ONE UI 8 blocca il bootloader forse per sempre

Saviolo · 2025-07-29T16:55:55+00:00

FONTI: FONTE 1 FONTE 2 Sembra ormai confermato da diverse fonti e se ne parla anche su XDA Developer che Samsung abbia definitivamente deciso di rendere lo...

Davidechp

Potete darmi del tecno-populista, ma per me tutti gli smartphone dovrebbero essere aperti a installare qualsiasi sistema operativo che ci possa girare, come un qualsiasi PC e la resposabilità di danni o problemi ovviamente deve ricadere sull'utente.
Diamine, pure su mac puoi installare una distro linux.
Il discorso sicurezza vale fino ad un certo punto, tanto la gente che non sa usare i dispositivi con un minimo di criterio riuscirà comunque a farsi fregare anche se gli metti infiniti paletti e blocchi.

Saviolo

rubicondo Facciamola semplice: vogliamo una radio bluetooth che by-design non irradi porcherie nello spettro EM? bene: facciamo un TX BT per il mercato UE, uno per il mercato USA e uno per il mercato orientale. Devo continuare o si capisce dove voglio andare a parare?

Dubito fortemente che un TX BT possa irradiare potenze pericolose da uno smartphone dai. Tra l'altro per quale motivo una custom rom dovrebbe andare a modificare la potenza di un tx bt al punto di portarla a potenze pericolose? Per dare più copertura? Come se poi la gente non si lamentasse che drenerebbe la batteria a una velocità clamorosa. In ogni caso a quel punto bastava rendere il solo driver della componente radio non modificabile non c'era bisogno di blindare tutto il sistema.

rubicondo chiedere un pin di conferma da un altro dispositivo sarebbe una misura draconiana? ma visto come ragione la persona media menomale che c'è questo "paletto".

Il problema non è che sia draconiano o altro ma che è inutile. La stragrande maggioranza delle truffe bancarie avvengono non per hacking o cracking ma per ingegneria sociale con i clienti che consegnano password e codici di conferma o che fanno l'operazione loro stessi senza rendersi conto di inviare soldi a un truffatore.
Questo tipo di protezioni si sono rivelate completamente inefficaci almeno per quanto riguarda la banca, in altri casi non so.

Davidechp Potete darmi del tecno-populista, ma per me tutti gli smartphone dovrebbero essere aperti a installare qualsiasi sistema operativo che ci possa girare, come un qualsiasi PC e la resposabilità di danni o problemi ovviamente deve ricadere sull'utente.

Non è tecno-populismo. È come dovrebbe essere la tecnologia. Il produttore X ti fornisce un sistema di base con garanzie, criteri ecc... ma se tu sei esperto e vuoi metterci quello che ti pare dovresti essere libero di farlo. Anche solo per avere un mercato realmente concorrenziale dove anche un piccolo programmatore o un piccolo team possa sviluppare una ROM e proporla come alternativa. Infatti il problema è che arriveremo ad avere un mondo dove di questo passo potrai scegliere tra pochissime alternative e praticamente tutte uguali.

Davidechp Il discorso sicurezza vale fino ad un certo punto, tanto la gente che non sa usare i dispositivi con un minimo di criterio riuscirà comunque a farsi fregare anche se gli metti infiniti paletti e blocchi.

È questo secondo me il punto. Premesso che ci sta benissimo che di base hai un sistema blindato "per tutti" ma non ha senso tarpare le ali a chi invece è esperto e sa quello che fa. Tra l'altro cambiando poco e nulla in fatto di sicurezza perché è palese che le truffe le fanno ormai in larghissima parte per ingegneria sociale e quindi senza hackerare o violare niente dei dispositivi.

simonebortolin

Davidechp Diamine, pure su mac puoi installare una distro linux.

Tranquillo anche Linux dovrà implementare un sistema di verifica che i firmware delle schede di rete non siano modificati

rubicondo

Saviolo Dubito fortemente che un TX BT possa irradiare potenze pericolose da uno smartphone dai.

a parte che molto dipende dalla distanza... ma io mi stavo semplicemente limitando a confutare l'affermazione "facciamo la roba sicura by-design".

Saviolo La stragrande maggioranza delle truffe bancarie avvengono non per hacking o cracking ma per ingegneria sociale con i clienti che consegnano password e codici di conferma o che fanno l'operazione loro stessi senza rendersi conto di inviare soldi a un truffatore.

Lo dici tu che è inutile: se è stato l'utente a dare i codici "a destra e a manca" la banca ha fatto tutto quanto in suo potere per evitare il fattaccio e la colpa ricade sull'utente finale. E' tutto relativo, quello che è inutile per te è utilissimo per altri. Personalmente, per quanto lo trovi palloso, preferisco avere il secondo passo di autenticazione così posso operare anche da reti di cui mi fido il giusto.

motoko

Saviolo Quindi se hai ad esempio un S20 FE per cui se non ricordo male è finito il supporto e non escono più patch di sicurezza continua a funzionare anche con le app bancarie in quanto devi aver installato l'ultima patch uscita per quello specifico device e non in generale.

mi sembra, ma magari sbaglio, che la patch non debba essere più vecchia di 1 anno.

giuse56 Uno smartphone non aggiornato non deve eseguire applicazioni bancarie.

se permetti questa è una cosa che deve decidere il proprietario del device non essere imposto.....

Saviolo

motoko mi sembra, ma magari sbaglio, che la patch non debba essere più vecchia di 1 anno.

Sbagli... ora non mi ricordo quando è uscita l'ultima patch per S20 FE ma ho avuto per le mani device non supportati anche da 3 o 4 anni e funzionano.

La regola è 1 anno dall'uscita della patch per quel telefono quindi

Telefono X con patch 01/01/2020, esce la patch 01/02/2020 --> funziona fino a 01/02/2021
Telefono Y con patch 01/01/2020 ma non più supportato quindi senza patch di sicurezza --> funziona fino a che la versione android che ha non viene non più supportata dall'app anche dopo 01/01/2021

giuse56

Saviolo Sbagli... ora non mi ricordo quando è uscita l'ultima patch per S20 FE ma ho avuto per le mani device non supportati anche da 3 o 4 anni e funzionano.

Questa cosa per esempio non è tanto normale. Smartphone con android 8 e patch vecchissime che ancora funzionano con app bancarie

motoko

Saviolo difatti io ho parlato di futuro prossimo non di passato....
ed è riferito all'implementazione della strong integrity che stanno iniziando ad implementare nelle app
ad esmpio https://www.dday.it/redazione/51891/cosi-google-blinda-android-e-di-una-banca-la-prima-app-che-chiede-di-rimuovere-le-app-che-non-arrivano-dal-play-store

Saviolo

giuse56 Questa cosa per esempio non è tanto normale. Smartphone con android 8 e patch vecchissime che ancora funzionano con app bancarie

Ragazzi ma vi rendete conto di quanti device vecchi e in mano a persone che non percepiscono e non vogliono cambiarli ci sono? Non è che puoi fare una obsolescenza programmata perché quel marchio decide di non supportarli più altrimenti allora andrebbe obbligato tutti i marchi a supportare tutti i modelli almeno per 10 anni oppure a renderli compatibili con le patch di sicurezza di android base senza dover passare per questo o quel marchio.

motoko difatti io ho parlato di futuro prossimo non di passato....
ed è riferito all'implementazione della strong integrity che stanno iniziando ad implementare nelle app
ad esmpio https://www.dday.it/redazione/51891/cosi-google-blinda-android-e-di-una-banca-la-prima-app-che-chiede-di-rimuovere-le-app-che-non-arrivano-dal-play-store

La strong integrity che io sappia non verifica le patch di sicurezza ma solo che il sistema sia totalmente originale. Tra l'altro la strong integrity è già stata violata da mesi quindi come misura di sicurezza lascia il tempo che trova.

Marco25

Saviolo La strong integrity che io sappia non verifica le patch di sicurezza ma solo che il sistema sia totalmente originale.

Strong integrity richiede patch dell'ultimo anno su Android 13 (da giugno 2025) e successivi mentre su Android 12 e inferiori sta a chi implementa decidere cosa fare del patch level. In pratica non gli interessa perché se volessero veramente considerare la sicurezza reale e non il teatrino della sicurezza dovrebbero consentire 3 mesi max di patch addietro (rispetto al bollettino di Android, non del telefono specifico), ma non possono perché altrimenti chiuderesti fuori una marea di clienti, difatti prima di giugno 2025 potevi passare Play Integrity su un dispositivo con 8 anni addietro di patch.

Saviolo Tra l'altro la strong integrity è già stata violata da mesi quindi come misura di sicurezza lascia il tempo che trova.

È bypassabile con chiavi leaked ma Google può rilevarlo osservando discrepanze tra le chiavi e il dispositivo da cui arrivano le attestazioni (come dire la targa di un auto su un camion) e lungo termine le scappatoie verranno chiuse se troppi utenti ne fanno uso.

giuse56

Saviolo Ragazzi ma vi rendete conto di quanti device vecchi e in mano a persone che non percepiscono e non vogliono cambiarli ci sono?

Beh questo lo so, anche mia nonna ad esempio ha un vecchio Samsung con android 10 che ancora usa con facebook, whatsapp e simili. Però a mio parere dopo 10 anni dovrebbero togliere la compatibilità nei device. Già gli smartphone rimasti con android 8 sono veramente vecchi. Di solito le persone li cambiano prima perché gli si guasta la batteria e cambiano direttamente dispositivo

Saviolo

Marco25 È bypassabile con chiavi leaked ma Google può rilevarlo osservando discrepanze tra le chiavi e il dispositivo da cui arrivano le attestazioni (come dire la targa di un auto su un camion) e lungo termine le scappatoie verranno chiuse se troppi utenti ne fanno uso.

Mah mi pare che rispetto ai primi mesi dove le chiavi leaked venivano bannate nel giro di giorni ora con una chiave leaked vai avanti oltre un mese anzi le ultime uscite che sono tutt'ora valide stanno stabilendo nuovi record quindi mi pare che anche a google interessi molto relativamente.
Alla fine per esempio a oggi se sei rooted e vuoi comunque accedere a IT-Wallet e simili bastano 3 moduli in croce che tra l'altro ti aggiornano automaticamente PIF e chiavi e accedi più facilmente di chi ha sistemi ufficiali che a volte hanno intoppi.

Ivymike

Saviolo Confermo

Marco25

giuse56 Però a mio parere dopo 10 anni dovrebbero togliere la compatibilità nei device.

Whatsapp supporta Android 5 e successivi mentre Facebook Android 6, evidentemente lato business conviene avere supporto ai dispositivi più vecchi, perché mai dovrebbero togliere gratuitamente compatibilità solo per far felice @giuse56?

giuse56

Marco25 Ma infatti di whatsapp e facebook non potrebbe fregarmene di meno, ma con le app bancarie il discorso cambia

Marco25

giuse56 Il ragionamento è il medesimo, taglierebbero immediatamente il supporto alle versioni troppo vecchie per risparmiare sui costi di sviluppo. Non lo fanno per evitare di perdere clienti (giustamente).

Marco25

rubicondo Personalmente, per quanto lo trovi palloso, preferisco avere il secondo passo di autenticazione così posso operare anche da reti di cui mi fido il giusto.

Non sono l'avvocato di @Saviolo ma non penso criticasse i fattori di autenticazione quanto piuttosto alle "contromisure" contro hacking del dispositivo, che secondo lui (e secondo me) non sono la fonte significativa delle frodi di cui sono vittima le persone.

rubicondo

Marco25 criticasse i fattori di autenticazione quanto piuttosto alle "contromisure" contro hacking del dispositivo, che secondo lui (e secondo me) non sono la fonte significativa delle frodi di cui sono vittima le persone.

onestamente non ho capito... un esempio di cosa intendi?

Saviolo

rubicondo

Integrity API, bootloader bloccato e così via.

rubicondo

Saviolo Integrity API, bootloader bloccato e così via.

stai tranquillo che se una cosa si può eseguire può anche essere hackerata... l'unica vera sicurezza by-design è non avere quella cosa: dalle leggi della fisica non si scappa.

AndreaCicca

Marco25 Play Integrity ti effettua la verifica del device, non fa nulla contro tutto il resto.

Non sto parlando di Play Integrity, ma di Hardware Attestation API

Marco25

AndreaCicca Sì ma le app che la adottano, immagino intendi per validare GrapheneOS, si contano sulle dita di una mano e non soddisfa comunque coloro che vorrebbero usare l'app indipendentemente dall'attestazione remota.

AndreaCicca

Marco25 Sì ma le app che la adottano, immagino intendi per validare GrapheneOS, si contano sulle dita di una mano e non soddisfa comunque coloro che vorrebbero usare l'app indipendentemente dall'attestazione remota

Hardware Attestation API viene già utilizzata in diversi ambiti, per esempio l'app io già supporta Hardware Attestation API, quando però si passa alla verifica dell'identità per poter aggiungere i documenti viene richiesto anche Play Integrity.

Ci sono esempi positivi come Yivi, che è l'app per la verifica dell’età dell'età dei Paesi Bassi che la usa e infatti la puoi scaricare anche fuori dal PlayStore, chi vorrebbe un'app governativa che ha il compito di confermare l'identità senza alcuna intestazione HW ha già perso in partenza, sono cose che non verranno mai giustamente fatte.

Brandon_Cunningham ma non si preoccupano di sistemi operativi su pc

Anche quelli verranno intaccati

Brandon_Cunningham

Trovo questa discussione bellissima. Anche se lato tecnico sono una schiappa. La trovo anche divertente. Perchè, in breve, in EU si preoccupano della sicurezza dei sistemi operativi sugli smartphone ma non si preoccupano di sistemi operativi su pc che possono essere hackerati da un 15enne che si può fregare tutte le password salvate o peggio criptare tutti i dati con un ramsoware postando patch malevole su github come accaduto ad Arch. Di Windows non parlo avendolo eliminato nel 1999.

« Pagina precedente Pagina successiva »

Informativa privacy - Informativa cookie - Termini e condizioni - Regolamento - Disclaimer - 🏳️‍🌈 🇵🇸
P.I. IT16712091004 - info@fibraclick.it

♻️ Il server di questo sito è alimentato al 100% con energia rinnovabile