Carlo Pelliccia - Pagina Web personaleCarlo a fumetti

Spy-App su ioProgrammo 178

Notizia pubblicata il 9 Settembre 2012, alle ore 16:01

ioProgrammo 178

In edicola trovate ioProgrammo 178, il numero di Settembre della rivista.

Questo mese ci troverete "solo" un mio articolo,ma si tratta di un pezzo un po' più lungo e particolare del solito. Mi sto riferendo proprio alla cover-story del numero, cioè al tutorial declamato in copertina con l'ammiccante scritta "Spy-App".

In sostanza si tratta di un articolo incentrato su Android che dimostra quanto sia facile, con tecniche informatiche ma non solo, realizzare una app malevola capace di spiare l'utente e di carpire i dati presenti sul suo telefonino.

L'esempio pratico illustrato nel corso del tutorial si concentra in particolar modo sugli SMS, ma la tecnica può essere applicata anche ad altre categorie di dati. L'applicazione dimostrativa accede silenziosamente al database dei messaggi inviati e ricevuti dal telefono, li organizza in un formato compresso e li carica su un server remoto, dove un sedicente pirata informatico può leggerli lanciando una semplice query su un database relazionale.

Questa mia pubblicazione così particolare si prefigge due scopi.

Da un lato vuole dimostrare alcune fra le tecniche di programmazione  più interessanti e peculiari di Android, che trovano applicazione soprattutto al di fuori delle app malevole. Mi riferisco a strumenti come i content provider, che permettono di leggere le informazioni presenti sul telefono, i timer, che consentono di eseguire operazioni a determinati intervalli temporali, i broadcast receiver, che permettono di intercettare gli eventi registrati dal sistema, i service, che permettono di eseguire operazioni in sottofondo, ed il networking, che consente lo scambio di dati con un server remoto attraverso la connessione dati del dispositivo. Insomma, le app malevoli sono spesso un ottimo caso di studio, perché miscelano sapientemente diverse tecniche e strumenti.

L'altro scopo dell'articolo è mostrare la debolezza del fattore umano nel caso del software per Android. L'applicazione dimostrativa non usa alcuna tecnica "illecita" per carpire i dati, ma passa attraverso le comuni API pubbliche del sistema. Ciò significa che lo strato di sicurezza di Android non viene in alcun modo bypassato: scaricando un'app del genere dal market, verrebbe ben messo in evidenza all'utente che l'applicazione è in grado di accedere al suo archivio SMS e di spedire dati attraverso la rete. Il problema è che molti utenti ignorano questo genere di avvisi e, pur di installare la più improbabile delle funny app disponibili sul market, danno il loro consenso alle più illogiche richieste di autorizzazione. L'esempio vuole quindi far riflettere su come dietro un giochino o un'applicazione qualsiasi possa invece celarsi uno spyware. Fate attenzione!

EOF