SELECT

Sicurezza wifi su Smartphone. Storie di https, hijack e facebook.

LEGANERD 045048

Con il seguente articolo non voglio spaventare nessuno, ma piuttosto sensibilizzarvi sulle problematiche di sicurezza degli smartphone su reti wifi e fornire qualche spunto per tutelarvi. L’ho scritto come se mi rivolgessi ad un amico che già ha una infarinatura sull’argomento, ma se qualche cosa vi risulta troppo complesso resto a disposizione nei commenti (come penso anche gli altri utenti faranno) per dare delucidazioni. Perdonatemi se alle volte utilizzo dei termini corretti al 100%, ma sono solo un Nerd e non un esperto di sicurezza.

In questi giorni ho fatto dei test riguardo alle varie applicazioni che ho installato sul mio smartphone Android. Con un amico fidato mi sono collegato alla rete wifi del bar che frequentiamo e abbiamo controllato quali applicazioni si collegano effettivamente in https e quali invece sono più facilmente hijackabili. Abbiamo usato un cookie-sniffing-tool di cui vi prego di non chiedere info nei commenti, perché non è questo lo scopo del post e non mi pare il caso di parlarne qua.

Ne è saltato fuori che quasi tutte le applicazioni installate, sopratutto quelle google (gmail, google+,…), sono abbastanza sicure e non gli è stato possibile rubarmi i vari account. Quella più facilmente violabile é Facebook, che è anche l’account a cui tengo di più (insieme a gmail) e dove possono essere combinati più danni o più violazioni della privacy.

In pratica nel momento in cui apro l’applicazione “Facebook” (quella originale per Android) il mio amico si ritrova il mio account sul suo telefono e l’identità è rubata. Dopo alcune discussioni riguardo a tunnel SSH ed altri sistemi per ovviare al problema gli faccio salvare la sessione ed il mio account per continuare con i test il giorno successivo.

A casa cambio la password del mio account facebook, logout, login con la nuova pass e vado a dormire. Il giorno successivo gli chiedo di provare a ricollegarsi al mio account (che ha salvato il giorno prima) convinto che non ce l’avrebbe più fatta. Sorpresa delle sorprese, nonostante ho cambiato la password, è ancora possibile collegarsi! Facciamo un test e mi pubblica un messaggio in bacheca!!!

SDENG!

Per mia fortuna ho impostato la protezione di facebook di modo che devo assegnare un nome ed autorizzare qualsiasi dispositivo che si collega al mio account, così sono riuscito a rimuovere il dispositivo incriminato (che era poi il mio samsung, visto che da li è stato rubato l’account) e bloccare così la connessione del mio amico.

Ci ritroviamo il giorno seguente sempre al solito bar ed il mio amico mi vede arrivare da lontano, attiva il tool malefico e nel momento in cui entro mi fa vedere che è già collegato al mio account. In pratica non avevo ancora aperto l’applicazione ma nel momento in cui mi sono collegato al wifi (in automatico) la stessa app ha cercato gli aggiornamenti delle notifiche regalando così un’altra volta il mio account.

Passiamo dunque ad oggi. Ho eliminato l’applicazione facebook e ho cercato una alternativa. Mi passa per le mani “FriendCaster for Facebook”, applicazione che mi attira con la descrizione “More Secure with Enforced SSL Encryption” (più sicuro con crittografia ssl forzata). Benissimo! E’ proprio quello che stavo cercando… installiamolo!!!

Provo un po’ l’app e devo dire che mi trovo bene, non è molto diversa da quella originale e mi pare altrettanto valida. Vado a vedere le notifiche e vedo due richieste di amicizia che non ho ancora confermato, ci clicco sopra per visualizzare ulteriori info ed in automatico mi apre il browser collegandosi a “http://m.facebook.com”.

Vabbè, penso io, sarà la prima volta e bisognerà settare m.facebook.com in maniera tale che usi https. Vado nelle mie impostazioni di sicurezza ed attivo la “Navigazione protetta”. Bene, “modifiche salvate” e “secure browsing is currently attivata”… ma sono ancora in http!!! Perché??? Magari devo proseguire con la navigazione… Provo ad aprire un invito ad un evento trovato nelle notifiche e sono ancora in http! WTF??? Ritorno sulle impostazioni di sicurezza e vedo che la navigazione protetta me la dà attivata.

Modifico manualmente l’indirizzo in https e finalmente appare il “lucchetto” che mi fa capire che finalmente ci siamo. Ok. Apro qualche pagina: tutto ok.
Esco dal browser, ritorno su FriendCaster e clicco di nuovo sulla notifica delle richieste di amicizia. Mi si apre di nuovo il browser e siamo ancora in http!!! SSSSSSSDENG!!! Controllo le impostazioni e mi dice che la navigazione protetta è attivata, ma allora perché non è andato in automatico su https??? Basta, non ho più voglia di perdere tempo… semplicemente non aprirò le richieste di amicizia in wifi a meno di farlo manualmente inserendo l’indirizzo “https://m.facebook.com/”.

“A questo punto presi una vanga, riseppellìi i due scheletri e feci finta di niente!” (Anatoli Balasz)

Il senso di questa demenziale storia (“Storia vissuta vale doppio.” cit) è il seguente: non collegatevi alle reti wifi dal cellulare.

Il problema è che siamo nel 2011 e che i tools di hijacking sono facilmente reperibili in rete ed installabili da qualsiasi bimbominchia che abbia un minimo di dimestichezza nell’uso di un cellulare (neppure di un computer come si faceva una volta). Basta conoscere il nome dell’applicazione, si scarica l’apk (nel caso android) e si installa. Nulla di più facile!!! Ne risulta che lasciare il wifi acceso può costare serie violazioni della nostra privacy o peggio.

Se nonostante la mia storia volete comunque collegarvi in wifi pubbliche controllate sempre che le applicazioni installate siano “sicure” (https, ssl), di solito è presente la dicitura nella descrizione sul market. Non collegatevi mai tramite il browser a siti che non vanno in https in automatico (fate delle prove a casa). Evitate sopratutto luoghi dove è possibile che ci sia qualcuno in giro al cazzeggio che non può essere rintracciato, come nel mio esempio al bar.

A mio avviso il wifi sarebbe meglio tenerlo sempre spento, pagate il vostro gestore per avere un traffico dati flat dal cellulare e sfruttate quello. Sarà più lento ma è decisamente più difficile che qualcuno vi freghi l’account.

Lancio l’idea, a chi ne sa più di me, per scrivere un articolo su come creare e sfruttare una OpenVPN per aumentare la sicurezza durante la navigazione su reti wifi.

Instagram, scoperta grave vulnerabilità: hacker controllano lo smartphone con una foto
Instagram, scoperta grave vulnerabilità: hacker controllano lo smartphone con una foto
WhatsApp, attenzione al codice di attivazione: si rischia di perdere l'account
WhatsApp, attenzione al codice di attivazione: si rischia di perdere l'account
Twitter, falla nella sicurezza sull'app Android
Twitter, falla nella sicurezza sull'app Android
Ripple, Youtube, le truffe e le responsabilità delle piattaforme
Ripple, Youtube, le truffe e le responsabilità delle piattaforme
Netflix lancia il suo bug bounty program
Netflix lancia il suo bug bounty program
Hacklog: Volume 2, il corso di hacking più seguito in Italia ritorna su IndieGogo
Hacklog: Volume 2, il corso di hacking più seguito in Italia ritorna su IndieGogo
Google Prompt, il nuovo sistema di verifica in due passaggi
Google Prompt, il nuovo sistema di verifica in due passaggi