonostante questo IO se ne accorge. Ovviamente ho anche in HIDE il root mi sembra scontato così come ho io in denylist.

Google non l'ha mai impedito apparentemente perché poi fornisce i mezzi e tutte le rotture di scatole per rendere la cosa controllabile. Non fosse per google gli sviluppatori di app avrebbero potuto molto ma molto poco.

[AlPaBo]

Forse va ricordato che i documenti di identità appartengono allo Stato, che li rilascia per l'uso da parte del cittadino. Non a caso se la Carta di identità si rovina o scade, va riconsegnata per avere la nuova.

Il cittadino ha il dovere di seguire un comportamento adeguato a mantenerla integra, ma tutte le registrazioni sono nei sistemi (cartacei ed elettronici) dello Stato e dei vari enti pubblici coinvolti (per esempio i Comuni).

È quindi lo Stato e non il cittadino che decide come l'integrità del documento venga mantenuta. Lo Stato ha deciso (secondo me a ragione) che i documenti non vanno conservati in apparati di proprietà dell'utente in cui quest'ultimo ha abbassato il livello di sicurezza. L'affermazione che non esiste nessun sistema del tutto sicuro è corretta, ma se c'è un problema in un sistema considerato sicuro, la responsabilità è dello Stato, non del proprietario del dispositivo che ha abbassato il livello di sicurezza di un bene che non gli appartiene (la CI), spesso senza essere dotato di adeguate competenze,

Pretendere un comportamento diverso indica una certa approssimazione nel valutare le relative responsabilità. Incidentalmente, affermare che una banca accetti un pagamento da 100k € senza preoccuparsi dell'affidabilità del sistema è ridicolo. Al minimo vogliono una conferma (possibilmente scritta) da parte di chi lo effettua, e credo che gli ultimi incidenti con le AI spingano la banca a non limitarsi a conferme fatte con sistemi a distanza non resi adeguatamente sicuri.

[HWupgrade_user]

Io ho un galaxy S24 totalmente originale, niente root, aggiornato all'ultima patch, eppure mi esce lo stesso l'errore sopra. I check di integrity li ho verificati con apposita app e li passa tutti (device, basic e strong).
Quel test come dicono nelle note ("scopri di più") oltre all'integrità verifica qualcosaltro, non è dato di sapere però esattamente cosa.
Sicuramente ho toccato qualche impostazione delle opzioni di sviluppo, il debug è attivo, l'installazione di app non certificate e qualche controllo di sicurezza anche per far funzionare tasker. Se qualcuno trova la soluzione... Ovviamente mai avuto problemi con nessuna app di nessun banca, spid, token di sicurezza di tutti i tipi...

[Nui_Mg]

Quote:

Originariamente inviato da chichino84

- sin da quando ha acquisito android, google non ha mai impedito lo sblocco del bootloader in alcun modo, sono produttori terzi - Xiaomi la più recente - e sviluppatori di app quelli orientati sempre più verso la chiusura totale.

Da quando per Xiaomi, esattamente? Che io sappia, sui motorola e xiaomi si è sempre potuto sbloccare il bootloader, almeno sui miei che però non sono recentissimi/recenti.

[Darkon]

E anche stavolta.... VIOLATO!

DAI CAZ**!!!!

Chi avesse bisogno può mandami un mp e gli spiego passo passo come fare!

Ho sempre amato l'informatica perché è uno di quei campi dove con la volontà e la collaborazione lo metti in quel posto a regole stupide e senza senso.

[ferro75]

Quote:

Originariamente inviato da HWupgrade_user

Io ho un galaxy S24 totalmente originale, niente root, aggiornato all'ultima patch, eppure mi esce lo stesso l'errore sopra. I check di integrity li ho verificati con apposita app e li passa tutti (device, basic e strong).
Quel test come dicono nelle note ("scopri di più") oltre all'integrità verifica qualcosaltro, non è dato di sapere però esattamente cosa.
Sicuramente ho toccato qualche impostazione delle opzioni di sviluppo, il debug è attivo, l'installazione di app non certificate e qualche controllo di sicurezza anche per far funzionare tasker. Se qualcuno trova la soluzione... Ovviamente mai avuto problemi con nessuna app di nessun banca, spid, token di sicurezza di tutti i tipi...

Attenzione a non avere abilitato la modalità sviluppatore, e anche se l'hai poi disattivata potrebbe essere rimasto registrato un dispositivo con accesso usb. Io ho risolto rimuovendo tutti i dispositivi registrati

[Darkon]

Quote:

Originariamente inviato da ferro75

Attenzione a non avere abilitato la modalità sviluppatore, e anche se l'hai poi disattivata potrebbe essere rimasto registrato un dispositivo con accesso usb. Io ho risolto rimuovendo tutti i dispositivi registrati

A quello che ho appurato io il controllo prevede:

BASIC, DEVICE e STRONG integrity; bootloader (attenzione perché qua frega... bootloader bloccato non basta che vi sia lo spoof generico ma va inserito uno spoof specifico per IO altrimenti negli integrity check risulta tutto a posto ma IO comunque non vi fa andare avanti).

Modalità sviluppatore non dovrebbe interferire di per se magari se dopo ho tempo controllo meglio. Possono invece influire device registrati ma anche qua è bizzarro perché ci sono casi di persone in cui avere un device registrato ha dato problemi e altri casi in cui non ha dato alcun problema quindi ancora non è proprio chiarissimo questo punto.