Ciao a tutti
Volevo sapere, per curiosità visto che io ho sia smartphone aggiornato alla ultima versione di android e patch di sicurezza sia app tutte aggiornate regolarmente, cosa succede se si viene frodati su un app bancaria ( esempio intesa san paolo) aggiornata su un dispositivo antico privo delle ultime patch di sicurezza e android vecchio. Esempio app intesa può essere installata su un android 8.1 credo. Ma se viene bucata, causa bug android, io come correntista comunque non corro rischi se ho uno smartphone vecchio giusto? È intesa che deve preoccuparsi di rendere sicura l'app su dispositivi con android vecchio e senza patch ?
Grazie della delucidazione
Aggiornamenti android e patch sicurezza vs aggiornamento singola app
vittorio130881 se non hanno bucato mia mamma con app bancaria su android 9 puoi dormire tranquillo 
vittorio130881
In teoria gli sviluppatori app sono tenuti a rendere funzionante ed aggiornata qualsiasi app fino ad un tot indietro nel tempo (non ricordo quanto).
Dopo di che, a regola, la app dovrebbe smettere di funzionare.
ES: App Intesa san paolo è compatibile da Android 8.0 in sù, quindi chiunque gestisce la sicurezza informatica in intesa san paolo deve mettere in conto questo.
Probabilmente fra un po' di tempo sarà supportata da android 10 in sù.
Per quanto riguarda invece il telefono in se, sia azienda produttrice che google, sono tenuti almeno a 3 anni di patch di sicurezza obbligatorie.
In ogni caso, bisogna usare il buonsenso e cercare di stare al passo quanto più possibile.
PS: È molto più facile cadere in phishing di bassa qualità che in queste cose 
TheMarsican
però quindi le patch di sicurezza android, a chi sono di aiuto?
perchè se intesa deve stare attenta che la sua app sia sicura su android 8 (che non prevede piu patch di sicurezza da anni), queste patch poco impattano l'utente e intesa.....cè qualcosa che mi sfugge
vittorio130881 Intesa deve occuparsi che la sua app sia sicura. Se il telefono è fallato non ne risponde Intesa.
Io che vendo (è un esempio) cassaforti, le faccio a prova di bomba. Se tua moglie (il telefono android) la lascia aperta, non puoi prendertela con ne
- Modificato
vittorio130881 però quindi le patch di sicurezza android, a chi sono di aiuto?
Ad andoird ed ache agli sviluppatori di app.
Andoird è il sistema operativo sul quale poi l'app deve funzionare.
App e Android sono ''due esseri'' diversi, scritti con codici diversi, che devono però funzionare insieme.
vittorio130881 perchè se intesa deve stare attenta che la sua app sia sicura su android 8 (che non prevede piu patch di sicurezza da anni), queste patch poco impattano l'utente e intesa.....cè qualcosa che mi sfugge
Ti sfugge il fatto che una volta che le patch si sicurezza di android non vengono più emesse sta agli sviluppatori di app il compito di adeguare le app alle nuove falle trovate.
Oltretutto è prettamente interesse del proprietario di un app di tenerla aggiornata e sicura in modo che funzioni anche su dispositivi vecchi. Altrimenti la si rende non compatibile e non si può scaricare dal play store.
Comunque sono concetti che per i programmatori sono abbastanza scontati, magari per chi non è avvezzo al mondo della programmazione potrebbe risultare difficile da comprendere.
FERRARI81 Se il telefono è fallato non ne risponde Intesa.
Non proprio. Se un'azienda decide di far funzionare la propria app con versioni di android che non ricevono più patch di sicurezza, è l'azienda che poi ne risponde in quanto non ha fatto il possibile per renderla sicura.
(Naturalmente poi se ne lavano le mani dicendo che per essere sicuro devi usare una versione di android aggiornata, ma questo è un altro paio di maniche, discorso molto ''politico'')
[cancellato]
vittorio130881 . Ma se viene bucata, causa bug android, io come correntista comunque non corro rischi se ho uno smartphone vecchio giusto?
I rischi li corri comunque - poi puoi anche discutere con la banca su di chi è la colpa, ma intanto sei nei guai. Far funzionare applicazioni "critiche" su dispositivi (connessi) con vulnerabilità note è andare a cercarsi guai. Meglio uno smartphone economico patchato che uno costoso non patchato.
- Modificato
TheMarsican
No permettimi di dirti che da correntista, non mi basta un discorso politico. Io voglio sapere come funziona. Chi risponde del danno. Dove posso trovare queste info?
Non mi interessa dei programmatori, mi interessa della parte legale
Vi ringrazio per le opinioni, anche io la penso come voi. Ma vorrei trovare scritte queste cose, sicuramente sono regolamentate
vittorio130881 Non mi interessa dei programmatori, mi interessa della parte legale
vittorio130881 Dove posso trovare queste info?
Penso che queste info puoi averle solo dalla banca, ma sarebbe come combattere con i mulini a vento (a mio modo di vedere).
Unica cosa che potresti andare a leggere (che dovremmo leggere sempre prima di usare app, siti e altro) sono i TOS (termini di servizio) dove, per legge, devono spiegare molte cose.
A livello tecnico, di informatica, come ha detto anche kmorwath, è rischioso far funzionare app su versioni android non più patchate, e se questo causa guai ne risponde l'azienda.
A livello pratico, è una bella gatta da pelare.
- Modificato
TheMarsican
Sicuro rischioso lo è e di fatti IO e mia moglie abbiamo smartphone ultra aggiornati e li cambieremo non appena usciranno dal periodo garantito.
Continuerò a cercare, magari chiamo la banca. Ovviamente mi farò passare i termini di servizio perché proprio come affermi, diventa una bella gatta da pelare nel caso sorgano problemi.
Tutti i miei parenti hanno smartphone antichi e farglieli cambiare risulta ostico, per di più la banca non dice nulla a riguardo, spero appunto perché argomento eegolamentato
vittorio130881 abbiamo smartphone ultra aggiornati e li cambieremo non appena usciranno dal periodo garantito.
L'importante è che non ci si faccia ossessionare dal discorso.
Starei molto più attento ad altri modi più semplici da mettere in piedi e più facili da cascarci (es phishing tramite email ed altro).
vittorio130881 Ovviamente mi farò passare i termini di servizio
Dovresti trovarli sull'app stessa o comunque basta googlare (sono obbligatori per legge).
vittorio130881 diventa una bella gatta da pelare nel caso sorgano problemi
Diciamo che comunque ne ho sentiti veramente pochissimi di casi del genere ed in ogni caso è sempre consigliabile mettersi in mano ad un ottimo avvocato se dovesse accadere.
TheMarsican
Per fortuna il discorso ossessione dovrebbe sparire con smartphone sempre più supportati.
Il discorso dello stare attenti è importante e mi preoccupa assai in quanto poi come dici te solo un avvocato può aiutarti nella diatriba te vs banca ( phishing? Patch mancanti?) .
Quello che posso fare intanto è consigliare ai miei genitori di non cliccare o farsi fregare.
Ma avendo un redmi note 5, comincio ad avere timore.
Sul numero dei casi di frodi per buchi android non mi sono informato, farò anche quello grazie
vittorio130881 Sul numero dei casi di frodi per buchi android non mi sono informato,
Sono casi abbastanza rari, e considera che se le falle dovessero essere veramente importanti arriverebbero patch straordinarie anche su versioni android vecchie.
vittorio130881 Ma avendo un redmi note 5, comincio ad avere timore
Ma, è ancora abbastanza recente, però dai un modello di fascia medio/bassa si trova a poco prezzo.
Più che altro in questi modelli mancano cose come l'NFC che permettono l'utilizzo della CIE ad esempio.
vittorio130881 Per fortuna il discorso ossessione dovrebbe sparire con smartphone sempre più supportati.
Diciamo che invece è più un ossessione personale, alla fine basta un pensiero ogni tanto, io non mi son mai preoccupato di una roba del genere e l'ultimo telefono l'ho cambiato dopo quasi 5 anni.
Alla fine anche modelli vecchi ricevono aggiornamenti a versioni android più recenti (oltre alle patch di sicurezza).
vittorio130881 Quello che posso fare intanto è consigliare ai miei genitori di non cliccare o farsi fregare
Basta informarsi nel modo giusto e poi riferire, ti basta una piccola ricerca su google per capire come riconoscere le truffe più comuni. Con poche accortezze si sta tranquilli.
vittorio130881 Difficile dire quante violazioni siano dovute a sfruttamento di vulnerabilità risolte (n-day) del sistema non essendo possibile scoprirlo senza indagini mirate e anche se lo scoprissi difficile dimostrarlo in sede processuale. D'altro canto le violazioni tramite phishing/scam/social engineering che sono all'ordine del giorno.
Intesa San Paolo supporta fino a Android 8 per raggiungere quanti più utenti possibili, non perché possono garantire la sicurezza su Android Oreo, difatti le versioni di Android < 11 sono end-of-life ad oggi, non ricevendo più patch, anche se Google Play System Update e le patch per le singole app offrono un minimo di harm reduction.
- Modificato
Marco25
Scusa ma quindi, visto che la confusione ora aumenta, se non possono garantire la sicurezza, in caso di buco, si va dall'avvocato in pratica?
In pratica la colpa è sempre e solo dell'utente che ha cliccato dove non doveva.
TheMarsican Non proprio. Se un'azienda decide di far funzionare la propria app con versioni di android che non ricevono più patch di sicurezza, è l'azienda che poi ne risponde in quanto non ha fatto il possibile per renderla sicura.
E se il produttore a interrompere gli aggiornamenti di sicurezza? Per esempio il Google Pixel 4a ha Android 13 che è un sistema operativo supportato ma non riceve più aggiornamenti di sicurezza perché è in EOL. La banca dovrebbe impedire di far installare l'app sul dispositivo?
metalxenon La banca dovrebbe impedire di far installare l'app sul dispositivo?
No, assolutamente no. Anche perchè Andorid 13 è del 2022.
Android 13 è comunque un SO molto più avanzato e sicuro di Android 8.
Il discorso qui si basa su versioni Android veramente molto più vechie (8 ad esempio).
Poi va be, in questo caso google è sia il produttore sia il proprietario del SO.
Ciao,
Posso dirti che le applicazioni pubblicate sul Play/Apple store devono specificare la versione minima del sistema operativo che supportano. Questo significa che se lo sviluppatore pubblica l'applicazione, indicando che è compatibile, puoi scaricarla se il tuo dispositivo soddisfa i requisiti minimi (altrimenti il download non sarà possibile).
Su un telefono datato può succedere di avere l'app installata, e da un certo momento viene interrotto il supporto per la propria versione di Android/iOS, di conseguenza non si ricevono più gli aggiornamenti - inoltre disinstallando l'app, non sarà più possibile installarla dallo store, in quanto la versione disponibile è sempre la più recente, che in questo caso non è più compatibile. L'unica opzione per reinstallare è scaricare una versione specifica da un app store alternativo, cosa che sconsiglio vivamente in generale, e assolutamente per app bancarie.
Comunque per cercare di rispondere alla tua domanda, i problemi di sicurezza possono dipendere da vari fattori:
- falla nel sistema operativo: vengono fixate dalle patch di sicurezza (rilasciate per tutti i dispositivi android, indipendentemente dalla marca)
- problema nella versione di Android, customizzata dalla casa produttrice (può interessare anche un modello specifico): qui deve intervenire la casa madre con un aggiornamento di sistema
- bug nell'applicazione: può essere un problema generale, o anche qui verificarsi solo in casi particolari (magari la combinazione di una certa versione android + la versione dell'app installata), la risoluzione del problema è a carico dello sviluppatore (diciamo "la banca")
Come vedi le cause del problema possono essere molteplici, e in ogni caso, bisogna sempre leggere i termini d'uso dell'applicazione bancaria, per farsi un' idea delle responsabilità in queste situazioni.
I problemi di sicurezza generalmente vengono segnalati su alcuni siti, dove è possibile fare ricerche con diversi criteri, simili ai punti elencati poco fa.
Un esempio è si trova qui (Android) - bisogna sapere però che prima di essere segnalata, una vulnerabilità deve prima essere scoperta (ma non da chi la sfrutta a suo vantaggio! 
). Magari avete sentito parlare di vulnerabilità "zero day"... ecco, si tratta di bug non ancora individuati, che i malfattori sfruttano finché possono, a volte rivendendo l'informazione a terzi per cifre non indifferenti.
Comunque, il contratto dell'app/banca dovrebbe darti le informazioni che servono, anche se, credo che ci sia una normativa italiana/europea di maggiore valore rispetto al regolamento. Ci vorrebbe un esperto in legge per sapere quale delle due prevale.
Ciao!
[cancellato]
vittorio130881 o voglio sapere come funziona. Chi risponde del danno. Dove posso trovare queste info?
Il problema è che se l'attività appare come effettuata da te, poi tocca a te dimostrare che non l'hai fatta tu, che il telefono è stato compromesso, e non stai cercando di truffare la banca. Non è così automatico che la banca si assuma tutta la responsabilità.
Perché anche se l'app è sicura ma l'OS no, tecnicamente un malware che è in gradi do catturare l'immissione dati e le schermate potrebbe operare come se fosse l'utente. Di "banking trojan" di questo tipo ce ne sono in giro non poco. Poi puoi fare denuncia, ecc. ecc. però prima di rivedere i soldi, se li rivedi, può passare tempo.
Non è regolamentato nettamente che è sempre colpa della banca.
- Modificato
TheMarsican Non proprio. Se un'azienda decide di far funzionare la propria app con versioni di android che non ricevono più patch di sicurezza, è l'azienda che poi ne risponde in quanto non ha fatto il possibile per renderla sicura.
In base a quale legge?
P.s. probabilmente anche la tua versione di Android super moderna è fallata e le patch di sicurezza non sono state ancora applicate. È colpa della banca?