Se siete come me, probabilmente condividete le preoccupazioni riguardo i fornitori di app mobili che monetizzano le informazioni personali e le condividono con terze parti. E se la privacy e le app sono temi a cui prestate attenzione, avrete probabilmente notato che le cattive notizie – come quelle sulle applicazioni mobili hackerate e che subiscono violazioni – sono aumentate. Le ultime segnalazioni includono nomi del calibro di Wishbone, un’applicazione per creare sondaggi, e l’app di incontri Mobifriends: quest’ultima ha fatto trapelare le informazioni personali di 3,5 milioni di utenti, tra cui indirizzi email, numeri di cellulare e password con hash MD5.
Dato che a essere preso di mira non è un solo tipo di app, ero curiosa di saperne di più sul come e sul perché le app vengono hackerate e cosa possono fare gli utenti per proteggersi dalle applicazioni che lasciano trapelare i dati personali. Per mia fortuna, sono in contatto diretto con gli esperti di ricerca sulle minacce alla sicurezza informatica di Avira Protection Labs e Alexander Vukcevic è stato in grado di rispondere alle mie domande.
Perché le app mobili sono così soggette a essere hackerate e a far trapelare i dati degli utenti? Sono gli sviluppatori di app che stanno sbagliando qualcosa oppure è solo estremamente difficile soddisfare tutti i requisiti di sicurezza necessari per prevenire gli attacchi?
Alle app mobili si richiedono prestazioni ad alta velocità, motivo per cui gli sviluppatori cambiano l’infrastruttura di un’app e spostano alcune logiche di sicurezza dal back-end al front-end. Ciò significa che la logica di sicurezza o le informazioni sensibili ora sono costruite al di fuori dei tipici sistemi di sicurezza di rete, il che le espone a rischi. Nella maggior parte dei casi, gli sviluppatori di app mobili non sono a conoscenza delle tecniche di codifica di sicurezza: di conseguenza, standard di codifica scadenti o errori creano vulnerabilità che possono essere sfruttate dai malintenzionati.
I dati che trapelano da una violazione di un’app mobile sono in genere il vero nome dell’utente, il sesso, la data di nascita, l’indirizzo email, l’indirizzo IP e i dettagli del dispositivo. In che modo gli hacker traggono profitto da queste informazioni? Sarebbe opportuno inserire informazioni false per proteggersi, se possibile?
Considerate che per tentare un attacco di spear phishing agli hacker bastano il nome e i dati dell’email, e un utente ignaro può installare malware su un portatile solo aprendo l’email e cliccando su link dannosi.
Inserire informazioni false non può essere considerato un livello di protezione. Ciò che invece consigliamo sono corsi di formazione sulla sicurezza, sia per privati che per aziende, perché possono offrire a ogni potenziale vittima la possibilità di contrastare eventuali attacchi.
Nelle mie ricerche, ho trovato informazioni contraddittorie sul fatto se sia o meno una buona idea registrarsi e accedere a un’app mobile con le credenziali di Gmail o Facebook. Qual è la tua opinione al riguardo?
Ogni volta che un utente si registra e accede a un’app con un account normale, confida che l’app prenda le misure necessarie per proteggere la sua email, il numero di telefono, l’indirizzo postale, ecc.
Quando si accede con l’account di un altro provider, l’app non conserva la password o altre informazioni. L’utente viene reindirizzato a una pagina ed esegue l’autenticazione con il server dell’altro account, che poi comunica all’app che l’utente è veramente chi sostiene di essere e restituisce il controllo all’app. Quest’ultima riceve solo un token che dice “l’utente ha effettuato il login, consentire l’accesso”.
Ciò significa che invece di fidarsi dell’app, l’utente confida che sia Google o Facebook ad adottare le misure necessarie per proteggere le sue informazioni, incluso il rilevamento di qualsiasi attività sospetta. Google e Facebook non sono la stessa cosa e si può scegliere di fidarsi dell’uno ma non dell’altro.
Naturalmente, anche voi dovete fare la vostra parte per proteggere il vostro account, come utilizzare una password complessa e attivare l’autenticazione a due fattori. Riteniamo che sia una buona idea eseguire l’autenticazione nell’app con un altro account, se c’è l’opzione.
A volte il problema sta nell’applicazione stessa. Nonostante i controlli effettuati dagli app store come Google Play e App Store, sono ancora molte le applicazioni ingannevoli e false disponibili per il download. Perché, o in che modo, gli app store non riescono a rilevare le applicazioni dannose?
La risposta sincera è che per individuare malware e applicazioni fasulle è indispensabile una soluzione antivirus. Google dispone del proprio antivirus mobile, ma se si guardano i test indipendenti, come ad esempio AV-Test, quella di Google è la soluzione di sicurezza mobile con le prestazioni peggiori. Al contrario, Avira ha ottenuto il punteggio più alto in tutte le categorie nell’ultimo test sulla sicurezza mobile condotto da AV-Test.
Puoi dirci qualcosa sulle ricerche che Protection Labs sta svolgendo al momento sulle minacce alle applicazioni per dispositivi mobili? C’è qualcosa a cui gli utenti dovrebbero prestare particolare attenzione?
Attualmente stiamo implementando nuove tecnologie, come un livello di protezione basato sull’apprendimento automatico. Gli utenti dovrebbero anche stare in guardia dalle app stalkerware: potete leggere ulteriori informazioni in merito sul nostro blog.