Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

il decalogo

Smartphone e sicurezza: tutte le minacce e come difendersi

I nostri smartphone sono una miniera di informazioni preziosa per i cybercriminali che li attaccano con tecniche sempre più nuove e sofisticate. Malware, spyware, fake antivirus, reti wi-fi aperte e social network: i pericoli sono ovunque. Ecco 10 regole per prevenirli e tenere al sicuro i nostri dispositivi

21 Mag 2018

Giorgio Sbaraglia

Consulente aziendale Cyber Security, membro del CLUSIT, www.giorgiosbaraglia.it


Da quando (nel 2016) il traffico mobile ha superato quello fisso, il cybercrime ha aumentato sempre più la propria attenzione verso i dispositivi mobili. Scopriamo come si esplica il fenomeno e cosa sapere per difendersi.

https://dm2ue6l6q7ly2.cloudfront.net/wp-content/uploads/2018/05/16093748/word-image16.png

Il malware mobile da Cabir in poi

I malware su mobile sono relativamente giovani. Il primo caso di mobile malware risale al 2004: si chiamava Cabir e colpiva i sistemi Symbian serie 60 (si diffondeva attraverso il bluetooth), poi sono seguiti Ikee and Duh (2009, colpiva gli iPhone con jailbreak), FakePlayer (2010, il primo malware Android che riusciva a rubare soldi attraverso l’invio di SMS a numeri a pagamento in Russia).

Nel 2011 arriva DroidDream, il primo attacco massivo che colpiva su Google Play, utilizzando applicazioni contenenti un malware. Vedremo in seguito come l’utilizzo di applicazioni “infette” sia uno dei principali vettori d’infezione nel mondo mobile.

La minaccia è diventata forte negli ultimi anni, soprattutto con la crescita esponenziale dei dispositivi Android e la conseguente espansione del mercato delle app Android, un mondo scarsamente regolamentato (anche se ultimamente Google si è resa conto della necessità di potenziare i controlli sulle app presenti nel loro Play Store).

Una nuova app dannosa ogni 10 secondi

Secondo il rapporto di G DATA Security Labs nel quarto trimestre del 2017 sono stati rilevati 744.065 nuovi malware per Android, ossia 8.225 al giorno, mentre nel solo primo trimestre 2018 gli analisti hanno rilevato 846.916 nuovi malware per Android. Circa il 12% in più rispetto al primo trimestre del 2017. Una media di 9.411 nuovi malware al giorno, una nuova app dannosa ogni 10 secondi. (fig.2, fonte G DATA Security Labs).

https://dm2ue6l6q7ly2.cloudfront.net/wp-content/uploads/2018/05/16093754/word-image2.jpeg

Fig.2

Android oggi rappresenta circa l’85% del mondo mobile (con Apple iOS che ha il restante 15%), quindi è ovviamente il “bersaglio grosso” più facile da attaccare. Per i cyber criminali, sono diventati una potenziale miniera d’oro di dati personali (e qui troviamo gli “Spyware”), oltre che un modo estremamente facile per colpire gli utenti finali sfruttando tecniche di ingegneria sociale per rubare denaro con varie modalità che poi vedremo.

Il 96% dei malware mobili colpisce Android

Come detto, attualmente il metodo più sfruttato dal malware per in infiltrarsi in un dispositivo mobile è tramite il download di un’app malevola che non sia stata sottoposta ad adeguati controlli.

I criminali informatici installano applicazioni contenenti funzionalità malevole nascoste, nel tentativo di eludere il rilevamento dei processi di controllo dello store.

La piattaforma Google Android è quindi diventata un bersaglio molto più diffuso di quanto non lo sia Apple iOS (la cui piattaforma è sottoposta a controlli molto più rigidi). Il 96% dei malware mobili colpiscono Android.

Il walled garden di Apple contro gli attacchi

Viceversa, il “walled garden” dell’Apple App Store (dove le applicazioni sono sottoposte a severi controlli prima di essere messe a disposizione dei clienti) si è dimostrato abbastanza efficace nel prevenire gli attacchi di malware rivolti agli utenti di iOS. In quanto punto di distribuzione centralizzato, l’App Store garantisce agli utenti la certezza che le app che hanno scaricato sono state testate e certificate da Apple.

Siccome Apple non mette le API a disposizione dei developer, è legittimo ritenere che il sistema operativo iOS abbia meno vulnerabilità, sebbene non sia al 100% inespugnabile. Esistono casi molto noti infatti di malware su iOS, veicolati attraverso applicazioni infette. Il caso più famoso ad oggi è XcodeGhost, accaduto nel settembre 2015. Il malware nasceva da una versione modificata dell’ambiente di sviluppo Apple Xcode. In Cina, a causa delle basse velocità di download dai server USA era stato creato un repository con una versione modificata di Xcode contenente codice malevolo. Gli sviluppatori che hanno usato questa versione di Xcode hanno inconsapevolmente pubblicato App infette sull’App Store. In questo modo, sono state generate più di 300 applicazioni con malware, tra cui la famosa WeChat. Appena scoperto il problema, Apple ha velocemente ritirato le App infette dal suo AppStore.

In altri casi, come con KeyRaider, le app infette colpivano solo gli iPhone soggetti a jailbreak (pratica assolutamente sconsigliabile e sempre meno utile, come vedremo anche successivamente).

I Blocker e i fake antivirus

Diciamo subito che, a differenza di quello che accade con i computer, nel mondo mobile i classici ransomware (che criptano i file) hanno avuto poco successo, in quanto le app e il sistema operativo effettuano il backup su cloud (iCloud o Google Drive, a seconda del sistema operativo in uso). Se gli utenti eseguono il backup dei file, non c’è bisogno di pagare un riscatto, per questo i cybercriminali non hanno trovato conveniente questo tipo di attacco.

I blocker (noti anche come “Lockscreen ransomware”), viceversa, sono uno dei principali metodi d’infezione dei dispositivi Android. Non fanno altro che sovrapporsi all’interfaccia di qualsiasi app e l’utente non riesce più ad utilizzarle. Bloccano lo smartphone e chiedono un riscatto (in genere piuttosto basso), ma non criptano i dati. Su PC è abbastanza facile sbarazzarsi di un blocker, bisogna soltanto staccare l’hard disk, collegarlo a un altro computer e cancellare i file del blocker. Non è così semplice su uno smartphone, la scheda di memoria è saldata alla scheda madre, per questo motivo i blocker rappresentano il 99% dei ransomware mobile sul “mercato”.

Altri malware su Android sono i “fake antivirus”, che inducono gli utenti a effettuare un versamento per rimuovere malware inesistente, utilizzando stratagemmi di social engineering.

La fig.3 ne raffigura un esempio: scoperto a giugno 2013 dal ricercatore di Sophos, Rowland Yu, è un Ransomware su Android. Si chiama Android Defender, ed è un’app ibrida fake antivirus/ransomware che esige un pagamento di $ 99,99 per ripristinare l’accesso al dispositivo Android. Visualizza sullo schermo un avviso relativo a un’infezione, indipendentemente da cosa cerchi di fare l’utente. Non cifra i dati, ma blocca lo schermo.

https://dm2ue6l6q7ly2.cloudfront.net/wp-content/uploads/2018/05/16093809/word-image17.png

Fig.3- Android Defender

App malevole e vulnerabilità del sistema operativo

Concludiamo questa parte rimarcando come le applicazioni malevole possono avere effetto solo se il sistema operativo è affetto da vulnerabilità. E in questo campo Android è il sistema di gran lunga più “fragile”: i ricercatori di CVE Details hanno registrato 842 vulnerabilità in Android nel 2017 (contro le 387 di Apple iOS). Nel 2018 ne sono già state scoperte 298 (iOS è a 85).

Quindi è estremamente importante mantenere sempre aggiornati i propri smartphone. Purtroppo, questa scelta non sempre è possibile per l’utente finale, a causa della complessità della filiera di Android. Questa richiede fino a cinque fasi prima che l’aggiornamento arrivi sullo smartphone dell’utente (vedere fig.4):

  1. Android (Google) realizza l’aggiornamento.
  2. Android invia l’aggiornamento ai produttori di processori (per es. Qualcomm) che lo devono adattare ai propri hardware specifici.
  3. Poi viene inviato ai produttori di smartphone (Samsung, LG, Huawei, ecc.) che personalizzano la nuova release.
  4. Successivamente passa ai provider (le cosiddette Telco, quali Vodafone, TIM, ecc.) che vendono propri dispositivi mobili ai clienti, e che possono apportare le proprie modifiche al software.
  5. Solo a questo punto la nuova versione del sistema operativo viene rilasciata al pubblico.

https://dm2ue6l6q7ly2.cloudfront.net/wp-content/uploads/2018/05/16093833/word-image3.jpeg

Fig.4

Le scelte dei produttori a discapito della sicurezza

Questo processo ha tempi molto lunghi (anche mesi), con la conseguenza che gli utenti ricevono gli aggiornamenti a distanza di mesi o persino di anni da quando le vulnerabilità sono state scoperte. Addirittura, per i modelli più datati, il rischio è che l’aggiornamento non venga neppure fatto, perché ritenuto antieconomico dai produttori (considerata la vastità di modelli di smartphone Android presenti sul mercato, oltre 20.000), che aggiornano solo i modelli più recenti e costosi. Si può considerare che gli smartphone con più di due anni dall’uscita sul mercato (e di fascia bassa, con hardware già obsoleto) non godranno di aggiornamenti, ovviamente a discapito della sicurezza.

Google corre ai ripari

Questo è probabilmente il maggior punto debole di Android. Google se ne è resa conto ed ha presentato il suo “Project Treble” (con Android 8.0 “Oreo”), che dovrebbe semplificare e velocizzare tutto il processo degli aggiornamenti.

Nel sistema Apple iOS la filiera è invece estremamente corta e verticale: da Apple gli aggiornamenti arrivano direttamente all’utente (con un solo passaggio) e interessano un numero di modelli estremamente limitato. Questo fa sì che oggi, nel 2018, anche uno smartphone nato nel 2013 come iPhone 5S sia ancora supportato a distanza di 5 anni.

E non si pensi che gli aggiornamenti siano fatti solo per aggiungere nuove funzionalità: nell’ultimo aggiornamento iOS (11.3) sono state chiuse oltre cinquanta vulnerabilità, come si può vedere nel documento tecnico emesso da Apple: “About the security content of iOS 11.3”. Quindi ricordiamoci sempre di aggiornare.

Smartphone e Social, una miscela pericolosa

Cominciamo mettendo in evidenza due aspetti:

  • sui Social Media le persone abbassano le difese (e non c’è neppure l’antispam…)
  • Nel mondo ci sono 3,196 miliardi di utenti attivi sui Social (In Italia sono 34 milioni). Di questi 2,958 miliardi lo fanno da mobile (30 milioni in Italia) (Fonte Hoosuite We are social – gennaio 2018). Quindi i social sono utilizzati soprattutto sul mobile.

Per questo per un cyber criminale è più facile attaccarci attraverso Facebook, LinkedIn o gli altri social. E le tecniche sono tante ed anche fantasiose.

Un primo esempio, piuttosto diffuso: l’utente riceve un messaggio su Facebook Messenger da un amico. Il messaggio comprende la parola “video”, il nome del mittente, un’emoticon e un link accorciato (Bitly o simili). (vedi fig. 5)

https://dm2ue6l6q7ly2.cloudfront.net/wp-content/uploads/2018/05/16093819/word-image18.png

Fig.5

La tentazione di cliccarci sopra è molto forte (fare leva sulla curiosità è uno degli strumenti del social engineering e del phishing). Ma si rischia di far entrare un malware (tipo trojan). Una volta cliccato sul video il malware si propaga e gli hacker entrano in possesso dei nostri dati sensibili (password, ecc.). Oppure lo stesso video potrebbe essere inviato “a raffica” a tutti i vostri contatti (senza che ve ne rendiate conto).

A questo punto diventate “Spammer” e Facebook vi blocca il profilo.

Un altro tipo di attacco di Phishing meno noto ma ancora più subdolo: è noto come “URL Padding” (“imbottitura dell’URL”) e si diffonde sugli smartphone attraverso i messaggi.

Un messaggio contenente un link “camuffato” così:

http://m.facebook.com—————-validate—-step1.rickytaylk.com/sign_in.html

sul display di uno smartphone sembrerà il link a Facebook (fig.6):

https://dm2ue6l6q7ly2.cloudfront.net/wp-content/uploads/2018/05/16093827/word-image19.png

Fig.6

Ma, se cliccato, ci indirizzerà verso un sito “fake” del tutto simile a Facebook, dove ci verrà chiesto di inserire le nostre credenziali Facebook, che finiranno nelle mani sbagliate…

Le truffe via WhatsApp

Chi non ha ricevuto “offerte speciali” via WhatsApp?

Per esempio (e sono casi reali): Ikea (concorso con buono da 500 euro ), Zara (Coupon da 150 euro), H&M (buono sconto da 100 euro), Apple (iPhone 7 a prezzi stracciati), Carrefour (buono spesa da 100 euro, vedi fig.7).

Fig.7

Se si clicca sul link, si accederà ad una pagina con un questionario, da compilare per avere diritto allo “sconto”, che ruberà i nostri dati personali. In altri casi ci verrà richiesto di inoltrare il messaggio ad almeno 10 contatti per sbloccare la promozione. Oppure potrebbe attivare servizi in abbonamento che prelevano fino a 5 euro settimanali dal credito telefonico.

Recentemente il phishing dei “buoni sconto” viene veicolato anche attraverso volantini promozionali contenenti QR Code: per avere lo sconto viene richiesto di inquadrare con lo smartphone il QR Code, che però ci linkerà ad un sito malevolo e diverso da quello che ci attendiamo.

I pericoli delle reti Wi-Fi

Generalmente, le reti Wi-Fi, soprattutto quelle gratuite e senza password di accesso, non sono sicure. Ad esempio, se un utente accede mediante la connessione Wi-Fi gratuita di un aeroporto o di un centro commerciale i suoi dati rischiano di essere esposti a utenti malintenzionati che possono intercettare il traffico wireless utilizzando lo stesso access point.

https://dm2ue6l6q7ly2.cloudfront.net/wp-content/uploads/2018/05/16093838/word-image4.jpeg

Fig.8 – Pineapple Nano di Hak5

Basta un semplice apparecchio, acquistabile sul web a 99,99 $, il Pineapple Nano di Hak5 (fig.8) È dotato di due schede di rete Wi-Fi e con alcuni software (Kali Linux e Wireshark) permette all’hacker di creare un fake access point (“free” e malevolo!). Si possono eseguire attacchi tipo Man In the Middle (MITM) in modalità Wi-Fi ed eseguire phishing e furto di credenziali.

Le vittime sono gli utenti che si collegano alla rete Wi-Fi creata da Pineapple ed i cui dati vengono “sniffati” e letti con Wireshark.

Come funziona il Pineapple e come difendersi

Tramite le sue due schede di rete wireless il Pineapple è in grado di collegarsi ad una rete wireless esistente (aperta o di cui si conosce la password) come client, quindi ha la possibilità di navigare in internet e, tramite bridge, può fornire in maniera trasparente la connettività ai client che si collegheranno alla sua scheda di rete secondaria che è impostata come access point libero (senza password di accesso). I nostri devices – per impostazione di default, scarsamente sicura – si connettono automaticamente alle reti Wi-Fi note e libere: quindi Pineapple riesce ad ingannarli.

Buona norma per difendersi è evitare o bloccare la possibilità del proprio smartphone (o computer) di collegarsi a reti Wi-Fi aperte. E soprattutto evitare di connettersi a siti con cui si scambiano informazioni riservare (banca, azienda, ecc.) quando si naviga sotto rete Wi-Fi gratuita. Piuttosto conviene utilizzare la rete 4G, ed accertarsi anche che il sito sia in HTTPS, che è un protocollo che integra il protocollo standard HTTP con un meccanismo di crittografia di tipo Transport Layer Security (SSL/TLS). Quindi i pacchetti dati viaggiano crittografati e si evita l’attacco MITM.

Gli Spyware, cosa sono e come funzionano

Oggi i nostri smartphone contengono tante informazioni e vengono usati in modo continuo, quindi per il cybercrime (ma non solo!) può essere più utile spiare il dispositivo piuttosto che rubarlo. Questo viene fatto utilizzando un particolare tipo di malware conosciuto come “Spyware”.

Lo spyware è un’applicazione di monitoraggio (spionaggio!) che viene introdotta in uno smartphone all’insaputa del proprietario. Può essere installata:

  • con accesso diretto al dispositivo. Fare quindi sempre attenzione a lasciare lo smartphone incustodito senza un codice di blocco.
  • da remoto: le tecniche per riuscire ad installare l’app (con tutti i permessi necessari) passano ancora una volta attraverso il phishing, il social engineering e la navigazione Web (le modalità d’intrusione sono sempre le stesse…). Possono, per esempio, essere nascosti all’interno di applicazioni o giochi gratuiti.

Una volta installato, lo spyware può inviare all’esterno i dati contenuti nello smartphone: telefonate, messaggi, email, foto ed attivare funzioni (all’insaputa dell’utente) come fotocamera e microfono.

Il mondo degli spyware è vario e complesso: si va da quelli “artigianali” reperibili nel web a poco prezzo, fino a prodotti altamente sofisticati, realizzati da aziende specializzate, che li vendono poi anche alle polizie ed agli enti governativi. In questo caso si parla di “captatori informatici”, utilizzati a fine di indagine per l’intercettazione di comunicazioni o conversazioni in dispositivi elettronici portatili. Su questo delicato tema è stato approvato a fine 2017 un decreto (D.Lgs. n.216, c.d. Decreto Orlando, dal nome del ministro della Giustizia) allo scopo di regolamentarne l’utilizzo ed impedire gli abusi.

Proprio per la vastità dell’argomento (che non riguarda solo i dispositivi mobili, ma colpisce anche i computer), rimandiamo l’approfondimento ad un successivo articolo, dove racconteremo anche casi famosi (ed inquietanti) dell’uso degli spyware.

Le 10 regole per la prevenzione del mobile malware

Riassumiamo qui le regole per difendersi dal mobile malware:

  • Installare app provenienti da solo fonti attendibili, quali Google Play, Apple App Store. Evitare (per Android) le applicazioni provenienti da repository di dubbia reputazione.
  • Controllare feedback e recensioni degli utenti. Non fidarsi di link presenti in email o sms che ci consigliano di installare un’applicazione.
  • Non cliccare su link o allegati in email o messaggi testuali. Evitare URL o QR code sospetti o di provenienza non nota.
  • Effettuare sempre il log out dalle applicazioni.
  • Non utilizzare connessioni Wi-Fi pubbliche per effettuare transazioni o scambio di dati riservati. Utilizzare piuttosto sistemi di connessione sicura come i servizi VPN per cifrare i dati in transito.
  • Mantenere il sistema operativo e le applicazioni sempre aggiornati.
  • Non fornire mai informazioni personali e proprie credenziali tramite email o messaggi.
  • Non eseguire il jailbreak (iOS) o il rooting (Android) del dispositivo. Con il termine jailbreaking si definisce il processo di rimozione delle limitazioni di sicurezza imposte dal vendor del sistema operativo. “Jailbreaking” o “rooting” significa ottenere pieno accesso a sistema operativo e alle sue funzionalità̀. Implica anche la violazione del modello di sicurezza, consentendo a tutte le app, incluse quelle malevole, l’accesso ai dati inseriti nelle altre applicazioni. Jailbreak e rooting del dispositivo ne riducono drasticamente la sicurezza.
  • Eseguire regolarmente il backup dei dati del dispositivo. Se possibile eseguire backup crittografati (iTunes e gli equivalenti programmi per smartphone Android permettono questa opzione).
  • Cifrare i dispositivi. Il rischio di smarrire un dispositivo è ancora oggi più elevato di quello legato alle infezioni di malware. Proteggere i dispositivi con una cifratura completa del dispositivo stesso significa renderne estremamente difficile la violazione e il conseguente furto dei dati (il “data breach” di cui parla ampiamente anche il GDPR). Impostare una password sicura sia per il dispositivo che per la SIM è diventata una necessità. Purtroppo, ancora oggi molte persone non mettono una password di blocco (sebbene l’utilizzo del touch-ID renda questa opzione estremamente comoda).
  • Nelle aziende, implementare sistemi di Mobile Device Management (MDM) che regolamentano, attraverso policy aziendali, l’uso corretto degli smartphone, con la separazione tra dati aziendali e dati personali, gli aggiornamenti automatici, il blocco all’installazione di applicazioni malevole (white list e black list delle app) e la cifratura dei dati.

Articolo 1 di 5