Ormai gli amministratori che hanno a che fare con questa storia stanno iniziando a pensare che gli sviluppatori li stiano prendendo per il culo… e non posso fare altro che empatizzare: questa è proprio la cosa che io, da developer, farei per trollare eventuali sysadmin, che dovrebbero poi correre appresso al mio eventuale codice mal scritto, in un programma che dal nulla gli fa uscire a sorpresa in home in color rosso sangue “Aggiornamento critico di sicurezza disponibile!“, ma non offre purtroppo nessuna funzione di aggiornamento con 1 click (al contrario di robe come WordPress). 🦧
Purtroppo, scherzi e #lagne a parte, è una cosa specialmente #brutta perché, se in Mastodon si stanno trovando così tante #falle, chissà in piattaforme #fedi meno popolari e quindi meno controllate e testate… a meno che non sia un caso di impigrimento dei dev, ma su questo non posso fare grandi #ipotesi. 😩
Ieri tardi stavo finendo una roba, e dal niente esce mio padre a #rompere il cazzo perché non sto ancora dormendo…?! Non ho idea di come sia fisicamente possibile… in un altro caso avrei pensato di star facendo tanto rumore da disturbare, ma ormai escludo questa ipotesi, perché è più di 1 mese che ho la tastiera nuova e non sono mai uscite fuori rotture di scatole prima di ieri. #Mannaggia! 😩️
La mia #ipotesi è che dovesse in bagno or some shit, e ha visto un filo di luce (che in genere abbasso apposta, ma non ho mai capito bene quale delle mie lampade si noti meno da fuori, quindi è sempre una roulette) da sotto la porta chiusa, e, magari, allo stesso tempo la mia tastiera si sente stando appena appena fuori alla porta chiusa quando non c’è altro rumore in giro (provai a testare col microfono del telefono, ma non ho mai ben capito). In ogni caso, so con certezza che luce e rumore non arrivano fino a dentro la stanza dei miei genitori, quindi… fatti i fatti tuoi? Dormi e lascia vivere? Se stessi rompendoti il cazzo, allora il tuo diritto di rompere il mio sarebbe inalienabile; ma, dalle mie analisi, penso di non dare alcun fastidio; e se invece lo do, allora la lamentela deve essere esplicita perché io possa comprendere i danni delle mie azioni, non mascherata dietro un’accusa di diverso ambito. (Tutte #supposizioni comunque.) 😐️
E quindi non ho finito di scrivere il post che avevo iniziato, e non potevo continuare a scriverlo magari nel letto col telefono, perché dovevo prima finire di testare una cosa con il JavaScript… ma in quel momento avevo dimenticato di avere una VM desktop sul server, e a fare tutto da app Android native mi viene da vomitare seriamente l’anima (i browser non hanno i DevTools, e se li hanno fanno cagare). Ci ho messo dai 5 ai 10 minuti buoni poi, quando mi sono messa nel lettino a leggere, a godermi la lettura senza avere la mente che andava per fatti suoi per l’amarezza… menomale che alla fine ce l’ho fatta, altrimenti alla prossima buona occasione mi mettevo a fabbricare #pezzi. ⛏️
Ho preso 5 minuti (uhmm, no, magari) per un breve #ReverseEngineering di quella parte della #applicazione, arrivando a questa sezione del file (baksmaliato dall’ultima versione presente su APKMirror) smali_classes6/posteitaliane/posteapp/apppostepay/ui/activity/SplashActivity.smali, che invoca il dialogo di avviso in foto: 🤓️
# riga 4358.method public final e()V# ... inizializzazione di altra roba# riga 4503new-instance v1, Lcom/scottyab/rootbeer/b;invoke-direct {v1, v0}, Lcom/scottyab/rootbeer/b;-><init>(Landroid/content/Context;)Vinvoke-virtual {v1}, Lcom/scottyab/rootbeer/b;->a()Zmove-result v1if-eqz v1, :cond_2# ... visualizza il dialogo se il codice sopra non ha saltato# riga 4542:cond_2# ... ritorna e termina il metodo
Detto in italiano, questo #codice invoca un metodo (dal nome offuscatino?) presente in una certa classe “com.scottyab.rootbeer“… ed esce fuori, con una #ricerca sul web, che questa è una #libreria#OpenSource (evidentemente integrata dagli sviluppatori di #PostePay) per controllare se un #dispositivo Android è #rootato. (Non se passa o meno #SlaveryNet, attenzione.) 🍻️
È un po’ troppo rubatempo mettersi a capire quale effettivamente è nel codice Java quella funzioncina b;->a()Z ora, quindi tiriamo a #indovinare. Ci sono, in RootBeer.java, tante #funzioniboolean, di cui varie ausiliarie, e 2 principali: isRooted[With/Without]BusyBoxCheck(). Queste due principali restituiscono un valore positivo qualora anche solo una delle ausiliari chiamate restituisca true, l’unica differenza tra le due è il fare anche il controllo per la presenza del binario busybox, oppure no… E quindi le opzioni sono le seguenti: 📜️
checkForBinary(BINARY_SU), checkSuExists(), checkForRootNative(), checkForMagiskBinary(): controllo effettivo del root; escludo, da quel che ricordo il suo telefono non è rootato, ed avendo il bootloader bloccato direi che possiamo stare tranquilli.
detectRootManagementApps(): scarto, se il telefono non è rootato non avrebbe senso tenere app di gestione del root.
detectPotentiallyDangerousApps(): controlla se sono installate app “a umma umma”; escludo perché credo nessuna sia utile senza il root, e qualcuna forse è pure malware… eccetto Lucky Patcher, che però ad oggi si auto-spoofa.
checkForRWPaths(): scarto, controlla se alcuni percorsi sensibili sono scrivibili, immagino di no col bootloader bloccato e senza root.
checkForDangerousProps(): da verificare, controlla se alcune #BuildProps di Android sono particolari.
detectTestKeys(): inizialmente sospettavo, ma lo abbiamo verificato (con getprop | grep build.tags), e pare non sia il caso (tutto è listato come “release-keys“).
checkForBinary(BINARY_BUSYBOX): questa potrebbe essere, ed è #interessante, controlla come ho detto prima la presenza del binario busybox, ma da questo commit del 2020 non è più usata nel check predefinito perché — come detto nel commento in quella parte di #source, e alla sezione “False positives” del readme — alcuni #OEM lo lasciano quando non dovrebbero (io credevo fosse normale tralaltro, non un’anomalia!).
Quest’ultima #ipotesi mi cattura perché innanzitutto, te micro hai proprio un #MotoEda quello che ricordo, che è uno dei #telefoni listati esplicitamente sul readme… certo, se la #lib usata nella app fosse stata aggiornata, questo non sarebbe dovuto succedere, a meno che i programmatori delle #Poste non abbiano stupidamente usato la funzione di #controllo aggressiva. Però tbh, considerando la qualità del #software#statale o semi-statale qui in #Italia, secondo me semplicemente quella #dipendenza non è mai stata aggiornata (da un lato però, come biasimarli… “se funziona, non toccare”…). Al momento però non riesco a #provare ciò, perché non trovo #APK abbastanza vecchi di PostePay, quindi lancio solo #idee al vento. 😩️
Io punto su #busybox per risolvere questo #mistero. Lo #smartphone non è il mio, quindi io ora posso solo aspettare, se dovessero uscire novità farò un banale edit. (Sperando non siano così grosse da necessitare di un nuovo #messaggio). 😼️
Edit: non ci ho beccato nemmeno per il cavolo: dalla regia, che ha ora testato con il #programma di #test di #RootBeer, vengo a scoprire #malamente che le mie opzioni tecnicamente più plausibili si sono rivelate sbagliate. “Root Management Apps” è cosa fa scattare gli allarmi, cosa che io giustamente ho escluso a priori, ma la regia mi fa appunto sapere che aveva #Magisk Manager installato (soltanto a prendere polvere perché, questo l’ho pensato bene, non ha il root nell’effettivo); e, come previso, la disinstallazione mette a tacere i falsi positivi. Vabbè oh, non potevo immaginarmelo… 🤕️