Scoperta backdoor nei Samsung Galaxy

Replicant logo
Logo Replicant ROM

Sono venuto a conoscenza che gli sviluppatori di Replicant il 28 gennaio del 2014 hanno dimostrato la presenza di una pericolosa backdoor che affligge la maggior parte dei dispositivi Samsung Galaxy, fra i quali:

  • Nexus S (I902x)
  • Galaxy S (I9000)
  • Galaxy S 2 (I9199)
  • Galaxy Note (N7000)
  • Galaxy Nexus (I9250)
  • Galaxy Tab 2 7.0 (P31xx)
  • Galaxy Tab 2 10.1 (P51xx)
  • Galaxy S 3 (I9300)
  • Galaxy Note 2 (N7100)

La causa di questa backdoor consisterebbe nel driver di rete proprietario Samsung IPC che permetterebbe a una persona remota di avere accesso al sistema Input/Output del filesystem del dispositivo e cioè chiunque in rete potrebbe leggere o scrivere qualcosa da remoto nella memoria interna/esterna.

Sempre secondo gli sviluppatori di Replicant (che si tratta di una versione di Android esclusivamente contenente software libero, ufficialmente supportata dalla Free Software Foundation come progetto “ad alta priorità”) gli smartphone che sono potenzialmente afflitti da questa vulnerabilità potrebbero sicuramente essere molti di più, in quanto il team di sviluppo ha scoperto questa falla solo perchè aventi a disposizione esclusivamente quei dispositivi. In futuro, con il susseguirsi delle donazioni verso Replicant, probabilmente saranno in grado di acquistare ancora altri dispositivi e di scoprire ulteriori modelli afflitti da questa pericolosa falla di sicurezza e di creare una versione di Replicant anche per questi dispositivi per risolvere il problema.

Purtroppo questo problema di sicurezza è legato a driver proprietari, e perciò nessuno (fuorchè Samsung) ha il potere legale di risolverlo su versioni di Android contenenti questi driver. L’unica risoluzione al problema apparentemente sarebbe appunto quella di avere la fortuna di possedere un dispositivo full-Replicant-compatibile e installarvi sopra Replicant come sistema operativo Android, in quanto attualmente soltanto «Replicant does not cooperate with backdoors». Purtroppo però, pochissimi dispositivi sono tutt’ora compatibili con Replicant.

Perciò, per chi non ha l’opportunità di installare Replicant sul proprio dispositivo, non vi è attualmente alcun modo per risolvere al 100% questa falla di sicurezza. L’unica cosa che la Free Software Foundation consiglia di fare è contattare pubblicamente la Samsung Mobile tramite Twitter per tentare di avere spiegazioni e soprattutto per far conoscere al pubblico questo serio problema. (Tenendo conto che la Samsung Mobile può anche essere contattata tramite email).

In attesa di una versione funzionante di Replicant per il nostro dispositivo, attendiamo anche noi una risposta da parte di Samsung Mobile.

WhatsApp Plus per Android: Illegale al 100%

Attenzione, questo articolo è estremamente logorroico.

TL;DR
Non usare WhatsApp Plus! (…e manco WhatsApp!)

È da poco nata un applicazione chiamata WhatsApp Plus.

Screenshot WhatsApp Plus sito Internet
Screenshot homepage WhatsApp Plus

Perchè averla assolutamente? La risposta è che probabilmente dovresti assolutamente non averla.

Prendi una buona boccata di aria legale e parliamo in termini puramente critici poichè scommetto che sei stanco di sentire solo frasi come «Ha nuove icone!!!!! WOW!! Ha le faccine a “budini” come Hangout!!!. Noooo! La devo avere!»
Beh perciò analizziamo la situazione con alcune constatazioni:

  1. Ha molti aspetti teneri

    Commento personale:

    OK, torniamo alle cose serie…

  2. Non è un’applicazione ufficiale

    Spero tutti sappiano che WhatsApp Plus non è realizzata dal team di WhatsApp. Ciò naturalmente significa che è realizzata da un perfetto sconosciuto che ha messo su un sito e la fa scaricare da lì.
    Quella di far scaricare un’app da un sito è una cosa perfettamente normale, il problema è un altro: È realizzata da un perfetto sconosciuto di cui dovete fidarvi, poichè il codice sorgente dell’applicazione non è stato rilasciato e nessuno per voi potrà mai andare a constatare cosa WhatsApp Plus stia veramente facendo con i permessi richiesti dal vostro dispositivo e con i dati che voi inserite.

    Quest’ultimo fatto in realtà non dovrebbe sconvolgere i normali utilizzatori di WhatsApp più di tanto: Anche WhatsApp è realizzata da un tizio che “non conoscete”, dove con “non conoscete” si intende sempre che WhatsApp non è mai stata rilasciata ufficialmente con il codice sorgente visibile a tutti in trasparenza e per cui non potete ora lamentarvi di non sapere se WhatsApp Plus “vada bene o no” poichè neanche per WhatsApp probabilmente vi siete mai posti la domanda “se andasse bene o meno”.

    In ogni caso potete fare questa considerazione di puro relativismo fra WhatsApp e WhatsApp Plus, in termini strettamente tecnico/legali:

    • WhatsApp è comunque per la sua licenza inaffidabile (non è software libero: Cioè nessuno può dire per te se WhatsApp sia trasparente nelle sue azioni)
    • Una cosa che si basa su WhatsApp come fa per cui ad essere ancora più affidabile?

    Stesso discorso per qualunque altro software non libero (sofware proprietario): La pecca è sempre la stessa: Non sarà mai trasparente nelle sue azioni per definizione della sua licenza.

    (Piccola parentesi, salta il paragrafo se sei già annoiato: WhatApp Plus non è come per esempio EMule; in EMule (che è un software libero) qualsiasi tizio si può legalmente e liberamente inventare un “Emule Plus”, inoltre chiunque ti potrà sempre dire cosa sta facendo sul tuo computer “EMule” e cosa sta facendo questo ipotetico “EMule Plus” se anche questo EMule Plus fosse rilasciato come software libero (nel caso specifico lo deve essere poichè EMule è copyleft: Le modifiche ad “EMule” devono cioè rimanere software libero) chiunque a sua volta ti potrebbe dire se “va bene o meno” in modo strettamente tecnico osservando il suo codice sorgente, ed in ogni caso sarebbe perfettamente legale realizzare appunto questo ipotetico “EMule Plus”.)

    Ma questi sono discorsi veramente generici e applicabili al 98% dei software che avete nel vostro telefono probabilmente. Per cui il vero problema è un altro se siete stati in filo con il discorso:

  3. WhatsApp Plus è forse illegale al 99%?

    Ricapitoliamo un attimo:

    • WhatsApp Plus nasce da WhatsApp;

    OK, dò un altro indizio:

    • WhatsApp è software proprietario ⇒ Non è stato rilasciato il codice sorgente;

    OK ripeto l’altro indizio dato che pare nessuno ci stia giungendo con le proprie cellule grigie:

    Da Wikipedia: «Il software proprietario, chiamato anche privato, non libero, o closed source, è un software la cui licenza consente al beneficiario il suo utilizzo sotto particolari condizioni ed impedendone altre come la modifica, la condivisione, lo studio, la ridistribuzione o l’ingegneria inversa. […]»

    Per cui ecco il pensiero critico a voi lecito:

    1. Dunque: WhatsApp Plus nasce da WhatsApp;
    2. Poi: WhatsApp e WhatsApp Plus sono fatti da persone differenti;
    3. E ricordando: WhatsApp è software proprietario (perciò close source);
    4. Quindi: Whats App Plus, come è nato se non ha potuto prendere il codice sorgente di WhatsApp per funzionare? :roll:

    Quello che ha fatto lo sviluppatore di WhatsApp Plus perciò per realizzare la sua WhatsApp Plus si chiama reverse engineering ovvero si prende WhatsApp e si tenta di ottenerne il codice sorgente in modo quasi certamente illegale, e ripetendo per la terza volta Wikipedia, qualunque software proprietario nasce appunto per impedire che qualcuno faccia proprio questo: Modifichi la propria versione.

  4. Uhm no: È proprio illegale al 100%!

    Perciò sì, WhatsApp Plus è nella teoria quasi sicuramente illegale, ma vedrete che sarà WhatsApp ad esprimersi presto a riguardo. Anzi, si è già espressa da tempo che sbadato! Esistono i Termini di Servizio di WhatsApp:

    Da Termini di Servizio di WhatsApp: «[..] you will not attempt to reverse engineer, alter or modify any part of the Service; and (iv) you will otherwise comply with the terms and conditions of these Terms of Service and Privacy Policy. [..]»

    Dove “Service” legalmente e inequivocabilmente ha il significato di: «[..] WhatsApp Messenger and the WhatsApp Site, [..]»

    Serve un traduttore per poter capire che è proibito il reverse enginering, o comunque qualsiasi altresì forma di alterazione o modifica a qualsiasi parte di WhatsApp? E vi stupisce tuto ciò?

It’s the proprietary software’s world.

Comunque puoi sempre usare Telegram che è <em>meno</em> peggio: il client è software libero e il servizio è rilasciato senza fini di lucro.

Software libero a portata di Android con F-Droid

Android è un software libero, in teoria.

Ciò significa che abbiamo il diritto legale di usare Android per qualsiasi scopo, di studiarlo e modificarlo, di re-distribuirlo, bla bla bla, poichè ce lo dice la licenza. (A parte che non è vero, dato che praticamente tutti gli smartphone hanno tonnellate di software non libero pre-installato… ma comunque…)

Ma… le applicazioni?

F-Droid
F-Droid, “Market” per Android di software libero

Intanto inizia a prendere il tuo Android, vai a questo indirizzo, e scarica F-Droid:

F-Droid.org

Ah, prima di farlo, vai in Impostazioni > Sicurezza e abilita “Origini sconosciute” (e se vuoi disabilita “Verifica app”).

Con la prima opzione stai dicendo che vuoi scaricare app che abbiano qualsiasi origine. È giusto: vuoi la libertà di fare quello che ti pare.

Con la seconda opzione dici a Google che non vuoi che tu sia controllato per ogni applicazione che installi. È opzionale, noi lo facciamo perchè non ci piace essere sotto il controllo di Google.

Dicevamo, ovviamente gli sviluppatori fanno quello che vogliono con le loro applicazioni e ci mettono le licenze che vogliono. Ma se volessimo essere devoti al software libero e alla nostra privacy, abbiamo il diritto legale di disattivare pure tutte le applicazioni di terze parti (ciò significa anche quelle dei servizi Google come Gmail e Google Play stessi. Esatto, sono di terze parti: non fanno originariamente parte di Android e hai il diritto di disattivarle in qualsiasi modo se hai voglia, e di rimpiazzarle), e iniziamo una nuova vita liberi… come il software! F-Droid in questo ci dà una mano.

F-Droid è un’applicazione che permette di scaricare altre applicazioni di cui si ha la piena certezza che siano libere, ma trovi ulteriori informazioni sulla pagina di Wikipedia di F-Droid (che fra l’altro abbiamo scritta noi!)

Ecco alcune applicazioni che potrai trovare su F-Droid (ultimo aggiornamento 18 gennaio 2016) in ordine pseudo casuale come-mi-pare:

  1. Acrylic Paint
    Semplice strumento di disegno multitouch. OK, non vale, l’abbiamo fatta noi
  2. Mozilla Firefox
    Mica può mancare Il Browser.
    (Gli avvertimenti in rosso sono spiegati nella descrizione dell’app, non ti spaventare.)
  3. K-9 Mail
    Il client di posta più completo per il tuo smartphone. Si interfaccia a OpenKeyChain per mandarsi email in modo cifrato (vedi il “nostro” indovinello a proposito di cifratura).
  4. Apollo
    Un player musicale.
  5. Calculator
    Calcolatrice che plotta grafici.
  6. Barcode Scanner
    Fotografa una miriade di tipi di codici a barre o di QR Code e recupera le informazioni che contengono. Permette anche di generarli.
  7. Dimmer
    Per usare il telefono al buio senza esserne abbagliati.
  8. AFWall+
    Permette di negare Internet alle singole applicazioni via WiFi, 3G.
  9. FasterGPS
    Aumenta le prestazioni del proprio ricevitore GPS configurandolo con server di geolocalizzazione più vicini.
  10. Amaze File Manager
    Davvero un ottimo file manager.
  11. Sky Map
    Punta il telefono verso il cielo, ed ammira le stelle!
    L’applicazione è costruita senza la liberia di tracciamento di Google Analytics, e utilizza soltanto le sue mappe stellari.
  12. LibreOffice Viewer Beta
    La suite per ufficio libera, per eccellenza, ora su Android.
  13. Conversations
    Applicazione che si basa sul protocollo XMPP (Jabber), ovvero è in grado di gestire molteplici account di chat come per esempio la Facebook Chat (postedit: no, da qualche tempo Facebook ha chiuso questo protocollo…) o Google Talk (che sarebbe Hangout).
  14. OsmAnd~
    Navigatore per qualsiasi luogo, offline (si basa su OpenStreetMap).
  15. Shattered Pixel Dungeon
    Un gioco che fa della difficoltà la sua bellezza.
  16. oandbackup
    Backup e restore delle singole applicazioni. Serve il root ovviamente!
  17. ownCloud client
    Chi sa cos’è lo amerà; chi non lo sa non gli serve a molto. Ma presto parleremo di ownCloud, giuro.
  18. BusTo
    Se sei Piemontese! Sì, l’abbiamo fatta noi
  19. MineSweeper
    OK, anche questa l’abbiamo fatta noi
  20. Chord Shift
    Per traslare accordi musicali in fretta.
    OK, anche quest’ultima l’abbiamo fatta noi Basta. Per ora.
  21. Kontalk
    Chat cifrata end-to-end pronta al volo 100% software libero con server distribuiti guidati dalla comunità? Kontalk. Un Italiano fra i principali sviluppatori. Si basa sull’amato protocollo XMPP.
    Ci abbiamo donato qualche spicciolino, se lo meritano. Bravi team Kontalk!

E infine:

  • Cowsay
    Originariamente nato per GNU/Linux la cui unica (in)utilità è generare mucche e altre bestie strane sotto forma di testo. Tipo:
 ____________________
( Viva viva F-Droid! )
 --------------------
   o
    o
        .--.
       |o_o |
       |:_/ |
      //   \ \
     (|     | )
    /'\_   _/`\
    \___)=(___/

Alcune fra le applicazioni sopra citate ovviamente possono anche trovarsi su Google Play. Ma su F-Droid abbiamo la certezza che siano completamente libere e che non siano state manipolate in un momento intermedio dall’autore.

Continua l’argomento F-Droid su Wikipedia.

Buon F-Droid a tutti!

Copertine musicali su Android con Cover Art Downloader

In questo articolo tratteremo un argomento che sta particolarmente a cuore agli utenti Android amanti della musica: Le copertine degli album nella sezione “Musica”.

Nel celebre sistema operativo per dispositivi mobili, Android, l’applicazione “Musica” è suddivisa in quattro sezioni per la selezione dei brani musicali in base ad: “Artista”, “Album”, “Canzoni” o “Playlist”, la seconda sarà quella che prenderemo in considerazione.
Nelle versioni meno recenti dell’O.S. in questione, infatti, la sezione “Album” presenta la lista dei nostri album ed a sinistra le relative copertine.

Queste ultime, però, non possono essere visualizzate o modificate direttamente dal cellulare e ciò che otterremo sarà sempre questo:

Cover Art Downloader Reyboz Blog

I riquadrini ci mostreranno dunque non la copertina esatta dell’album ma bensì l’immagine di default di Android, il che risulterà brutto a vedersi, soprattutto per i più affezionati alla propria musica…
Ed è qui che entra in gioco Cover Art Downloader: un’applicazione gratuita facilmente scaricabile dal Play Store

Cover Art Downloader ReybozBlog 2

Una volta aperta, questa applicazione si presenterà così:

Cover Art Downloader ReybozBlog 3

Sarà dunque sufficiente toccare l’album a cui desideriamo abbinare la propria copertina affinchè Cover Art Downloader avvii una veloce ricerca

Cover Art Downloader ReybozBlog 4

A termine della quale l’applicazione ci chiederà di confermare la copertina trovata

Cover Art Downloader ReybozBlog 5

Affinchè ciò avvenga correttamente dovremo soltanto assicurarci di essere connessi ad Internet e di aver rinominato le cartelle degli album musicali nella scheda SD del nostro cellulare con il nome esattamente uguale a come quest’ultimo è stato pubblicato; in caso contrario la ricerca di Cover Art Downloader non andrà a buon fine, ma ci verrà comunque data la possibilità di avviarne un’altra dopo aver reinserito il titolo dell’album, questa volta correttamente,  potrete così godervi anche voi una libreria musicale così:

Cover Art Downloader ReybozBlog 6