Questo sito contribuisce alla audience di Il Messaggero

Come mandare in tilt un cellulare

di

Niente da fare, ci sei cascato di nuovo. Di recente sei stato vittima dell’ennesimo scherzo telefonico da parte di uno dei tuoi amici, ma adesso basta: è arrivato il tuo momento di farlo spaventare, in modo da ripagarlo con la stessa moneta e dimostrargli che “lo scherzo è bello quando dura poco”. Ti sei messo dunque alla ricerca di soluzioni su come mandare in tilt un cellulare e sei finito qui, su questo mio tutorial, intenzionato a capire “come ripagare con la stessa moneta” il tuo amico, ma soprattutto come difenderti da problemi di questo tipo.

Ebbene, ti informo che sei nel posto giusto allora: nelle righe successive, infatti, ti illustrerò un po’ tutto quello che c’è da sapere sulle tecniche — più o meno pericolose in termini di privacy e sicurezza dei dispositivi — che è possibile mettere in pratica per mandare in tilt uno smartphone (sia esso Android o un iPhone) e, cosa altrettanto importante, ti dirò come difenderti, entro i limiti del possibile, da tali minacce.

ATTENZIONE: tutto quello che trovi scritto di seguito è stato scritto a puro scopo illustrativo, non è assolutamente mia intenzione incentivare operazioni lesive della privacy e della sicurezza dei dispositivo e, pertanto, non mi assumo alcuna responsabilità su ciò che farai con le informazioni contenute nell’articolo. Precisato questo, direi che possiamo cominciare!

Indice

Vulnerabilità di sistema

Vulnerabilità di sistema su cellulare

Come ben saprai, dietro a qualsiasi sistema operativo, come Android e iOS nell’ambito smartphone, esiste un team di sviluppatori esperti che ogni giorno lavora incessantemente per rendere il software più stabile, sicuro e performante, attraverso l’individuazione, lo studio e la correzione delle cosiddette vulnerabilità di sistema.

Purtroppo, può capitare che alcune di queste falle (cioè bug o errori nella programmazione del sistema) rimangano nascoste anche ai programmatori più esperti del team; allo stesso tempo, nel momento in cui un malintenzionato entra in contatto con una di queste vulnerabilità, l’esistenza di quest’ultima rischia di essere diffusa facendo partire una serie di reazioni a catena in grado di generare centinaia e centinaia di exploit.

Con il termine exploit, infatti, s’intendono tutti quei programmi, script e virus che sfruttano le falle di sicurezza trovate nei software e non comunicate agli sviluppatori per una correzione (che sarebbe la pratica più corretta da seguire), ma diffuse online per poter commettere azioni malevole, reati e dar vita ad altri disservizi di natura digitale. Alcuni di questi possono essere utilizzati solo per scopi “ludici”, ma altri rappresentano dei grandissimi rischi per la sicurezza dei device e dei dati che essi custodiscono, quindi parliamo di cose molto serie.

Per esempio, un malintenzionato potrebbe trovare una falla nel codice di Android, iOS o di alcune app per questi sistemi operativi, condividerla nelle community che si occupano di pirateria informatica (anziché agli sviluppatori dei software in questione, come sarebbe giusto fare) e fornire a chiunque gli strumenti necessari per la creazione di un exploit in grado di causare danni ai dispositivi colpiti, ad esempio dirottando un utente all’interno di siti sospetti, avviare software non autorizzati e bloccare il device in maniera più o meno seria.

Ad esempio, in passato, ci sono stati exploit che permettevano di bypassare (almeno parzialmente) il codice di sblocco di iPhone e iPad, di bloccare i suddetti device con dei semplici emoji e di installare pericolosi spyware sia su iOS che su Android. Insomma, come detto, ci sono falle con vari gradi di gravità.

Anche i social network possono essere veicolo di falle di sicurezza in grado di bloccare i dispositivi. Ad esempio, PGTalal, un ragazzo di 14 anni che ha fatto uso delle sue abilità nella programmazione di tipo Full-Stack per creare delle Storie di Instagram che, una volta avviate, bloccano completamente il dispositivo dell’utente. Questa operazione è stata possibile tramite l’utilizzo di un proxy HTTP, in grado di bypassare i controlli dei server di Instagram e consentirgli di ingigantire la propria storia Instagram fino a renderla di dimensioni mastodontiche. In questo modo, i dispositivi impossibilitati a renderizzare questi contenuti dalle grandi dimensioni manifestavano crash dell’applicazione oppure il blocco totale dell’interno sistema operativo.

Avvio di contenuti pericolosi su cellulare

Può capitare anche che alcuni di questi contenuti vengano creati involontariamente, senza che l’autore originale sappia dei potenziali rischi per gli altri utenti. Tra i vari esempi di questi “disguidi tecnologici” va segnalata la presenza di un’immagine raffigurante un lago durante il tramonto che, una volta applicata come sfondo, portava alcuni dispositivi a un ciclo infinito di crash, forzando gli utenti a effettuare un ripristino di Android.

Le cause dietro a questo fenomeno risiedono dietro ai colori usati durante il fotoritocco dell’immagine originale su Photoshop. Tramite l’utilizzo di un set di colori incompatibile con il sistema di Google, quest’ultimo risultò impossibilitato a leggere correttamente l’immagine, portando al crash di sistema.

In tutti i casi, un ottimo metodo per evitare questo tipo di situazione risiede nel mantenere costantemente aggiornato le proprie applicazioni e il proprio sistema operativo. Ottenendo le versioni più recenti dei software, infatti, diminuirai drasticamente la presenza di vulnerabilità all’interno del tuo device.

Per approfondimenti, ti rimando ai miei tutorial su come aggiornare Android, iOS e le applicazioni.

Avvio di app con privilegi elevati

Avvio di app tramite root su cellulare

Pratiche come il root su Android e il jailbreak su iOS, come forse già saprai, permettono di eludere le misure di sicurezza standard dei suddetti sistemi operativi e di eseguire, dunque, applicazioni che necessitano di permessi più elevati per poter funzionare.

Ciò si traduce, per esempio, nella possibilità di alterare i parametri di funzionamento di alcuni componenti (facendo ad esempio il cosiddetto overclock del processore) e di installare applicazioni da fonti esterne rispetto agli store ufficiali (operazione che, invero, può essere eseguita anche senza root su Android o jailbreak su iOS).

Insomma, si tratta di modifiche software che hanno vantaggi significativi per quanto riguarda la libera personalizzazione del proprio device, ma che possono nuocere alla stabilità e alla sicurezza del sistema operativo.

Tramite l’esecuzione di applicazioni con privilegi d’amministrazione, infatti, potresti spalancare le porte del tuo dispositivo a qualunque processo in esecuzione, scavalcando qualunque difesa creata da Google o Apple, creando così le condizioni perfette per l’avvio di app e script in grado anche di mandare in tilt telefono, in maniera dolosa o per un semplice errore di configurazione (es. impostando male i parametri di overclock della CPU, si rischia di danneggiare il componente stesso e mandare in tilt l’intero smartphone).

Tra le app più pericolose ci sono quelle che nascondono delle backdoor, cioè delle porte di ingresso nascoste ai malintenzionati, permettendo a questi ultimi l’esecuzione da remoto di software in grado di minare la stabilità e la privacy del sistema operativo.

Va da sé che evitare di effettuare modifiche come il root e il jailbreak e limitarsi all’installazione di applicazioni ufficiali e supportate dal proprio telefono è a oggi il metodo più efficace per annullare il rischio di trovarsi in queste situazioni spiacevoli.

Per approfondimenti, ti consiglio di dare un’occhiata alle mie guide su come rimuovere il root su Android, come rimuovere il jailbreak da iPhone e come disattivare l’installazione di app da fonti non ufficiali.

Salvatore Aranzulla

Autore

Salvatore Aranzulla

Salvatore Aranzulla è il blogger e divulgatore informatico più letto in Italia. Noto per aver scoperto delle vulnerabilità nei siti di Google e Microsoft. Collabora con riviste di informatica e cura la rubrica tecnologica del quotidiano Il Messaggero. È il fondatore di Aranzulla.it, uno dei trenta siti più visitati d'Italia, nel quale risponde con semplicità a migliaia di dubbi di tipo informatico. Ha pubblicato per Mondadori e Mondadori Informatica.