On Wed, Oct 8, 2008 at 10:15 AM, Gaetano Zappulla wrote: > Ciao. [...] > - Se il telefono è bloccato, all'arrivo di una chiamata (anche se > andata persa) o di un SMS, lui comunque la mostra in bella vista a > schermo. Nel caso del messaggio, lui ne mostra a schermo anche il > testo completo.
Non riesco a capire quale sia il problema, visto che il telefono è nelle tue mani. Cosa c'è di maggiormente insicuro rispetto all'usare un laptop o persino un PC aziendale dove i tuoi colleghi vedono i tasti che batti e quello che appare nel tuo video semplicemente guardando dietro alle tue spalle? > - Fotocamera: se il telefono è in modalita' silenziosa (che potrebbe > corrispondere anche alla vibrazione, visto che - a quanto pare - si > possono usare solo due profili), la fotocamera permette di scattare > foto senza il famoso segnale acustico di avvertimento. Come d'altronde, tutti i cellulari di oggi. Almeno tutti i Nokia, Motorola e Sony Ericsson, quindi direi un 75% di quelli in commercio. > - Gestione password: l'inserimento in un form di una password è la > cosa che odio di piu', praticamente oltre ad avere un delay nel quale > il carattere appare in chiaro (delay non modificabile, quindi non > settabile a "zero", per esempio), Il che è indispensabile in questo contesto, visto che non stai usando una tastiera fisica, e ancora, lo fanno tutti i cellulari - ma comunque e di nuovo: il telefono è nelle tue mani... > sulla tastiera virtuale il tasto > premuto si evidenzia. Inserire una password con questi presupposti è > impossibile, stare attenti a chi (probabilmente?) ti sta guardando, > nascondere la tastiera virtuale, nascondere la parte dello schermo con > il form dove viene inserita la password... uhm.. Faccio prima ad > inserirla in chiaro. Mah :-) ancora, mi sembra un problema molto personale. Ti senti più sicuro ad inserirla su un PC e laptop seduto in aereoporto o in ufficio? > - Chiamate Recenti: non è possibile cancellare una voce dalle > "chiamate recenti" (sia perse che ricevute). O tutto, o niente. Al limite è una limitazione della user experience ma molto difficilmente un problema di security, francamente!!! > Sapete se il -dev team di apple sta indirizzando qualcuno di questi > problemi? No, ma prima di porgli queste "problemi" mi informerei presso qualche esperto di mobile user experience onde evitare figuracce e/o essere assolutamente ignorato in quanto irrilevante. > Il tutto premesso che non ho intenzione di fare, o non posso > nemmeno proporre di fare a chi mi ha richiesto una consulenza a > riguardo (un iphone pwn3d per una azienda potrebbe essere un problema > :P), un ./jailbreak. Io non te la chiederei :-) perché mi dovresti dimostrare di avere esperienza nel mondo mobile, ma ad occhio non mi pare. Senza offesa. Ci sono problemi ben più rilevanti nell'iPhone, per esempio è chiaro che "chiami casa" quando installi e/o utilizzi (in certi casi) una applicazione, e pare che la Apple possa rimuoverti/invalidarti le applicazioni da remoto. Il che va contro a qualsiasi principio in genere in vigore in Europa - il telefono è di proprietà dell'utente e se vuole installarsi del malware, come esempio estremo, deve poterlo fare senza che il gestore/fornitore del servizio e dell'hw glielo rimuovano arbitrariamente da remoto! Altro problema grave è l'utilizzo dei Widget nelle Applicazioni, infatti possono accedere a parti del telefono come l'addres book senza autorizzazione dell'utente. Queste applicazioni dovrebbero essere per lo meno firmate con una chiave crittografica per certificarne la provenienza, ma al momento non esiste niente di tutto ciò. Esistono dei libri interessanti sull'iPhone uno si chiama "iPhone forensics" penso che dovrebbe uscire presto (oppure è già uscito) per la O'Reilly. Cordiali saluti -- Marco Ermini [EMAIL PROTECTED] # mount -t life -o ro /dev/dna /genetic/research http://www.markoer.org/ - http://www.linkedin.com/in/marcoermini "Jesus saves... but Buddha makes incremental back-ups!" ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
