La sicurezza sta diventando un problema fondamentale anche per i dispositivi mobili, specialmente per la piattaforma Android che, essendo la più diffusa, è il bersaglio preferito dei cybercriminali. Un’idea concreta dei rischi che corre oggi chi possiede un dispositivo mobile l’ha data Maria Nordgren, Vice President Consumer Security Business Line di F-Secure, alla presentazione del recente Osservatorio Mobile Internet, Content & Apps della School of Management del Politecnico di Milano. Osservatorio di cui F-Secure – società finlandese specializzata in sicurezza per computer e mobile, che proprio quest’anno festeggia 25 anni d’attività – è partner.
Abbiamo intervistato Nordgren a margine dell’evento: “L’inizio di questo 2013 ha visto diverse ‘prime volte’ nell’ambito delle minacce per smartphone e tablet Android: finora per esempio il malware veniva distribuito solo attraverso le App, mentre ora ci sono i primi casi provati di diffusione via e-mail, come per esempio Stels, un trojan Android che si impadronisce dei dati personali sul dispositivo per fare chiamate a numeri a pagamento”. Il 2013 inoltre ha visto i primi casi di attacchi mirati, per esempio un App che offre falsi coupon e ruba informazioni a dispositivi con SIM sudcoreane, e la prima vera e propria frode via Android: “Un’App che offre posti di lavoro in India chiedendo depositi cautelativi per il primo colloquio, anche se nella realtà ovviamente le somme depositate scompaiono nel nulla”.
Banking trojan, attacco congiunto su Windows e Android
La netta preferenza per Android è confermata dai dati, visto che secondo l’ultimo ‘Mobile Threat Report’ di F-Secure oltre il 91% del numero di minacce per dispositivi mobili (numero che cresce del 50% ogni trimestre) si concentra proprio su questa piattaforma. Uno dei rischi più comuni per i dispositivi mobili – ci spiega Nordgren – è quello dei banking trojan, purtroppo particolarmente diffusi in Italia. “Per garantire le transazioni sui pc, le banche hanno definito vari meccanismi di sicurezza, tra cui l’invio di un codice dispositivo una-tantum via SMS, ma la novità è che Zeus, il banking trojan più diffuso su pc, ora ha anche una componente Android che lavora insieme a quella Windows, che ‘cattura’ l’SMS che arriva sullo smartphone e lo usa sul pc, il tutto all’insaputa dell’utente”.
L’altro rischio fondamentale è la privacy dei dati sensibili: “L’uso di servizi cloud pubblici come Dropbox o Google Drive per archiviarvi o farvi transitare dati personali e aziendali può mettere a serio rischio tali dati. Le aziende devono essere in grado di controllare i percorsi dei propri dati ed evitare che vengano caricati senza controllo su siti di personal cloud. Stiamo lavorando con AT&T e British Telecom su questo aspetto: un operatore che in questo momento riuscisse a proporre delle Personal Cloud davvero sicure, avrebbe una ‘killer application’”.
Le Telco, sottolinea Nordgren, devono fare la loro parte per la Mobile Security: “Un operatore deve assicurare che la sua rete sia ‘pulita’, e tenere sotto stretto controllo le macchine connesse alla sua rete che generano molto traffico e molti messaggi. Un pc, un dispositivo mobile, o un’applicazione che invia moltissimi SMS o MMS in poco tempo va monitorata”. Detto questo, però, ci sono situazioni d’uso di uno smartphone o tablet, come Bluetooth, il roaming, e soprattutto lo scaricamento di App, su cui la Telco non può far niente, per cui anche l’utente, o l’azienda per lui, deve fare la sua parte, installando un software di mobile security anche sul dispositivo”.