SSL

Android app rischio riscurezza

Android, troppe app a rischio sicurezza

Android app rischio riscurezza

Sul fatto che Android sia un sistema operativo per device mobile particolarmente a rischio vi sono oramai ben pochi dubbi, così come confermato da numerose ricerche, report ed alerts, ma stando a quelle che sono le informazioni emerse proprio nel corso delle ultime ore la situazione è ora diventata ancora più preoccupante.

Alcuni ricercatori dell’università di Hannover, infatti, hanno pubblicato un studio nel quale viene illustrato come sono riusciti ad estrapolare dati sensibili degli utenti utilizzando diverse applicazioni per device Android, molte delle quali anche abbastanza diffuse e conosciute, andando ad infrangere i sistemi di sicurezza impiegati per proteggere le sessioni di comunicazione con i server.

Le app coinvolte sono state, nello specifico, 41 e sono state scaricate complessivamente tra le 40 e i 185 milioni di volte, un dato questo che ha reso il problema ancor più importante.

pericolo-ssl

Internet, pericolo SLL alla GlobaSign

pericolo-ssl

Tutti gli sviluppatori di APP per Facebook sono sicuramente a conoscenza della scelta presa dal noto social network, riguardo la i certificati SSL. Tutti i giochi, ma anche le altre applicazioni in generale, dovranno essere su siti con connessione sicura, offerta dai certificati SSL per poter essere accettati da Facebook, in alternativa, tali app, avranno vita molto breve sul social network.

Il tema delle connessioni sicure in HTTPS, è un argomento molto discusso in questi ultimi anni, i principali e-commerce online, hanno tutte un proprio certificato, in quanto utile per proteggere le transazioni di soldi online, ma quando sono realmente sicuri questi certificati? Andando a prendere le ultime notizie dal mondo della sicurezza online, l’impero dei certificati SSL sembra molto poco stabile. La nota azienda DigiNotar è stata violata pochi giorni fa, questo ha portato a liberare molti dei codici usati per creare i certificati nuovi e vecchi.

Hotmail aggiunge la connessione https

Certo, ormai lo sappiamo tutti, se c’è una cosa che ultimamente è sempre più discussa, è sicuramente la sicurezza sul web. Alcuni giorni fa vi abbiamo dimostrato come sia semplice accedere ad un account altrui senza alcuna autorizzazione sfruttando i famosi “biscotti”, e grazie all’aiuto di firesheep.

Il modo più semplice per sconfiggere browser-sniffing, privacy, ed hacker è sicuramente quello di utilizzare una connessione cifrata. Proprio per questo molti siti stanno cercando sempre di più di inserire connessioni protette (https) non solo per l’autenticazione, ma anche per la durata di tutta la navigazione crittografata da SSL. Gmail questo già lo fa, e da poco tempo anche Hotmail ha pensato bene di proteggere i suoi clienti con una connessione protetta.

Come ottenere un certificato digitale SSL e rendere sicuro il proprio sito web

Con questa piccola guida vogliamo fare un po’ di chiarezza su quello che sono i server certificati e come poter certificare il proprio.
Navigando, infatti, capita spesso (senza che ce ne accorgiamo in realtà) che la nostra comunicazione con un particolare server venga cifrata, si passi cioè in automatico da una connessione e comunicazione su HTTP ad una su Secure HTTP. HTTPS è sostanzialmente identico al protocollo HTTP con un livello di certificazione/cifratura dei messaggi scambiati fra client e server (attraverso il protocollo SSL), quindi fra noi e il server con cui stiamo parlando.

Immaginiamo per esempio di accedere al server della nostra banca per effettuare un bonifico, o su un sito di E-Commerce per comprare un articolo, se la comunicazione non fosse messa in sicurezza, un qualsiasi utente della rete sarebbe in grado di “sniffare” il nostro traffico e leggere tutti i pacchetti che noi stiamo scambiando con uno di questi due server. In tali pacchetti sarà ovviamente contenuto anche il codice di accesso al sito web della nostra banca e i dati (TUTTI) della nostra carta di credito (per informazioni al riguardo leggere su Wikipedia Man in the middle
Non è pensabile quindi, in casi come questo, comunicare in chiaro con il server (e soprattutto non dovete fidarvi troppo di siti che vi chiedono il codice della carta di credito e non hanno un minimo livello di sicurezza).