Fring? No grazie!
by admin on Apr.19, 2010, under Sicurezza, VoIP
Sono molte, ed in preoccupante aumento, le persone che sono disposte a scaricare ed installare programmi “free” nei loro dispositivi mobili senza considerare in alcun modo i rischi connessi.
Fring, ad esempio, è un programma liberamente disponibile e facilmente installabile sui telefoni cellulari di ultima generazione (ne esistono per Symbian, Android, Windows Mobile, iPhone). Gli utenti lo possono utilizzare per chiamarsi direttamente fra loro usando la propria connessione internet, anche utilizzando, via Fring, servizi eterogenei, come Yahoo, ICQ, MSN Messenger, Skype, SIP ed altri servizi, inserendovi ovviamente i relativi usernames e passwords.
Gli utenti possono quindi accedere ai vari servizi da una singola applicazione senza doversi accreditare ad essi separatamente nè mandare in esecuzione contemporaneamente differenti programmi. Fring non fa altro che ritrasmettere tutte queste comunicazioni, escludendone alcune funzionalità, magari anche aggiungendone altre (come il supporto Skype video), e trasferendo tutti i dati (incluse passwords, messaggi chat, chiamate vocali ecc) dal terminale mobile ai propri computers ed inoltrandoli quindi ai vari altri servizi (Yahoo, Skype, MSN, ICQ, SIP etc.).
Fring non attua alcuna forma di criptazione a livello di terminale mobile, per cui i dati citati, possono venire facilmente intercettati sia da Fring che dai propri partners o da chiunque sia autorizzato da Fring stessa.
Se il software originale Skype viene installato su un apparecchio mobile, il programma cripta le chiamate vocali e le chats. Dato che la codifica utilizza intensamente la CPU, Skype non è ancora riuscito a integrare il supporto video per i telefoni mobili.
Fring rende invece possibile lo Skype video poiché non cripta le chiamate.
Tutti i contatti archiviati sul cellulare divengono accessibili a Fring.
Fring non chiede nulla per poter usufruire dei suoi servizi, perciò non si riesce a comprendere il suo modello di business.
Una semplice interrogazione whois relativa a fring.com rivela che si tratta di una company israeliana.
Alcune companies sono spesso messe in piedi da agenzie di intelligence per operazioni di data-mining.
Vi dice niente la parola MOSSAD?
April 20th, 2010 on 11:18 am
Premettendo che ti leggo sempre e quando parli di argomenti tecnici trovo che tu gestisca uno dei migliori blog italiani di security.. addirittura il MOSSAD? C’e’ qualche prova che colleghi l’agenzia di intelligence all’azienda? Non è piu probabile sia un sito di scammer? O al “peggio”, una normale azienda che vive di pubblicità? Perchè creare allarmismi, spacciando una supposizione basata sul niente come possibile verità?
Grazie dell’attenzione =)
April 20th, 2010 on 9:08 pm
Non è più un segreto che la National Security Agency (NSA) sia disposta ad offrire miliardi di dollari a qualsiasi compagnia in grado di realizzare un metodo affidabile per l’intercettazione del traffico vocale e IM di Skype.
La stessa ossessione li accomuna ad Eurojust, l’agenzia dell’ Unione Europea responsabile del coordinamento delle investigazioni giudiziarie tra le differenti giurisdizioni dei 27 paesi membri dell’ Unione.
Allo stato attuale vi sono solo due modi per intercettare una chiamata skype:
1) Utilizzare uno specifico software installato sul terminale che origina la chiamata o su quello che la riceve (uno è già stato individuato a suo tempo da Symantec). Secondo l’analisi condotta dalla stessa Symantec, esso non sfrutta alcuna particolare vulnerabilità presente in Skype. Semplicemente aggancia i moduli del sistema operativo Windows delegati all’ audio processing. Quindi intercetta tutti i dati audio Skype prima che vengano criptati.
2) far passare il traffico skype attraverso un gateway, come avviene per le chiamate tra un terminale skype ed un normale telefono tramite i servizi SkypeIn o SkypeOut. O in una evoluzione di questa forma, rappresentata appunto dai gateway multiprotocollo di Fring.
Ovviamente io non sono in possesso di alcuna prova che dietro a Fring si trovi il Mossad, ma insisto a dire che non mi pare esattamente una ipotesi campata per aria, sopratutto considerando il fatto che per funzionare decentemente, l’architettura di Fring deve poggiare su una serie di datacenter geograficamente distribuiti a livello internazionale ed affacciati su linee ad altissima capacità.
Che senso ha tutto questo costosissimo ambaradan a fronte di un modello di business di cui non si comprende proprio il senso?
April 21st, 2010 on 8:07 pm
Ottime spiegazioni sullo stato dell’arte delle intercettazioni skype, e concordo che sia un software da sconsigliare vista la facilità con cui effettuare MITM. Continua a farmi sorridere la prima ipotesi che ti è venuta in mente
In quanto affermazione importante, speravo potessi suffragare la tesi con qualche prova 
invece mi pare un pò buttata lì.
Niente di male, solo una critica costruttiva, nel frattempo aspetto i tuoi soliti buoni articoli tecnici =)
Emilio