Obtainium

Oggi trattiamo un argomento un po’ spinoso e tecnico, per questo abbiamo deciso di dare a questo articolo il livello di difficoltà 3. Non tanto perché Obtainium sia un’applicazione difficile da utilizzare, quanto perché utilizzarla vi mette nella condizione di avere molta più responsabilità sulle vostre azioni.

Partiamo dunque, come sempre, dalle basi. Questa applicazione vi permette di installare, scaricare e aggiornare con estrema facilità qualsiasi applicazione presente su GitHub, GitLab, F-Droid e IzzyOnDroid. Vi permetterà inoltre di mantenere aggiornate le applicazioni di Mullvad e Signal.

Obtainium

Ora, la maggior parte di voi starà probabilmente pensando: ok, ma perché dovrei utilizzare questa applicazione al posto di F-Droid? La risposta non è per nulla semplice né scontata ed è anche per questo che ci prendiamo qualche minuto prima di presentarvi Obtainium chiarendo alcuni punti cruciali.

Esiste una nicchia di persone che punta il dito sulla sicurezza di F-DroidÈ lo store di cui parliamo più spesso, è come il Play Store di Google ma contiene solo ed esclusivamente applicazioni open source. Installarlo è altrettanto semplice: andate su f-droid.org dal vostro cellulare. Cliccate su “SCARICA F-DROID“. Vi scaricherà un file .apk. Non preoccupatevi, è l’estensione standard di tutte le applicazioni. Cliccate sopra questo file e installatelo. Potrebbe chiedervi di consentire l’installazione da app da fonti esterne perché di suo Android non vuole che utilizzate qualcosa di diverso dal Play Store. Autorizzate e avrete installato F-Droid sul vostro cellulare! principalmente per via del fatto, cerchiamo di sintetizzare e semplificare il più possibile, che F-Droid firma tutte le applicazioni prima di farvele installare ¹. Questo è un problema di sicurezza solamente in base al vostro threat modelÈ il modello di minaccia dal quale avete la necessità di proteggervi. È importante infatti distinguere l'utilizzo di un sistema e di un programma da parte di un giornalista investigativo rispetto a chi invece sta solo cercando di proteggersi dalla profilazione di Google. Tendenzialmente quello che viene suggerito su Le Alternative è per scongiurare la seconda minaccia. Leggi, cioè è un problema principalmente se i vostri standard di sicurezza sono estremamente elevati.

F-Droid, infatti, non ha mai avuto alcun tipo di problema di nessun tipo ma se qualcuno mai dovesse riuscire a intrufolarsi nei loro server potrebbe modificare le applicazioni con codice malevole senza che voi lo sappiate perché queste avrebbero la firma di F-Droid e sarebbero dunque, per il vostro sistema operativo, affidabili e sicure.

L’attore malevolo in questo caso potrebbe rilasciare dei finti aggiornamenti di applicazioni con all’interno dei virus pericolosi e il vostro sistema operativo li lascerebbe passare agevolmente perché: “questo aggiornamento ha la stessa firma dell’installazione, dunque ci fidiamo!“.

Aiuto, devo disinstallare F-Droid quindi?

No di certo e non saremo certo noi a generare FUD né a mettervi ansie inutili. Intanto partiamo dal presupposto che il rischio zero in informatica non esiste e semplicemente si va, appunto, per gradi. Gestire le applicazioni da F-Droid ha diversi punti a favore, per esempio:

• non dovete essere esperti e F-Droid controllerà per voi ogni singola applicazioni prima di qualsiasi aggiornamento;

• grazie al loro codice etico ² se un’applicazione si aggiorna con comportamenti scorretti (inserendo pubblicità senza avvisarvi, per esempio), F-Droid la bloccherà e non le permetterà più di essere presente sul suo store fino a quando le anti-caratteristiche verranno eliminate. Se l’anti-caratteristica è considerata un compromesso accettabile vi avviserà comunque del cambiamento;

• F-Droid è uno store sicuro, veloce, pratico e alla portata di chiunque. Ad oggi non c’è mai stato un singolo problema sulle applicazioni presente nel loro store né hanno mai avuto un problema di sicurezza;

• prima di installare un’applicazione presente su F-Droid potete sapere esattamente cosa contiene, quali eventuali tracciantiOltre ai cookie ci sono tanti altri metodi per tracciare il profilo di una persona da parte, ad esempio, dei social network. Il web ne è, purtroppo, disseminato. Maggiori dettagli su Mozilla. Leggi e quali autorizzazioni vengono richieste. Tutte queste cose GitHub, o chi per lui, non ve le dice e dovrete scoprirle in autonomia.

Differenze tra scaricare un’applicazione da GitHub o da F-Droid

Cosa succede dunque quando uno sviluppatore aggiorna un’applicazione? Generalmente viene rilasciato il codice sulla pagina del codice sorgenteÈ lo scheletro del programma. È il testo del programma scritto in un linguaggio di programmazione qualunque. Per questo è importante che sia libero ed accessibile a tutti: perché tutti possano controllare cosa c’è scritto dentro. Vorreste abitare in una casa dove l’architetto non vi ha fatto vedere il progetto (e non vuole farlo vedere a nessuno!) ma vi ha detto soltanto: “fidati, so quel che faccio”? Leggi (ad esempio GitHub, GitLab o altri) e, se lo sviluppatore vuole, può rilasciare anche il file .APK di installazione già pronto all’uso senza che voi dobbiate fare nulla se non installarlo.

F-Droid al posto di prendere quel file .APK e proporvelo, ricompila (è come se mettesse insieme i vari pezzi per farla funzionare) l’applicazione e la firma, come dicevamo prima. In questo processo controlla che tutto fili liscio: controlla che non ci siano virus e soprattutto che non siano inserite librerie proprietarie o poco etiche secondo i loro standard. Fatte queste verifiche vi proporrà l’aggiornamento dell’applicazione attraverso i suoi server.

E quindi a cosa serve Obtainium?

Fatte queste lunghe, ma doverose, premesse vi spieghiamo ora cosa permette di fare Obtainium: vi permetterà di scaricare direttamente i file .APK dai siti di rilascio senza che voi dobbiate passare da store alternativi.

Questo processo ha sicuramente alcuni vantaggi ma ha anche alcuni svantaggi, vediamo quali:

• gli aggiornamenti sono sicuramente più rapidi perché sono quasi in tempo reale con quanto rilasciato dagli sviluppatori;

• scaricherete i file generati direttamente dagli sviluppatori senza la necessità di usare altri store. Questo, sotto alcuni punti di vista, è un bene ma sotto altri lo è un po’ meno:
  • per esempio GitHub è tendenzialmente molto sicura e difficilmente può venire rilasciata un’applicazione con librerie malevoli. Ma, come sappiamo, F-Droid non ci protegge solo dai virus ma anche dalle applicazioni poco etiche e questa cosa a GitHub, invece, non interessa. Se dunque lo sviluppatore inserirà della pubblicità, per esempio, voi non lo saprete mai se non andando a spulciare a dovere l’APK prima di installarlo per vedere cosa contiene.

In pratica e in breve: se scaricate i file direttamente dal codice sorgente dovete fidarvi dei singoli sviluppatori. Se scaricate da F-Droid dovete fidarvi dello staff dietro F-Droid.

Ora, come avrete intuito, ci sono indubbiamente dei pro e dei contro per usare questa applicazione: se vi fidate ciecamente degli sviluppatori e se volete aggiornamenti rapidi allora Obtainium può fare al caso vostro: è semplicissima da utilizzare e controlla regolarmente se ci sono aggiornamenti sui vari repositoryÈ il posto dove il progetto open source appoggia il codice sorgente e dove è presente tutta la cronologia, la storia e l'evoluzione del progetto. Alcuni hosting di repository sono GitHub, GitLab, Gitea e Codeberg. (i link del codice sorgente) che gli avete dato.

Quando troverà un aggiornamento vi avviserà e vi permetterà di aggiornare l’applicazione con un click.

Nella speranza di non aver generato confusione né di aver alimentato ansie, vi lasciamo con i link per scaricare Obtainium.

Scarica

• scarica direttamente l'APK • scarica da Play Store • codice sorgente

1. You should uninstall F-Droid – link Piped[↩]
2. Anti-Features[↩]

Aiutaci a condividere privacy