Il taccuino di Armando Leotta Rotating Header Image

BlackBerry: Update con spyware?

etisalatLa piattaforma BlackBerry non è nuova a situazioni in cui si mette in discussione il rispetto della privacy.
Questa volta la situazione è un po’ diversa e riguardo un aggiornamento software.
Spedito come un WAP PUSH MESSAGE, l’aggiornamento in questione istalla un file java sul dispositivo mobile.
Tutto normale se questo aggiornamento, spedito agli utenti blackberry sulla rete ETISALAT negli Emirati Arabi, altro non fosse che un’applicazione in grado di intercettare sia mail che sms, spedirne una copia ad un server Etisalat, il tutto all’insaputa dell’ignaro utente che notava solo un degrado della durata della batteria.
Pare che proprio questo aspetto abbia insospettito alcuni utenti e sviluppatori che ad un controllo più approfondito si sono ritrovati di fronte a questa sorpresa.
L’aggiornamento era così etichettato: “Etisalat network upgrade for BlackBerry service. Please download to ensure continuous service quality.”
Il file JAR, firmato, faceva riferimento ad una applicazione nel percorso /com/ss8/interceptor/app:
/Interceptor.class
/Registration.cod
/Registration.csl
/Registration.cso
/META-INF/MANIFEST.MF
/com/ss8/interceptor/app/Commands.class
/com/ss8/interceptor/app/Transmit.class
/com/ss8/interceptor/app/MsgOut.class
/com/ss8/interceptor/app/Log.class
/com/ss8/interceptor/app/Main$1.class
/com/ss8/interceptor/app/StatusChange.class
/com/ss8/interceptor/app/Send.class
/com/ss8/interceptor/app/Main.class
/com/ss8/interceptor/app/Recv.class
/com/ss8/interceptor/app/Constants.class
/com/ss8/interceptor/tcp/smtp/SMTPHeader.class
/com/ss8/interceptor/tcp/smtp/SMTP.class
com/ss8/interceptor/tcp/HTTPDeliver.class
com/ss8/interceptor/tcp/SocketBase.class
Preoccupanti i riferimenti ad APN alternativi e ad alcuni PIN blackberry a cui girare messaggi.
Al momento nessun riferimento da parte di RIM, Etisalat o SS8. In rete girava una utility per rimuovere questo aggiornamento ma non risulta essere più disponibile.
Sulle motivazioni alla base di questa distribuzione di codice vi sono già diverse teorie non ultima quella di un tentativo di aggirare la difficoltà intrinseca dell’architettura BlackBerry per poter disporre di informazioni (in chiaro) in tempo reale all’insaputa degli utenti.
Certo, c’è anche quella di un push di un pacchetto sbagliato. Per errore, ovviamente.

La piattaforma BlackBerry non è nuova a situazioni in cui si mette in discussione la sicurezza ed il rispetto della privacy.

Questa volta la situazione è un po’ diversa e riguardo un aggiornamento software.

etisalatSpedito come un WAP PUSH MESSAGE, l’aggiornamento in questione istalla un file java sul dispositivo mobile.

Tutto normale se questo aggiornamento, spedito agli utenti blackberry sulla rete ETISALAT negli Emirati Arabi, altro non fosse che un’applicazione in grado di intercettare sia mail che sms, spedirne una copia ad un server Etisalat, il tutto all’insaputa dell’ignaro utente che notava solo un degrado della durata della batteria.

Pare che proprio questo aspetto abbia insospettito alcuni utenti e sviluppatori che ad un controllo più approfondito si sono ritrovati di fronte a questa sorpresa.

L’aggiornamento era così etichettato:

“Etisalat network upgrade for BlackBerry service. Please download to ensure continuous service quality.”

Il file JAR, regolarmente firmato, faceva riferimento ad una applicazione nel percorso /com/ss8/interceptor/app:

/Interceptor.class

/Registration.cod

/Registration.csl

/Registration.cso

/META-INF/MANIFEST.MF

/com/ss8/interceptor/app/Commands.class

/com/ss8/interceptor/app/Transmit.class

/com/ss8/interceptor/app/MsgOut.class

/com/ss8/interceptor/app/Log.class

/com/ss8/interceptor/app/Main$1.class

/com/ss8/interceptor/app/StatusChange.class

/com/ss8/interceptor/app/Send.class

/com/ss8/interceptor/app/Main.class

/com/ss8/interceptor/app/Recv.class

/com/ss8/interceptor/app/Constants.class

/com/ss8/interceptor/tcp/smtp/SMTPHeader.class

/com/ss8/interceptor/tcp/smtp/SMTP.class

com/ss8/interceptor/tcp/HTTPDeliver.class

com/ss8/interceptor/tcp/SocketBase.class

Curiosamente, il codice sembra essere attribuito a SS8, una società americana che sviluppa sistemi di sorveglianza elettronica.

Preoccupanti anche i riferimenti ad APN alternativi e ad alcuni PIN blackberry a cui girare messaggi.

RIM ha rilasciato un aggiornamento, Etisalat un comunicato in cui parla di un “conflict in the settings in some BlackBerry devices” e si mette a disposizione degli utenti. In rete nel frattempo girava un tool non ufficiale per rimuovere questo aggiornamento ma non risulta essere più disponibile (era seventh message down).

Sulle motivazioni alla base di questa distribuzione da parte della Etisalat di codice malevolo vi sono già diverse teorie non ultima quella di un tentativo di aggirare la difficoltà intrinseca dell’architettura BlackBerry per poter disporre di informazioni (in chiaro) in tempo reale all’insaputa degli utenti.

Certo, c’è anche quella di un push di un pacchetto sbagliato.
Per errore, ovviamente.

_____
Clusit

Be Sociable, Share!