La macchina di immuni ha un bug nel protocollo (ma niente panico)

Non è la prima volta che si parla dei rischi di vulnerabilità di un protocollo come Bluetooth, che non è nato per quello che oggi gli si chiede di fare con immuni. Un po’ la stessa cosa che è accaduta con le automobili, che solo oggi iniziano a essere progettate ed equipaggiate per gestire la sicurezza di sistemi digitali che potrebbero creare problemi alla guida se bucati da remoto: quando erano stati inseriti a bordo i primi chip non si immaginava che un giorno l’auto sarebbe stata perennemente connessa, è stato necessario cambiare mentalità e approccio per farvi fronte.

Dicevamo, il Bluetooth non è perfetto: in più, il protocollo Google-Apple è stato messo assieme in fretta e furia in poche settimane. Inevitabile qualche errore di gioventù.

Quello che va sempre precisato è che, come nel caso di quanto si sta discutendo in queste ore (e che non riguarda immuni in sé: bensì il protocollo su cui non ha controllo e che sfrutta per essere compatibile con il massimo numero possibile di smartphone), un bug o una vulnerabilità non richiedono necessariamente di buttare via il bambino con l’acqua sporca.

Lo spirito di una norma come il GDPR, che poi è quella che sovrintende la privacy e la cybersecurity da noi in Europa, non è tanto dare delle regole da seguire: bensì fornire delle linee guida su cui impostare il proprio approccio alla questione della sicurezza. Qual è il bilanciamento tra rischi e vantaggi di una certa tecnologia, di come si è progettato un database, di come si regola l’accesso a certi dati? Bisogna svolgere una sorta di esercizio che pesi pro e contro di una determinata soluzione: non ne esiste alcuna priva di rischi, quel che si può fare è minimizzarli.

Sfruttare il bug in questione, di cui si vociferava da un po’, imporrebbe una concatenazione di azioni davvero improbabile: tantissime antenne Bluetooth disposte ovunque, o seguire costantemente un individuo per monitorare cosa fa; un lavoro di ricostruzione dell’identità a partire dai codici pseudo-anonimi, la cui complessità è di per sé notevole ma che aumentando il numero di individui si complica ulteriormente; la possibilità di tradurre queste informazioni in informazioni utili da monetizzare/sfruttare, altra azione che non è immediata.

Banalmente, gli unici che avrebbero gli strumenti e le risorse per mettere in pratica questo tipo di attività di tracciamento massiva sarebbero i Governi: che però volendo hanno mezzi più semplici per farlo. Dico per dire, basterebbe usare il GSM (la connessione dei nostri smartphone, infrastruttura già capillare e funzionante) per tracciare in modo molto più preciso ed efficace i cittadini: senza dover neppure preoccuparsi di risalirne all’identità, visto che sono già perfettamente identificati in quel caso. Per un attaccante privato sarebbe molto più semplice, ed economico, aggirare il problema facendo installare (con l’inganno) un trojan su uno smartphone: un cavallo di troia che scavalchi codici e pseudo-anonimizzazione e vada direttamente a captare informazioni più preziose e direttamente sfruttabili.

Il resto è materia da azzeccagarbugli e da complottisti.

Come installare i GMS su Mate 30 Pro in 10 passi

(la recensione completa è su StartupItalia)

La sequenza per installare i Google Mobile Services (GMS) su Huawei Mate 30 Pro la trovi di seguito: ricorda, però, che stai operando al di fuori di ogni forma di garanzia e se mandi il tuo telefono a farsi benedire, o se ti ritrovi le tue foto caricate su Rotten, è perché hai deciso di operare a tuo rischio e pericolo una procedura non documentata e al limite della legalità. Se sei sicuro di quello che stai per fare, procedi.

  1. Rimuovi la SIM dal telefono (se l’hai già inserita)
  2. Ripristina il Mate 30 Pro alle condizioni di fabbrica (nota bene: perderai tutto quanto sul telefono): Impostazioni > Sistema e aggiornamenti > Esegui il reset del telefono
  3. Scarica questo archivio che contiene quanto serve per effettuare l’operazione: HuaweiMate30Pro_GoogleMobileServices .zip
  4. Estrai i file nell’archivio, e piazza le due cartelle risultanti su una chiavetta USB che potrai collegare alla porta USB del Mate 30 Pro (ti serve qualcosa tipo questa o questo: nota bene, non sono link referral e non ci guadagno nulla)
  5. Avvia il telefono, completa il setup iniziale evitando accuratamente di configurare la WiFi, avviare qualsiasi servizio, impostare PIN, password di sblocco, sblocco col viso o l’impronta digitale: il telefono deve restare rigorosamente offline (tutte le configurazioni del caso si possono fare dopo)
  6. Quando sei arrivato alla schermata home, inserisci la chiavetta USB nella porta del telefono e poi ripristina il backup contenuto nella cartella Huawei. Per farlo: Impostazioni > Sistema e aggiornamenti > Backup e ripristino > Backup dati > Memoria esterna > Memoria USB
  7. Sulla prima schermata utile troverai una nuova app con icona con una G colorata e una scritta in cinese: tap (clic, dillo come ti pare) e apri questa app. Il sistema chiede di concedere privilegi di amministrazione: accetta (attiva, consenti) e poi torna alla schermata home (non serve fare altro in quella app)
  8. Individua l’app Gestione file e procedi a installare i pacchetti relativi ai GMS dal 1 al 9: è una procedura che richiede un paio di tocchi per APK, ricordati di consentire l’installazione da fonti esterne e di effettuare un controllo dei file sorgenti. Per individuare i pacchetti dentro Gestione file: Unità USB > gms
  9. Completata l’installazione dei pacchetti collegati al WiFi, procedi sul Play Store e configura il tuo account Google
  10. Procedi a disinstallare l’app col nome cinese, smonta la chiavetta USB, completa la configurazione del telefono (inserisci la SIM, configura impronta, riconoscimento del viso ecc)

Complimenti, ora il tuo telefono è perfettamente integrato nel mondo Google. Al momento l’unica funzione che non è possibile attivare è quella relativa a Google Pay (Huawei Pay arriva a breve).

Perché la mia lampadina Xiaomi non funziona più con Google Home (UPDATE: ora vanno di nuovo)

La situazione è la seguente: alcuni servizi di smart-home Xiaomi, in particolare quelli che fanno capo alla app Xiaomi Home, da ieri sera non funzionano più nel mondo Google Home.

UPDATE 05/01/2020: Tutto rientrato, ora tutto funziona di nuovo. Evidentemente Xiaomi è stata rapida e ha fornito a Google le risposte giuste.

Quello che è successo è che un utente si è ritrovato sul monitor del suo Nest Hub immagini provenienti da una ip-cam non sua: come sia stato possibile non si sa, l’unica cosa che mi viene in mente è che per qualche motivo la sua ip-cam (comprata su aliexpress) fosse in qualche modo abilitata a una serie di funzioni che possono far pensare alla presenza di una backdoor di qualche tipo – probabilmente messa lì per ragioni di debug e sviluppo. La spiegazione ufficiale di Xiaomi dice che si è trattato di un problema di cache (???). Google, a scanso equivoci, ha reciso il legame tra la sua piattaforma di domotica e quella di Xiaomi fino a data da destinarsi.

Sta di fatto che da ieri ho due stanze che non hanno più la luce smart, e non so se e quando queste lampadire torneranno a essere accessibili a mezzo voce attraverso i miei speaker Google. In più ho anche io una ip-cam Xiaomi: ora sono tentato di spegnerla.

PS: Le mie lampadine Yeelight, che sono sempre del mondo Xiaomi ma fanno capo a un’altra app, funzionano ancora correttamente.

Google, Cina, Android, mappe, censura e tutto quanto

C’è un tormentone che gira ultimamente attorno ad Alphabet, ovvero Google, relativo a un presunto tentativo da parte dell’azienda di mettere a tacere ogni forma di dissenso interno. Difficile stabilire quale sia la verità: sicuramente a Mountain View si devono confrontare con la progressiva crescita che l’ha portata a diventare un’azienda da oltre 100.000 dipendenti, con tutti i problemi che la maxi-taglia si porta dietro, e niente solletica più un certo tipo di stampa come prendersela con quelli grandi grandi.

In questo articolo del Washington Post viene raccontata una storia relativa a un ex-dipendente che ha appena lasciato il Googleplex e si è lanciato in politica. I motivi della sua uscita, dice il pezzo, sono legati al progressivo irrigidimento di Google sui temi della diversity: in particolare si fa riferimento alla questione cinese, visto che il search più famoso del mondo ha provato in passato a stare in Cina alle condizioni del Governo locale ma ha finito per abbandonare quel terreno per via dei troppi compromessi necessari.

Il passaggio più interessante, comunque, è questo:

Within a year, however, LaJeunesse said he was approached by the Maps team about launching in China. New plans to reenter the market, which seemed to be introduced every year, were largely driven by fears around losing control of Android, Google’s open-source mobile operating system. Without agreeing to China’s demands for censorship and access to user data, Google could not launch an app store or operate an official version of Android with demands that Chinese phone manufacturers give apps like Google Search space on the home screen. As Google’s go-to policy guy for China, LaJeunesse interceded when proposals raised concerns, such as Project Sidewinder, an app store for Android phones in China.
But for Google, the debate around China was also existential. The Chinese market represents not just Google’s best chance at another billion users, but also the future of innovation, talent and artificial intelligence.

A top Google exec pushed the company to commit to human rights. Then Google pushed him out, he says.
Wikipedia

La Cina, così come l’India anche se in misura minore, è un terreno di caccia per tutti. E Google, secondo quanto riporta il WP, pensa a una delle sue app di maggior successo (Maps) per usarla come testa di ponte e andare alla conquista di un mercato così importante.

Quando Trump ha deciso che Huawei era il nemico pubblico numero uno, forse, non aveva considerato due fattori. Il primo è che oggi gli Stati Uniti non possono più pensare a un’autarchia tecnologica: per sviluppare e implementare la rete 5G, così come per produrre chip e device, non possono fare a meno dei brevetti, della tecnologia, della manifattura cinese. L’altro aspetto, forse ancora più significativo, è che la Cina è un mercato di cui non si può fare a meno: ci sono milioni e milioni di consumatori che possono trasformarsi in miliardi di fatturato, e starne fuori significa lasciar spazio ai concorrenti per consolidarsi in quella geografia.

Anzi, la spinta ricevuta da Huawei in seguito al bando sta già producendo effetti in tal senso. È anche per questo che la famosa licenza in sospeso è meglio che si sbrighi ad arrivare.