lunedì 11 maggio 2020

Un cellulare "castrato"


Parliamo un pochino dei cellulari vecchi, quelli che teniamo in fondo al cassetto "perchè lo uso come muletto se serve".

Intanto lo sappiamo tutti, difficilmente lo useremo come muletto.
Vuoi perchè chi fa riparazioni ci mette poco, vuoi perchè compriamo un nuovo telefono, finiamo per tenere un dispositivo a fare nulla.

Ne parlavo tempo fa, nel mio post relativo alle telecamere Victure, dell'utilità di avere un cellulare "castrato".

Perchè?

Perchè riduci l'esposizione dei tuoi dati nel tuo dispositivo di uso quotidiano.
Semplice, tutto qui.

Ma vediamo insieme degli esempi forse stupidi, ma calati nella realtà quotidiana.

Come è capitato a me, vuoi installare un paio di telecamere da interfacciare al tuo sistema di videosorveglianza, ti scarichi l'app apposita. Però quest'app ti chiede il permesso di accedere alla tua galleria (lecito, deve salvare presumibilmente delle immagini e dei video) ed ai tuoi contatti (lecito, se vuoi dare loro il permesso di vedere le tue telecamere da remoto). Sempre quest'app comunica con i suoi server, che sono in Cina.
Sei sicuro al 100% che non condivide con nessuno i tuoi dati?
Ma così sicuro che dai ad un'estraneo l'accesso alla tua galleria con magari le tue foto personali, delle targhe dei tuoi mezzi, di tua moglie in costume, di tuo figlio a scuola?

Compri finalmente una striscia di led RGB da mettere in casa che fa molto figo. Ovvio che si comandano con il cellulare, e che diavolo, siamo nel 2020 e se non c'è l'app non è un prodotto figo!
Quest'app di chiede di accedere alla memoria del dispositivo, per salvare il profilo colore. Ti chiede anche un altro paio di cose, ma tu fai click su ok e vai avanti, vuoi vedere i led che cambiano colore con il movimento del tuo dito.
A cosa hai dato ok di preciso?
Lo sai?

Tuo figlio ti chiede il tuo vecchio telefono per giocare.
Tiri fuori il dispositivo dal cassetto, lo metti in carica e glielo dai.
Con tutto quello che c'era a bordo di tuoi dati. App, foto, appunti, rubrica.
Hai la vaga idea di quali app installi il tuo pargolo e di quali permessi vengano richiesti?

Ultimo esempio, le lampadine.
Oramai tutti sono domotici e fa figo avere qualche lampadina che si accende per gli affari suoi. Te ne compri un pacchetto da 3 in offerta on line, quando arrivano installi la loro app e piazzi i tre bulbi in giro per casa.
Smanetti un pochino e tra concessioni di permesso e salvataggi raggiungi il tuo scopo. Finalmente quando vai in vacanza le luci della cucina, della sala e della camera da letto si accendono e spengono con una precisa sequenza temporale.
Ma l'app a chi manda i tuoi dati? E di preciso, quali dati manda?

Sono solo esempi, ma ci siamo trovati tutti a installare qualcosa che chiede permessi su permessi per funzionare. Fino a che l'app è di uso quotidiano o irrinunciabile si possono fare delle indagini e vedere se qualcuno ha trovato problematiche di sicurezza, certo.

Ma quando l'app è "giusto per provare" oppure è una roba che deve fare una sola cosa, perchè concedere tutti i permessi sul nostro dispositivo di uso quotidiano?

L'app dell'home banking, quella della PostePay, magari Paypal. Un paio di password salvate in posti che neppure ricordate, due o tre numeri telefonici che più o meno segretamente sono il pin del bancomat... Mettiamoci anche le foto, la cronologia di navigazione, la cronologia di Google Maps, serve altro?

E voi dareste ad un'app che comunica ad un server sconosciuto l'accesso a tutti questi dati? Tranquillamente? 
Io no.

Per questo mi sono fatto un account Google dedicato.
Login e password che non hanno nulla a che vedere con me.
Solo la mail di recupero e la data di nascita sono reali, il resto è fuffa.
Tengo il telefono solo in wifi e solo in casa, non me lo porto mai da nessuna parte.
Installo spesso cose da "una volta e via", ma di tanto in tanto "sanifico" il dispositivo.
Certo, è una violazione dei termini di contratto di Google, verissimo.
Ma quello, a mio avviso e per il mio modo di vedere, è il male minore.

Ovvero faccio un bel reset di fabbrica, cancello tutto, vado sul Play Store e cancello tutti i software associati al dispositivo. In aggiunta, cambio la password di Google e mi premuro di non ripristinare nulla dai backup.

Per esempio, il software Ewelink per i Sonoff che ho in giro, o l'app di Xiaomi per il gateway sono state messe entrambe sul cellulare "castrato". Semplice, veloce, zero problemi e zero preoccupazioni.

Tutte queste procedure sono inutili, se non si segmenta anche la rete domestica.

Infatti ho due reti wifi (hem, 4, ma sono affari miei).
Una rete è quella domestica "ufficiale" ed una è quella di "test" nella quale metto i nuovi dispositivi.
La rete "test" può solo uscire verso internet e non ha alcun contatto con la rete "ufficiale" proprio per segmentare tutto.

Quando poi un dispositivo passa il test e viene spostato sulla rete "ufficiale", se necessario, blocco la sua comunicazione verso Internet o verso gli altri dispositivi di rete.

Questo mi permette di segmentare la mia vita on line tra dispositivo di uso quotidiano e dispositivo di uso saltuario.
Mi permette anche di tenere per me le mie foto e le mie app (ben poche) senza dover concedere permessi su permessi ad app che si usano solo durante il setup di un prodotto.

Paranoia?
Forse.

Paranoia costosa?
Neanche tanto.

Paranoia che mi fa stare sereno?
Decisamente si!

Non dico che ogni persona lo debba fare, sia chiaro.
Dico solo che riflettere un pochino sulle app che si installano e sui permessi che vengono richiesti potrebbe essere cosa buona...

Nessun commento:

Posta un commento

Sei davvero sicuro di voler sprecare tempo prezioso per scrivere qualcosa? Non è che preferisci andare su Google?

Cerca nel blog

I post più letti di sempre