Prima che il Pc Ibm diventasse a metà degli anni ’80 la piattaforma standard per i personal computer, il mercato offriva una varietà di architetture e di sistemi operativi, fatta di piattaforme proprietarie che in comune avevano ben poco. Bastarono però pochi mesi per aggregare il mercato attorno a una sola soluzione.
Il mercato degli smartphone, cioè dei telefoni con capacità di gestire dati e applicazioni in rete, sta attraversando una fase simile. La domanda è in grande crescita, alimentata dalla disponibilità di connessione, di contenuti e di applicazioni: il risultato è la convergenza tra terminali mobili e personal computer, che consente a chi usa il Pc in mobilità solo per navigare o leggere la posta, di utilizzare dispositivi più semplici ed economici di un laptop.
Da questa tendenza sono nate una quantità di piattaforme mobili che competono non solo sul prezzo, ma anche sui servizi offerti ai clienti: i nuovi modelli vengono immessi sul mercato con grande rapidità, arricchendo continuamente i prodotti di nuove funzioni.
Se la varietà di offerta è un bene per il cliente, l’oggettiva scarsa maturità delle architetture rende però gli smartphone un bersaglio assai appetibile per la criminalità. Tale immaturità è il risultato di una serie di fattori: diversità delle piattaforme, pressione sui cicli di produzione, disponibilità di quasi un milione di applicazioni, presenza di dati sensibili sui dispositivi.
Proprio i dati sensibili, ovvero le informazioni personali dei consumatori, sono i più ricercati dalla criminalità. Secondo Symantec, il gigante americano della sicurezza, carte di credito, conti bancari e indirizzi email risultano ai primi tre posti del mercato nero, con prezzi che vanno da 5 a 100 dollari per informazione.
Un fenomeno emergente è l’uso degli smartphone come elementi di una botnet [rete di computer infettati da virus che ne consentono il controllo da remoto per scopi criminosi ndr]. Ciò è particolarmente critico per la realtà italiana, dove i telefonini hanno tassi di diffusione da capogiro; il nostro Paese inoltre risulta, sempre secondo Symantec, al secondo posto in Europa per numero di personal computer sfruttati nelle botnet.
Particolarmente interessante per il cyber-crimine è poi la considerazione che i telefoni cellulari, a differenza dei personal computer, sono sempre accesi, sono sempre con noi e raramente utilizzano strumenti di anti-malware. Il cellulare per esempio diventa un interessante strumento di intercettazione ambientale: le applicazioni con cui trasformarlo silenziosamente in un microfono o videocamera sono da tempo in vendita su Internet, e vengono usate per esempio per monitorare la propria casa a distanza. La stessa applicazione può però essere utilizzata per ascoltare e vedere a distanza un ignaro portatore, che grazie alla funzione Gps potrà essere localizzato.
In effetti le vulnerabilità dei telefoni cellulari sono note da diversi anni, anche se più come interessanti casi di studio che come minacce reali. I pochi servizi a disposizione sui terminali, limitati a voce, Sms e Wap, la relativa chiusura dei sistemi e la mancanza di applicazioni interessanti hanno contribuito a contenere di molto la diffusione di malware – virus, worm e trojan – su questi terminali.
Un tipo di attacco semplice da effettuare e che ha avuto una buona visibilità sui media, è stato individuato un paio di anni fa. Con un semplice messaggio Sms o Mms è possibile bloccare questi servizi nei telefoni che adottano date versioni del sistema operativo Symbian S60. L’unica soluzione è il reset hardware e la perdita dei dati del telefono, in particolare della rubrica telefonica. Le conseguenze di questa vulnerabilità sono state contenute e coinvolgono nel peggiore dei casi i clienti che abbandonano l’operatore telefonico al quale attribuivano la causa del disservizio.
Sono note diverse altre forme di attacco veicolate dal canale Sms o Mms; la maggioranza di questi fenomeni rimane in genere legata allo spamming.
Lo scenario è cambiato con il successo dei nuovi telefoni basati su iPhone e Android, e l’affermazione dei relativi “software stores” . Con oltre 2 miliardi di applicazioni scaricate da Android Market e più di 7 miliardi da Apple App Store, gli smartphone sono diventati a pieno titolo una piattaforma applicativa, che dispone di robusta capacità di calcolo, molteplicità di canali di connessione (Sms, Bluetooth, Umts, sincronizzazione con i Pc, memory card), Software Development Kit a disposizione degli sviluppatori e una crescente quantità di informazioni sensibili e personali.
I casi di attacco documentati e le vulnerabilità dimostrate sono in rapido incremento e presentano caratteristiche nuove rispetto al mondo dei personal computer.
Mentre su questi ultimi l’installazione di malware richiede un’azione dell’utente, ovvero accettare di installare del software, nel caso degli smartphone è possibile sfruttare le vulnerabilità dei sistemi operativi per installare il codice maligno in modo silenzioso, ovvero senza che l’utente se ne renda conto.
Un caso interessante è una forma di attacco alle transazioni bancarie che sfrutta una variante di Zeus, il famigerato trojan horse usato per creare botnet costituite letteralmente da milioni di computer “zombie”. L’attacco avviene con una combinazione di elementi, mescolando la classica infezione con elementi di social engineering e sfruttando i diversi canali di comunicazione del telefono.
L’attacco, di tipo Man-in-the-Middle, si inserisce nei meccanismi di autenticazione tipici delle applicazioni mobile, in cui gli Sms sono usati come meccanismo per fornire una password temporanea all’utente. Lo smartphone viene infettato navigando su un sito compromesso. Il truffatore ruba quindi l’utenza e la password usate per accedere al servizio, e con un Sms apparentemente legato al servizio invita l’utente a installare un nuovo certificato di sicurezza. Quest’ultimo si rivela in realtà un’applicazione maligna che si inserisce come proxy nella comunicazione. Quando l’utente accederà al servizio bancario, il truffatore sarà in grado di intercettare anche l’Sms della banca con la password temporanea e potrà completare la transazione al posto dell’utente.
Come proteggere gli smartphone da queste minacce? La difesa in questo caso non è semplice. Se sono percentualmente pochi i computer che adottano contromisure ragionevoli di sicurezza (di fatto solo quelli delle aziende medio-grandi) gli smartphone con installato un antivirus sono una vera minoranza. E l’installazione delle patch a protezione delle vulnerabilità note è complicata.
Per gli antivirus il problema è prevalentemente culturale;vi è al momento poca consapevolezza di questi rischi da parte degli utenti. Le previsioni degli analisti di mercato suggeriscono che questa tendenza cambierà nei prossimi anni, attribuendo al mercato dei cosiddetti mobile antimalware ritmi da capogiro: secondo Idc questo mercato avrà un tasso annuo di crescita (CAGR) superiore al 45%, nel quinquennio 2009 – 2014. A oggi gli smartphone con un antimalware installato sono comunque assai pochi rispetto alla popolazione.
Circa l’installazione delle patch, nel caso dei telefoni esiste una difficoltà oggettiva. L’hardening dei sistemi operativi [messa in sicurezza dei sistemi operativi attraverso l’applicazione di patch software e la disattivazione di funzioni non necessarie ndr] è più complicato, poiché da un modello all’altro l’hardware è diverso e con esso il sistema operativo; la distribuzione delle patch è poi tipicamente sotto il controllo dell’operatore telefonico e non dell’utente.
Nei prossimi anni, così come è accaduto per i personal computer, anche per gli smartphone si verificherà un processo di convergenza e di standardizzazione che consoliderà il mercato, anche a beneficio della sicurezza. Le soluzioni offerte dai vendor di sicurezza sono interessanti, sebbene a volte difficili da confrontare in una realtà che è in rapida evoluzione.
È opportuno allora predisporre un’architettura di sicurezza con la quale analizzare i requisiti, identificare gli elementi da proteggere, e attraverso la quale valutare i prodotti, le contromisure e le novità del mercato.
* Marco Bresciani è Responsabile global information risk, privacy and strategy di Accenture
