La sicurezza di Firefox OS in modo esteso è ben poco trattata, e il fatto che un amico sviluppatore mi abbia posto varie domande sulla sicurezza di Firefox OS mi ha spinto ad approfondire e a rispondere alle sue domande in un articolo.
Trova il mio telefono, protezione reset e BitLocker
Firefox OS implementa, nelle ultime versioni stabili, una funzione per trovare eventuali device smarriti. Si può emettere un suono per sincerarsi che il dispositivo no sia nelle vicinanze, lo si può bloccare con un codice oppure resettarlo alle impostazioni di fabbrica, in modo da limitare i danni. Il servizio è veramente ben fatto.
La protezione da reset (impedisce a chiunque di resettare lo smartphone) penso vari da smartphone a smartphone e dovrebbe essere implementata dall’OEM.
La criptazione dati non c’è ancora nella versione stabile, ma nei forum se ne parla. Essendo Firefox OS un sistema orientato al Web il problema si può tamponare usando sistemi cloud sicuri per salvare i dati.
Sandbox e permessi
Altra questione posta quella sulle sandbox, ossia una esecuzione protetta dei programmi. Firefox OS le usa, anche per i dati. Infatti le app accedono ai dati tramite il sistema. E una app non può accedere ai dati di un’altra, tranne se esplicitamente autorizzata.Il sistema a permessi è ben strutturato. Impedisce, assieme alle altre contromisure, di impedire ad app malformate (o peggio, malevole) di causare danni. Inoltre ogni app pubblicata nello store deve chiedere solo i permessi strettamente necessari. E qui si apre il concetto di fiducia nelle app. Firefox OS ha tre gradi di fiducia:
- Certificate
- Privilegiate
- Web
In pratica le certificate sono quelle app di sistema o dell’OEM (e nemmeno tutte…) come il dialer, l’orologio, il bluetooth e simili. Le privilegiate sono firmate digitalmente da Mozilla. Web è qualsiasi altra applicazione o sito web.
Le app certificate possono accedere a tutte le API (funzioni) di Firefox OS [anche se a certe API, come quelle telefoniche, può accedere solo il dialer per evitare addebiti spiacevoli e simili]. Quelle privilegiate ad un sottoinsieme di esse. Invece le Web hanno accesso solo a funzioni non fondamentali e ritenute sicure.
E se un programma malevolo volesse accesso diretto al kernel? Dopo aver superato tutte queste difese si troverebbe davanti Gecko, il “motore” di Firefox OS. Che non ha punti per far accedere al kernel le app.
Tra l’altro l’utente può scegliere se limitare determinati accessi alle app. Ad esempio potete dare a Facebook il permesso di fare foto ma non quello di geolocalizzarvi.
Sicurezza nel Browser
Firefox OS ha la sua vita nel browser, che è ben curato. In qualsiasi caso per installare software serve comunque una azione coscente dell’utente. E un eventuale malware installato farebbe ben poco, dato che sicuramente non è firmato da Mozilla e può accedere ad un numero microscopico di servizi e dati.
Aggiornamenti
Mozilla pone attenzione anche agli aggiornamenti OTA, che vengono controllati nell’origine, nell’integrità e nei certificati.
Pingback: KaiOS: Firefox OS rinasce sui telefoni a conchiglia! – Computer Blog