Visto che non esiste una comunità generica sugli smartphone o su Android metto qui la notizia visto che se ne parla spesso su Le Alternative.

Arriverà in questi giorni Android 14 sul Fairphone 5 e a breve dovrebbe arrivare anche per i possessori di Fairphone 4.

The latest update comes with a security patch level from July 5th, 2024, and will start rolling out to Fairphone 5 users shortly. And if you’re using a Fairphone 4, we haven’t forgotten about you. Expect to hear from us by mid-September.

Anche se impiegano un po' di tempo (Android 14 è stato rilasciato i primi d'ottobre del 2023) Fairphone dimostra di non abbandonare né di lasciare indietro facilmente i suoi smartphone. Ricordo anche il supporto per Fairphone 2 fino ad Android 10!

Threema ha deciso di pubblicare un post sul loro blog per spiegare che la loro applicazione, a differenza di Signal, non ha "quel" problema di cui si è parlato di recente anche sui su Feddit.

Personalmente trovo che, come spesso succede, le risposte e i post di Threema siano estremamente equilibrati. Per quanto mi riguarda mi piacerebbe molto usare Threema ma ci sono ancora meno persone di Signal e questo per un'applicazione di messaggistica è, purtroppo, un problema.

Traduzione del post:

Come evidenziato dalle recenti notizie e dai post sui social media, le app desktop di alcuni servizi di messaggistica sono interessate da un problema di sicurezza di lunga data. Ci è stato chiesto se anche il client desktop di Threema soffre di questo o di un difetto simile. La risposta breve: No. Gli utenti di Threema non devono prendere alcuna precauzione e possono continuare a utilizzare l'app desktop. La risposta più lunga e più esplicativa:

La sicurezza non finisce con la crittografia end-to-end

Quando si tratta della sicurezza dei servizi di messaggistica, la crittografia end-to-end è di gran lunga il fattore più importante. Tuttavia, non è l'unico. La sicurezza generale dipende anche dall'implementazione di varie caratteristiche individuali. In particolare, il client desktop svolge un ruolo cruciale in termini di sicurezza.

Contrariamente ai sistemi operativi mobili, in cui le app sono “ sandbox, ” non tutti i sistemi operativi desktop forniscono – e tanto meno applicano – questo meccanismo di sicurezza. In poche parole, sandboxing garantisce che i dati dell'app possano essere accessibili solo dall'app a cui appartengono i dati, non da qualsiasi altra app. Su Android e iOS, ad esempio, WhatsApp non può accedere ai dati Threema immediatamente (e viceversa).

Il problema

Quando Microsoft ha recentemente presentato Recall, gli esperti di sicurezza erano allarmati. Questo software basato su AI per Windows ha lo scopo di creare schermate di (quasi) qualsiasi attività utente, analizzarle e archiviare localmente i risultati per riferimento successivo. Una delle principali preoccupazioni era che gli attori della minaccia potevano usare un semplice malware per estrapolare i dati potenzialmente altamente sensibili accumulati da Recall.

Come evidenziato da notizie e post sui social media, i client desktop di alcuni servizi di messaggistica sono sensibili allo stesso vettore di attacco. Sono interessati i servizi le cui app desktop non crittografano i dati utente in primo luogo o memorizzano la chiave di decrittazione accanto ai dati crittografati in testo normale. In queste condizioni, qualcuno con accesso al file system può ottenere qualsiasi contenuto utente (messaggi, immagini, ecc.), e il malware potrebbe copiare l'intero contenuto (inclusa la password di decrittazione) nella posizione remota dell'avversario.

Perché Threema per desktop non è interessato

Nella versione 1 dell'app desktop di Threema, non ci sono mai contenuti salvati su disco (e le chiavi di sessione persistenti sono crittografate con una chiave derivata dalla password utente). Pertanto, anche se un attore minacciaso riesce ad accedere al file system, non ha modo di accedere a nessuno dei contenuti Threema poiché non c'è semplicemente nulla.

La versione 2 dell'app desktop di Threema si basa su un'architettura completamente nuova. Offre supporto multi-dispositivo ed è attualmente disponibile come beta per gli utenti dell'app mobile iOS.

In questa nuova versione, tutto il contenuto salvato su disco (ad es. Messaggi, file / media, contatti, materiale chiave, nomi di file, ecc.) è crittografato con una chiave derivata dalla password utente. Questa è una password che l'utente deve fornire per ogni sessione e che non è memorizzata in testo normale da nessuna parte. Pertanto, anche se un avversario riesce ad accedere al file system, non ha ancora modo di accedere a nessuno dei contenuti Threema del target perché è crittografato con una password nota solo all'utente.

Per ulteriori informazioni sulla sicurezza di Threema, fare riferimento alla nostra Pagina Sicurezza o, se sei tecnicamente portato, consulta il Whitepaper.

So che sono in molti ad utilizzare Filen ma forse non tutti sanno che da poco hanno fatto uscire un sondaggio dove tra l'altro è possibile anche partecipare all'estrazione di un piano a vita da 1TB o di cinque piani a vita da 100GB.

Il sondaggio è sulla soddisfazione generale nell'utilizzo di Filen esono 24 domande.

Apprezzo particolarmente il fatto di non aver usato Google Forms! 😁

Devo capire se ho tempo di farne un articolo dedicato su Le Alternative. Ne ho già parlato un minimo nell'articolo dedicato a Firefox 128 ma @[email protected] di [email protected] ne ha fatto un bel post sul blog che condivido volentieri.

In pratica Mozilla tratta nuovamente i suoi utenti come dei bambini che vanno imboccati e dalla versione 128 di Firefox attiva automaticamente (opt-in) una protezione della privacy che protezione non è (giocando quindi anche con le parole) senza dire nulla e probabilmente sperando che nessuno la disattivi.

È un problema che ho seguito, nel senso che ho seguito la discussione, fin dall'inizio. Non ne ho postato nulla su Le Alternative perché mi sembrava troppo tecnico da spiegare ma è comunque interessante quanto successo. È interessante anche il fatto che Signal ha un po' ignorato il tutto fino a che la cosa non è montata eccessivamente, il che non depone troppo a favore di Signal. Non tanto per quel che riguarda la sicurezza ma, come troppo spesso accade, su quanto poco seguano la comunità e le richieste della stessa.

L'articolo di Il Software

Ci sono voluti diversi anni prima che Signal si attivasse per proteggere il database dei messaggi della versione desktop. Molti lo consideravano un problema non da poco perché la chiave di decodifica era salvata in chiaro sui sistemi Windows e macOS.

Fino ad oggi gli sviluppatori dell’apprezzata app di messaggistica Signal, in passato consigliata anche dalla Commissione Europea ai suoi dipendenti, hanno sempre gettato acqua sul fuoco su un problema che emerse addirittura nel 2018. Il client desktop per Windows e macOS si appoggia a un database SQLite, utilizzato per memorizzare i messaggi dell’utente.

Il contenuto di tale database è decodificabile soltanto con un’apposita chiave che però, ed è questo che ha fatto sobbalzare molti esperti, è conservata in un semplice file di testo, senza alcuna protezione. Si chiama %appdata%\Signal\config.json su Windows e ~/Library/Application Support/Signal/config.json su macOS.

Se Signal può accedere a questa chiave, può farlo anche qualsiasi altro utente o programma in esecuzione sul computer, rendendo il database cifrato praticamente inutile. Una soluzione proposta dal ricercatore Nathaniel Suchy era di cifrare il database locale con una password fornita dall’utente, che non sarebbe stata memorizzata da nessuna parte, come avviene con i software di backup cloud, i browser Web, i gestori di password e i portafogli di criptovalute.

Continua su Il Software

Dopo ben 8 mesi dall'apertura (il 09/10/2023) oggi la Merge Request su Gitlab è stata unita ad F-Droid data.

Tralasciando i tecnicismi questo significa che: l'app Element X dovrebbe arrivare a breve (3-4 giorni) nello store Android open source F-Droid! 🤩🥳🎉

Element X è la nuova app in sviluppo che prenderà il posto di Element Android (ed Element iOS). E' costruita da zero per essere più veloce e stabile delle vecchie app e sfrutta il nuovo meccanismo di sincronizzazione di Matrix/Element.

Le novità di Firefox per i prossimi mesi

https://www.lealternative.net/2024/06/05/le-novita-di-firefox-per-i-prossimi-mesi/

LibreWolf, l’alternativa a Firefox che deriva da Firefox

https://www.lealternative.net/2024/06/05/librewolf-lalternativa-a-firefox-che-deriva-da-firefox/

Penpot arriva alla versione 2.0

https://www.lealternative.net/2024/06/04/penpot-arriva-alla-versione-2-0/

Il messaggio dello staff di sviluppo di Pixelfed a proposito delle inquietanti novità di Instagram

@lealternative

Siamo a conoscenza delle nuove politiche di Meta/Instagram sull'intelligenza artificiale e del desiderio che artisti, fotografi e altri creativi migrino su un'altra piattaforma!

La nostra nuova app mobile è stata ufficialmente sottoposta alla revisione dell'app e non vediamo l'ora che arrivi finalmente sull'App Store ✨

Nel frattempo vi segnaliamo le quattro istanze pixelfed italiane:

1. pixelfed.uno, l'istanza italiana più attiva, gestita dallo stesso collettivo che amministra mastodon.uno, ossia @devol
2. pixel.livellosegreto.it istanza gestita da @ed e @kenobit ossia il team di livellosegreto.it
3. pixel.redsnake.io, gestita dallo stesso admin di redsnake.io, ossia @chiaraepoi
4. liminalgici.spacc.eu.org, gestita da @octt
   ♲ mastodon.social/@pixelfed/1125…

GrapheneOS introduce il PIN per l’autodistruzione

https://www.lealternative.net/2024/06/04/grapheneos-introduce-il-pin-per-lautodistruzione/

FluffyChat si aggiorna alla versione 1.21.0

https://www.lealternative.net/2024/06/03/fluffychat-si-aggiorna-alla-versione-1-21-0/

Sniffnet, scopri le connessioni fatte dal computer

https://www.lealternative.net/2024/06/03/sniffnet-scopri-le-connessioni-fatte-dal-computer/

Come usare la ricerca di Google senza AI né altro

https://www.lealternative.net/2024/06/01/come-usare-la-ricerca-di-google-senza-ai-ne-altro/

Intervista di Techlore a John Ozbay di Cryptee (in inglese)

https://www.lealternative.net/2024/05/31/intervista-di-techlore-a-john-ozbay-di-cryptee-in-inglese/