Con il potenziamento delle capacità di elaborazione e di comunicazione interattiva, per gli smartphone di ultima generazione sono aumentati i problemi legati alla difficoltà di mantenere sotto controllo migliaia di righe di codice e alla maggiore esposizione agli attacchi esterni.
Sophos, azienda specializzata nella sicurezza delle informazioni, in un recente comunicato ha marcato la differenza tra i dispositivi iOS e Android, soffermandosi sulle cause della maggiore vulnerabilità del sistema operativo di Google.
Tra queste, la maggiore diffusione di Android rispetto ai concorrenti (circa il 59% del mercato mondiale), il che espone il sistema operativo a un maggior interesse da parte dei produttori di mobile malware, concentrati sull'obiettivo di infettare il maggior numero di dispositivi nel minor tempo possibile.
I criminali informatici sono soliti nascondere nelle applicazioni il codice malevolo da distribuire, al fine di eludere i meccanismi di controllo dei produttori. E ciò espone maggiormente - com'è comprensibile - quei sistemi operativi che hanno una politica di diffusione basata sull'installazione di software di terze parti senza controlli preventivi.
La politica di chiusura dell'App Store - in cui le applicazioni sono sottoposte a severi controlli prima di essere diffuse e le API non vengono messe a disposizione degli sviluppatori - definisce un diverso livello di protezione delle funzioni del sistema operativo e, soprattutto, dei dati personali degli utenti.
Ciò non significa che il sistema operativo dei dispositivi mobili di Apple sia inattaccabile (come ha dimostrato un ricercatore statunitense, realizzando un’applicazione che ha rivelato surrettiziamente l'esistenza di un bug nell'App Store), ma garantisce un maggior livello di protezione.
E' anche vero che tale “chiusura” è la ragione per la quale molti utenti preferiscono la versatilità di Android rispetto alla rigidità di iOS, che impedisce ancora oggi, ad esempio, la registrazione delle chiamate in entrata e in uscita dal dispositivo, per una discutibile politica di salvaguardia della riservatezza.
Attenzione all’installazione di applicazioni di terze parti
Uno dei principali problemi di vulnerabilità riscontrati nella politica di gestione dei contenuti di Android, è la possibilità di installare applicazioni provenienti da terze parti, diverse e non certificate da Google, che espone gli utenti all'installazione di malware e applicazioni che riducono la sicurezza del dispositivo.
Se la fonte non è conosciuta e di ottima reputazione, c'è il rischio di installare sul telefono un'applicazione apparentemente proveniente da un produttore affidabile,ma in realtà modificata da criminali informatici per veicolare virus e trojan con i quali compromettere il sistema e acquisire le informazioni personali del malcapitato utente.
Fino a quando le applicazioni vengono modificate al solo fine di introdurre pubblicità ed estendere le potenzialità dello spamming, il fastidio può essere eliminato rimuovendo l'applicazione ma, dato che raramente un criminale informatico rinuncia ad acquisire dati che gli potranno essere utili successivamente, la possibilità che applicazioni scaricate da mercati alternativi contengano funzionalità malevole è molto elevata.
I punti di accesso pubblici? Poco sicuri
Anche il collegamento ai punti di accesso pubblici presenti sul territorio non è una buona idea.
Sebbene faccia risparmiare traffico telefonico, è sufficiente l'uso di un tool come DroidSheep su una rete non sicura, per appropriarsi delle credenziali di autenticazione dei principali social network e sostituirsi ai titolari dei profili, pubblicando a loro nome messaggi e contenuti.
Neppure il noto Instagram è al sicuro da attacchi portati a termine con applicazioni come Boxer che, sfruttando le vulnerabilità dei sistema operativo Android, copiano i contenuti del profilo social dell'utente oggetto di attacco e ne creano uno identico, finalizzato a diffondere ulteriormente il contagio.
Scopo dell'applicazione malevola è l'invio di messaggi sms a tariffazione differenziata, verso paesi dell'est europeo, per alimentare servizi telefonici a pagamento offerti dagli stessi criminali informatici che hanno creato l'applicazione e che, in tal modo, incrementano i loro guadagni.
Una versione moderna dei dialer telefonici che affliggevano il mercato italiano delle comunicazioni una decina di anni fa.
Potenziare i controlli per contrastare i malware
Tra il 2011 e il 2012, i Sophos Labs hanno rilevato un incremento del malware per sistemi operativi mobili del 10.000% rispetto al 2010.
Una crescita esponenziale e preoccupante, che ha indotto le aziende a potenziare i controlli e che dovrebbe indurre gli utenti a rispettare alcuni principi fondamentali per la sicurezza dei dati.
Primo tra tutti, il concetto che un dispositivo mobile è ormai identico, per potenza e criticità, a un dispositivo fisso, per cui le stesse cautele adottate per il computer di casa o dell'ufficio devono essere trasferite allo smartphone e al tablet.
Ogni dispositivo deve essere munito di credenziali che ne consentono l'attivazione al solo proprietario o legittimo utilizzatore.
L'uso di dispositivi biometrici, sebbene crei altri problemi di riservatezza, può essere un'ottima soluzione.
Se un'applicazione, durante l'installazione, chiede più informazioni di quante siano necessarie al suo funzionamento, probabilmente contiene codice malevolo o viene utilizzata anche per la profilazione degli utenti.
E' opportuno evitarne l'installazione, se possibile. Le reti wireless sono intrinsecamente insicure e tale vulnerabilità aumenta esponenzialmente quando si tratta di reti ad accesso libero, alle quali chiunque può collegarsi e che, pertanto, non vengono considerate - dal soggetto che offre il servizio di connessione - meritevoli di particolari attenzioni (quantomeno non le stesse che riserverebbe alla sua rete interna). Inoltre, c'è sempre il rischio che sia lo stesso proprietario della rete a violare gli account degli utenti per fini di profilazione e marketing).
Utilizzare sempre una Virtual Private Network
Le aziende e gli studi professionali dovrebbero sempre utilizzare una VPN - Virtual Private Network - per consentire a dipendenti e collaboratori di collegarsi ai server interni, al fine di proteggere i dati aziendali. E dovrebbero anche impedire il collegamento a dispositivi che sono stati oggetto di jailbreaking, il procedimento di rimozione delle misure di sicurezza imposte dal produttore, che determina il pieno accesso alle funzionalità del sistema operativo (rooting).
Tale procedimento, consentendo l'accesso delle applicazioni al cuore del sistema operativo, permette anche l'esecuzione di operazioni di esportazione e cancellazione dei dati (inclusi i file di sistema), determinando, in caso di malware installato, non solo la potenziale perdita di informazioni importanti, ma anche l'eliminazione degli elementi che potrebbero consentire di accertare quanto accaduto e individuare i responsabili dell'attacco.
Un aspetto solitamente sottovalutato - e spesso considerato fastidioso - è l'aggiornamento dei sistemi operativi e delle applicazioni che, tuttavia, è il miglior amico della sicurezza dei dati, perché la maggior parte degli upgrade riguarda proprio le vulnerabilità.
Anche le politiche commerciali non sempre coincidono con le policy di sicurezza, atteso che gli aggiornamenti possono essere bloccati o omessi dal produttore del software (per la difficoltà di garantirne la compatibilità con tutti i modelli di smartphone in circolazione o per problemi di potenza dei modelli più datati), dal produttore del telefono, che potrebbe non avere interesse a supportare ulteriormente determinati modelli, o dall'operatore telefonico, che potrebbe intercettare l'impegno di banda e ridurlo o impedirlo, per non intasare la rete, demandando l'operazione al collegamento con una rete wifi.
Cifrare i dati ed eseguire backup
Cifrare i dati ed eseguire backup periodici sono operazioni che l'utente medio non esegue normalmente sui dispositivi fissi, figurarsi su quelli che considera, con superficialità, dei telefoni evoluti.
In realtà, il rischio di perdita o di sottrazione dei dati su apparati molto più esposti del desktop al furto, allo smarrimento o all'intrusione (per il costante collegamento a una rete radio o wifi e per la presenza del Bluetooth) dovrebbe indurre a un atteggiamento completamente diverso.
La caduta dello smartphone è un evento assolutamente normale nella vita del dispositivo ed è altrettanto prevedibile la conseguente perdita dei dati, il cui recupero, in assenza di un backup o di un servizio Cloud, diventa oneroso sia in termini di tempo che dal punto di vista economico.
Lo smarrimento - o il furto - del dispositivo (evento il cui rischio è pari o superiore a quello di contrarre un infezione da malware), in assenza di credenziali di accesso e di cifratura, oltre che alla perdita dei dati, espone il proprietario all'indebita cognizione delle informazioni da parte di terzi, per non parlare della possibilità di accesso remoto anche al server aziendale e ai profili dei servizi on line (dato che la memorizzazione delle credenziali nei browser è ormai una prassi), con ogni prevedibile conseguenza in termini di riservatezza e di danno - con conseguente risarcimento - ai clienti.
Policy aziendali
Anche dal lato aziendale, deve essere garantito un equilibrio tra libertà di accesso, disponibilità di funzioni e sicurezza.
Se un dispositivo non rispetta le policy di sicurezza, non dovrebbe essergli concesso alcun accesso al sistema e le policy di sicurezza, soprattutto per quanto riguarda i comportamenti corretti che i dipendenti devono osservare, dovrebbero essere costantemente aggiornate e diffuse tra gli addetti ai lavori.
Una soluzione per prevenire possibili contaminazioni potrebbe anche essere quella di strutturare l'azienda con un server per applicazioni interno, analogo ad un wiki per le policy e la documentazione, al quale fare accedere i dispositivi per gli aggiornamenti e le applicazioni.
Il sistemista provvederebbe a scaricare le App solo da aziende affidabili e certificate e a metterle a disposizione degli utenti aziendali.
Anche per quanto riguarda i sistemi Cloud,è opportuno che le politiche aziendali siano rispettate e che ogni dispositivo sia configurato e messo in sicurezza dal responsabile IT, prevenendo ed evitando installazioni “fai da te” che, per quanto realizzate da utenti esperti, non potranno mai essere di livello tale da poter essere equiparate a quelle poste in essere dal sistemista.
Quasi superfluo ricordare che software di sicurezza, antivirus e antimalware, sono ormai disponibili per tutte le piattaforme mobili, sia in versioni gratuita (meno performanti) che a pagamento. Dotarsene è sempre un buon investimento.
Gianluca Pomante
Avvocato
Esperto in tema di Privacy e IT
