Scoperto Asacub su Android: nuovo trojan che ruba soldi e informazioni

[pabloski]

Quote:

Originariamente inviato da Bivvoz

Nel senso che android è troppo libertino a concedere permessi, ci sono permessi che su iOS non sono manco contemplati.
Ovvio che l'app li richiede, perchè il sistema lo prevede.

Se ci sono è perchè servono. C'è sempre un tradeoff tra libertà d'azione e sicurezza.

[pabloski]

Quote:

Originariamente inviato da Bivvoz

Allora evidentemente su altri os non servono.

Ma infatti. Che poi quali sarebbero questi "osceni" permessi?

[massimo79m]

Quote:

Originariamente inviato da gd350turbo

Discorso fatto centinaia di volte, forse anche migliaia...
Sistema aperto = maggiore libertà e maggiore possibilità di schifezze
Sistema chiuso = minore libertà e minore possibilità di schifezze

secondo me non e' nemmeno cosi'.
Apple store conta 1,5 MILIONI di app.
E o si controllano tutte una per una, e con sistemi non certo del tipo "dai un'occhiata e via", o potenzialmente anche sull'apple store e' possibile che i siano trojan.
e visto che controllare un milione e mezzo di app + ogni aggiornamento di ogni app, e' impossibile anche per un'azienda con migliaia e migliaia di persone addette a fare solo quello, anche apple prima o poi si trovera' con problemi simili.

[Max(IT)]

Quote:

Originariamente inviato da massimo79m

secondo me non e' nemmeno cosi'.
Apple store conta 1,5 MILIONI di app.
E o si controllano tutte una per una, e con sistemi non certo del tipo "dai un'occhiata e via", o potenzialmente anche sull'apple store e' possibile che i siano trojan.
e visto che controllare un milione e mezzo di app + ogni aggiornamento di ogni app, e' impossibile anche per un'azienda con migliaia e migliaia di persone addette a fare solo quello, anche apple prima o poi si trovera' con problemi simili.

peccato che Apple a quel numero di app c'è arrivata PRIMA di Google, quindi il "prima o poi" non regge ...

L' App Store non è sicuro al 100% (nessun sistema "aperto" lo è), ma lo è senza dubbio più del Play Store.
Fermo restando che anche il Play Store è considerabile come "relativamente sicuro" (il grosso problema di Android sono gli store alternativi)

[massimo79m]

Quote:

Originariamente inviato da Max(IT)

peccato che Apple a quel numero di app c'è arrivata PRIMA di Google, quindi il "prima o poi" non regge ...

regge eccome. il fatto che ora non ci siano trojan non vuol dire che tra un giorno, un mese o un anno non ci possano essere.

quando la apple spieghera' come controlla ogni singola app, ok, ma fino ad allora tutta sta storia della sicurezza di app store non sara' dimostrabile.
e ripeto, spiegatemi come si fa a controllare un milione e mezzo di app.

[Max(IT)]

Quote:

Originariamente inviato da massimo79m

regge eccome. il fatto che ora non ci siano trojan non vuol dire che tra un giorno, un mese o un anno non ci possano essere.

quando la apple spieghera' come controlla ogni singola app, ok, ma fino ad allora tutta sta storia della sicurezza di app store non sara' dimostrabile.
e ripeto, spiegatemi come si fa a controllare un milione e mezzo di app.

su un altro thread c'è uno sviluppatore che ha fatto un esempio lampante.
App inoltrata al Play Store: approvata e messa online in poche ore (controllo pressoché nullo).
App (la stessa) inoltrata all' App Store: in review dopo una settimana, poi un controllore contatta lo sviluppatore e chiede un codice di verifica , poi un nuovo contatto per chiedere info sulla funzionalità... in totale 10 giorni.

I controlli sono ben diversi.

Ed 1,5 milioni di app non sono apparse da oggi a domani da controllare insieme.

[gd350turbo]

Quote:

Originariamente inviato da bivvoz

Non è che un flag in più o in meno cambia qualcosa eh.

Come non cambia niente ?
E' una cosa che ti impedisce di fare un azione potenzialmente pericolosa...
Se la fai, tu dopo essere stato avvisato, chi è causa del proprio mal pianga se stesso !
Come il cicalino della macchina che ti ricorda di mettere le cinture di sicurezza, se lo ignori, non te la puoi prendere con chi ha costruito la macchina !

Quote:

Originariamente inviato da bivvoz

E non voglio dire che la colpa non sia dell'utente, la colpa è sempre stata dell'utente anche con windows, ma si è sempre criticato (giustamente) perchè un sistema operativo deve prevedere che l'utente non sia per forza laureato in ingegneria informatica.
La stessa identica cosa vale per android, non è che metterci un flag risolve il problema.

Allora ci mettiamo due manine che escono dal telefono e iniziano a prendere a schiaffi l'utonto di turno ?

In ufficio c'è una florida coltivazione di utonti, anzi Utonti, con la "U" maiuscola...
Nessuno di questi penso che andrebbe a cipollare con le opzioni del telefono per attivare l'installazione da fonti non sicure.

[Pino90]

Quote:

Originariamente inviato da Bivvoz

Ma non scherziamo.
Prima di tutto si potrebbero concedere meno permessi alle app, cosa che già avviene in molti os.

Sono molto d'accordo. Anche per me sarebbe una cosa importante! Ma semplicemente per una questione di controllo. Perché Adobe Acrobat Reader deve avere il permesso di usare la fotocamera? O_o

Dovremo aspettare gli aggiornamenti ad Android 6 se mai arriveranno o il prossimo telefono!

edit
Anche se c'è da dire che alcuni produttori già inseriscono questa funzionalità nelle ROM.

[Pino90]

Quote:

Originariamente inviato da Bivvoz

Non è a quello che mi riferisco.
È alla possibilità che hanno le app. anche su iOS per esempio un'app può richiedere l'uso della fotocamera.
Un esempio in questo articolo è quando si dice che questo malware blocca lo schermo, perchè un'app ha il permesso di bloccare lo schermo?
Su iOS probabilmente il sistema proprio non lo permette, un'app anche con tutti i permessi possibili non potrà mai bloccare lo schermo perchè è una prerogativa del sistema operativo.
Per esempio su iOS solo il sistema operativo può accedere alle funzioni di telefono se non ricordo male, per cui un'app che manda messaggi (intesi come sms) è impossibile.

Però potrei anche aver fatto degli esempi un po' sbagliati visto che iOS non lo conosco bene.
Il punto è che non parlo dei permessi concessi alle app. ma proprio delle autorizzazioni che le app possono o non possono avere.

Ah ok avevo capito male. Beh in effetti anche ridurre un minimo i permessi non è una brutta idea! Magari i 3 OS maggiori potrebbero allinearsi in questo senso...

[gd350turbo]

La personalizzazione MIUI, permette di scegliere in fase di installazione cosa un app può fare...

E in seguito se un app chiede di accedere ad una certa funziona,viene notificato all'utente e chiesto cosa vuole fare...

Un esempio, ci sono tante app, che vogliono sapere dove sei, anche se non hanno alcun funzionamento legato alla posizione del telefono, in tal casi si clicca su NEGA.

Questa io la ritengo un ottima soluzione, il sistema operativo, ti offre già di suo una protezione, poi tu se sei padrone di gestire questo livello di sicurezza.

[Pino90]

Quote:

Originariamente inviato da gd350turbo

La personalizzazione MIUI, permette di scegliere in fase di installazione cosa un app può fare...

E in seguito se un app chiede di accedere ad una certa funziona,viene notificato all'utente e chiesto cosa vuole fare...

Un esempio, ci sono tante app, che vogliono sapere dove sei, anche se non hanno alcun funzionamento legato alla posizione del telefono, in tal casi si clicca su NEGA.

Questa io la ritengo un ottima soluzione, il sistema operativo, ti offre già di suo una protezione, poi tu se sei padrone di gestire questo livello di sicurezza.

Già, pensavo alla standardizzazione di questo processo (e parlo senza sapere come funziona su Marshmallow).

[massimo79m]

Quote:

Originariamente inviato da Max(IT)

App (la stessa) inoltrata all' App Store: in review dopo una settimana, poi un controllore contatta lo sviluppatore e chiede un codice di verifica , poi un nuovo contatto per chiedere info sulla funzionalità... in totale 10 giorni.

I controlli sono ben diversi.

Ed 1,5 milioni di app non sono apparse da oggi a domani da controllare insieme.

in REVIEW o in stallo?
non dirmi che e' stata testata per una settimana, perche' non sarebbe nemmeno lontanamente probabile.

facciamo pure il calcolo di quanto costi in tempi di ore/uomo una verifica del genere. nemmeno con 10000 persone a tempo pieno.
comunque: mettiamo che in cina ci sia un addetto che testa per una settimana (mettiamo anche solo 3 giorni) una app.
Primo: non e' sicuro di beccare il trojan. se questo e' a tempo, magari dopo un mese dall'installazione, non lo becchi, mentre il cliente si.
Secondo: 24 ore lavorative per una verifica costano all'azienda, anche in cina, 100 euro, che si deve sobbarcare la apple. sicuro che la apple paghi sti soldi per OGNI app?
terzo: 24 ore lavorative x 1.5 milioni di app fa 36 milioni di ore. in 5 anni ogni app sara' stata aggiornata diciamo 5 volte, anche se in realta' ce ne sono che sono state aggiornate anche 30? allora fa 180 MILIONI di ore. in 5 anni, 180 milioni di ore, considerando 300 giorni lavorativi all'anno, farebbe CENTOVENTIMILA persone. secondo te la apple tiene CENTOVENTIMILA persone a libro paga a testare le app?
e facciamo il conto degli euroni che costano. tenendoci bassi, 3 euro all'ora (non contiamo quello che viene in tasca all'impiegato ma cosa costa all'azienda) sarebbe costato 540 milioni di euro.

e poi, facile dire "la teniamo li' per una settimana, facciamo finta di testarla e poi la buttiamo su".
poi, testano TUTTE le versioni? dalla versione 1.0 alla 1.1 la testano? cosi' uno ci ficca dentro un trojan nella versione 1.1 e siamo a posto.
se mi dici "apple non usa impiegati ma dei sistemi euristici per testare le app", ti posso dire che nessun tipo di controllo automatizzato ne' umano puo' essere sicuro.
certo e' meglio testare che non testare, ma come le richieste di funzionalita' da parte dei controllori, sono un po' inutili.
e' un po' come perquisire la gente all'aereoporto.
indispensabile, certo, ma chi vuole far casini sa come muoversi.

[MannaggialaPupazza]

Quote:

Originariamente inviato da gd350turbo

Discorso fatto centinaia di volte, forse anche migliaia...
Sistema aperto = maggiore libertà e maggiore possibilità di schifezze
Sistema chiuso = minore libertà e minore possibilità di schifezze

ma non credo proprio.
sistema aperto = maggiori probabilità che le schifezze vengano sistemate.