Telefono Sotto Controllo Tutto sulle Intercettazioni Telefoniche e Digitali su Cellulari e PC

1Dic/100

Messa alla prova la sicurezza dello smartphone

sicurezza smartphone

Quanto può essere difficile creare un' applicazione che, una volta installata sul vostro smartphone, permetta di mettere sotto controllo il vostro telefonino ed intercettare le vostre comunicazioni, i vostri SMS e i vostri dati? Secondo la BBC non così tanto!

La BBC news ha voluto dimostrare quanto sia semplice creare un' applicazione dannosa per uno smartphone.

Nell'arco di poche settimane, la BBC ha dato vita a un gioco semplice da applicare ad uno smartphone che spia il possessore della piattaforma. L'applicazione è stata costruita usando componenti standard dal software utilizzato dagli sviluppatori per creare programmi per telefoni.

Questo rende l'applicazione dannosa difficile da individuare, dicono gli esperti, in quanto i programmi utili utilizzeranno le stesse funzioni. Mentre la stragrande maggioranza dei programmi dannosi sono progettati per attaccare PC Window, ci sono le prove che alcuni criminali hi-tech stiano iniziando a rivolgere la loro attenzione verso gli smartphone.

Le "applicazioni trappola" per smartphone sono state trovate online e recentemente la Google e la Apple hanno rimosso queste applicazioni dai loro negozi online per paura che fossero dannosi.

Chris Wysopal, co-fondatore e capo della tecnologia di VeraCode (società che si occupa di sicurezza tecnologica), che ha aiutato la BBC con il suo progetto, ha detto che gli smartphone sono ora al punto in cui il PC era nel 1999. "A quel tempo i programmi dannosi erano fastidiosi ma poco pericolosi. Un decennio dopo sono diventati un grande business, con bande di criminali che creano malware per rubare informazioni e rivenderle. Gli smartphone sono potenzialmente un target migliore per i criminali" ha detto Mr Wysopal.

"I telefoni cellulari sono in realtà dispositivi personali" ha continuato Mr Wysopal." Si potrebbe avere un computer per famiglia, ma ogni membro della famiglia ha un cellulare che è sempre con loro".

Coney Simeone, portavoce della società di sicurezza mobile AdaptiveMobile, ha detto che i criminali si sarebbero concentrati sui telefonini per un semplice motivo: il denaro.

"Per quanto riguarda il PC, l'unico modo per un criminale di rubare i soldi all'utente è quello di portarlo su un sito Web per comprare un prodotto e quindi inserire i dati della carta di credito" ha detto Mr Coney. " In una rete mobile, il dispositivo è intrinsicamente legato ad un piano di pagamento, al credito dell'utente" ha aggiunto. " Non accade nulla su una rete mobile, non viene fatta nessuna chiamata, non viene inviato nessun messaggio di testo senza un passaggio di soldi".

I criminali si sono lanciati verso questo flusso di denaro facendo chiamare o contattare i proprietari di telefoni cellulare, dei numeri a tariffa maggiorata. Ora stanno rivolgendo la loro attenzione verso le applicazioni  e alle informazioni redditizie che possono vendere.

Il progetto Genoma App della società di sicurezza per telefoni cellulari Lookout è stato istituito per catalogare quali applicazioni prodotte per smartphone fare. Ha cercato di verificare se fanno tutto quello che sostengono di fare e se fanno più del previsto.

Il progetto ha preso in esame 300000 applicazioni per smartphone e ha catalogato le funzioni interne di un terzo di essi. Si è riscontrato che circa un terzo delle applicazioni che sono state studiate cerca di arrivare alla posizione dell'utente e circa il 10% cerca di accedere alle liste dei contatti e degli indirizzi. Lo studio ha anche scoperto che una percentuale significativa delle applicazioni ha incluso codici copiati e incollati da altri programmi.

Per capire meglio quali ostacoli ha incontrato la BBC per creare questo programma dannoso,  ha scaricato un  diffusissimo programma di sviluppo per creare applicazioni, ha appreso le basi della programmazione in Java e ha raccolto alcuni frammenti di codice già immessi in rete. Così in poche settimane è stato possibile creare un gioco grezzo che, senza lasciare traccia, ha raccolto contatti, copiato messaggi di testo, registrato la posizione del telefono e mandato tutte queste informazioni ad un indirizzo e-mail creato appositamente.

Tutti gli elementi dello spyware che servono per rubare le informazioni sono funzioni legittime utilizzate per uso criminale.

"Questa è una cosa spaventosa", ha detto Wysopal da VeraCode.

"L'applicazione, sia questa un gioco o un' applicazione fatta per divertimento, può avere un comportamento non visibile in superficie".

"Ci sono stati casi di spyware che sono stati rilevati su Internet, scaricati anche da negozi di applicazioni o da altri siti web. Noi l'abbiamo trovato la fuori" ha detto Mr Wysopal.

I grandi negozi di applicazioni che offrono programmi per smartphone devono controllare il software che stanno offrendo.

La Apple controlla le applicazioni e respinge quelle che non superano i test commerciali e di codifica. Google ha confermato che le applicazioni per Android devono dare tutte le informazioni che si raccolgono quando sono scaricate. RIM e Google utilizzano un sistema di firma del codice così da poter disattivare le applicazioni che risultano essere dannose.

Tuttavia, può essere difficile separare i programmi dannosi da quelli legittimi perchè la connessione di un cellulare permette a numerose applicazioni di accedere alle liste di contatto e ai dati relativi all'ubicazione. Per esempio i giocatori potrebbero voler vantarsi con i loro amici sui risultati o i punteggi più alti o ancora giocare con i loro amici se ce ne sono nelle vicinanze.  Per ottenere tutto  questo, si dovrebbe avere bisogno di un accesso legittimo ai dati riservati dell'utente.

Ilya Laurs, fondatore del sito di applicazioni indipendente GetJar, ha detto che è molto difficile per i fornitori di applicazioni separare i programmi che utilizzano  in maniera legittima le informazioni personali da quelli con intento doloso. Mr Laurs ha inoltre aggiunto che è molto probabile che gli hackers potrebbero copiare delle applicazioni esistenti e aggiungere un codice dannoso: " E' molto meno faticoso attaccare l' applicazione di qualcun altro piuttosto che crearne una propria. Sono molti a farlo per essere sicuri di colpire più vittime. Se scrivessero la propria applicazione, come un gioco, avrebbero solo 200 downloads". Al contrario, ha detto, rubando un' applicazione popolare, installandovi sopra una 'trappola' e offrendola gratuitamente potrebbe risultare molto più vantaggioso.

Alcuni produttori di applicazioni hanno scoperto che il 97% delle persone che utilizzano il loro software, lo fanno attraverso versioni pirata. I negozi di applicazioni si stanno impegnando a rendere più sicuri i programmi che offrono. Fino ad ora, il numero di 'applicazioni trappola' rimane piuttosto basso. Ma molti sono convinti che questa minaccia sia destinata a crescere.

"Chiedetevi da dove viene lo sviluppatore dell'applicazione, non solo il sito o la sua carriera perchè questa è solo metà della sua storia", ha detto Mr Laurs, "Chiedetevi chi sono e se vi dovete fidare di loro". I possessori di un cellulare dovrebbero inoltre fare un back-up dei loro dati su un PC o su un servizio net- based per prevenire eventuali danni.

Nigel Stanley, un analista della sicurezza a Bloor Research, ha detto che ci sarebbero dei segni che potrebbero far capire alla gente se fosse stata colpita da una di queste 'malicious application'. " Un segno molto evidente è quando all' improvviso la batteria della vostra piattaforma si sta deteriorando", ha detto, " Ti svegli una mattina e trovi la batteria scarica, questo potrebbe indicare che alcuni dei tuoi dati sono stati presi durante la notte".

I possessori di smartphone dovrebbero anche tenere d'occhio la bolletta.

" Guardate i dati di fatturazione ogni mese e se ci sono numeri strani che appaiono sulla bolletta, questo potrebbe indicare che c'è un software sul cellulare che sta chiamando delle linee a tariffa premium, mettendo a fatturazione un servizio che non hai autorizzato".

Commenti (0) Trackback (0)

Ancora nessun commento.


Leave a comment

Ancora nessun trackback.