iPhone, quali app consumano più dati?

Nella scorsa puntata del Disinformatico radiofonico, un ascoltatore, Paolo, ha chiesto in diretta se esiste un modo per monitorare con precisione il traffico di dati delle singole app su un iPhone. Gli avevo promesso una risposta dettagliata nella prossima puntata: eccomi qua.

Se l'iPhone (o iPad con modulo per reti cellulari) usa iOS 7 c'è una soluzione semplicissima: tutto il necessario è già installato. Infatti basta andare in Impostazioni, scegliere Cellulare e poi scorrere verso il basso fino a trovare la voce Utilizza dati cellulare per. Qui è possibile vedere l'utilizzo dei dati da parte di ogni singola app e da parte dei servizi di sistema.

In questa sezione dei menu di iOS7 è inoltre possibile azzerare il contatore dei dati (utile per vedere i consumi mensili) e bloccare la trasmissione dati per la singola app usando il selettore mostrato accanto all'app stessa. Il blocco non è possibile per i servizi di sistema: tuttavia è possible disattivare completamente la trasmissione dati su rete cellulare (usando il selettore Dati cellulare) oppure attivarla soltanto se si è sulla propria rete cellulare, evitando così le costose tariffe di roaming dati (basta usare il selettore Roaming dati).

Per chi fosse rimasto a versioni precedenti di iOS la cosa si complica un po': è necessario usare app apposite, come My Data Manager (gratuita).

Heartbleed, falla di sicurezza senza precedenti ferma Internet. Come difendersi

Sai che una falla è grave quando ha un logo tutto suo.

• Heartbleed è il nome informale dato a un errore di programmazione (CVE-2014-0160) che da due anni è presente nella libreria software crittografica OpenSSL versione 1.0.1, che è usata o è stata usata da due terzi dei siti Internet del mondo per proteggere le comunicazioni sensibili (principalmente scambi di password) e per autenticarsi (far chiudere il lucchetto nei browser). Il nome è un gioco di parole su heartbeat (un termine tecnico che descrive il funzionamento di questa libreria).
• Almeno mezzo milione di siti risulta essere vulnerabile.
• L'errore è già stato corretto nella nuova versione di OpenSSL (la 1.0.1g).
• Si presume si tratti di errore e non di sabotaggio intenzionale.
• L'errore è stato scoperto indipendentemente da due gruppi di ricercatori (Riku, Antti e Matti a Codenomicon e Neel Mehta di Google Security) e annunciato pubblicamente il 7 aprile scorso.
• Spetta ai responsabili della sicurezza dei singoli siti aggiornarsi installando la nuova versione di OpenSSL.
• L'errore consente a un aggressore, senza interagire con i computer/dispositivo della vittima, di acquisire dati riservati (mail, password, documenti, numeri di carte di credito) trasmessi dai siti che usano OpenSSL.
• Cosa ancora più grave, l'errore consente a un sito gestito da un aggressore di spacciarsi per un sito attendibile in modo assolutamente realistico (lucchetto chiuso, https).
• Sono a rischio webmail, social network e anche VPN.
• Non sappiamo quanto questa falla è stata sfruttata, perché l'aggressione spesso non lascia tracce. Dobbiamo presumere il peggio. Alcune tracce indicano che viene sfruttata da mesi.
• Yahoo, Flickr, Imgur sono fra i principali siti che risultano essere (o essere stati) vulnerabili: i ricercatori hanno dimostrato di riuscire a estrarre password e indirizzi di e-mail di Yahoo sfruttando questa falla. Yahoo ora è a posto.
• Non ci sono aggiornamenti di sicurezza da installare sui computer, tablet o telefonini di noi utenti.
• Non fa differenza se usate Mac OS, Linux, Windows, Android, iOS e se usate un computer o un tablet o uno smartphone: siamo tutti vulnerabili allo stesso modo.
• Il fatto che la falla sia in un componente software open source non è una dimostrazione dell'inaffidabilità dell'open source. Anzi, il fatto che il codice di questa libreria sia aperto e ispezionabile da chiunque ha presumibilmente agevolato la scoperta e la correzione dell'errore. Non è detto che errori come questo non ci siano anche nel software chiuso, e se ci sono possono essere scoperti solo da un numero molto ristretto di addetti ai lavori.
• Ci vorrà tempo perché la falla sparisca da Internet: i singoli siti devono installare la versione nuova di software e poi devono generare una nuova coppia di chiavi di sicurezza, aggiornare il proprio certificato SSL. Considerata la ressa che ci sarà per fare queste cose presso le autorità che emettono certificati, il problema si trascinerà probabilmente per alcuni giorni.
• La parte più difficile sarà rimuovere la falla da NAS, firewall e sistemi embedded.

• Controllate se i siti che visitate sono vulnerabili o si sono aggiornati, immettendone il nome in ssllabs.com/ssltest oppure filippo.io/Heartbleed/.
• Se un sito risulta vulnerabile, non interagite con esso fino a che non si aggiorna. Non cambiate la vostra password: è inutile se il sito non si aggiorna. La nuova password verrebbe letta dagli aggressori.
• Se un sito risulta non vulnerabile, visitatelo e cambiate immediatamente la vostra password.
• Non usate la stessa password per siti differenti: se lo fate, mai come oggi è il momento di smettere di essere così pigri e imprudenti.
• Non fidatevi di mail o altri messaggi che vi invitano a cliccare su un link per aggiornare le vostre password: sono quasi sicuramente trappole di criminali.
• Non seguite link a siti presso i quali avete un account: digitate a mano il nome del sito nel vostro browser.
• Se avete NAS o altri server personali esposti a Internet, aggiornateli appena possibile.