L’ENISA ha pubblicato un rapporto (PDF in inglese) sulla sicurezza degli smartphone.
Lo scopo del rapporto, che si rivolge ad ogni tipo di utente, è di evidenziare e classificare i problemi di sicurezza affinché tutti gli utenti prendano le misure necessarie per ridurre o evitare problemi di sicurezza. Il tutto senza rinunciare alle funzionalità avanzate di questi apparecchi.
La lettura è molto interessante, sia per il singolo utente, sia per i responsabili IT e della sicurezza.
Nel rapporto vengono identificati dieci tipi di rischi legati all’utilizzo degli smartphone:
- Fuga di informazioni – Un dispositivo rubato o perso può permettere a chi se ne impossessa di accedere ai dati che contiene.
- Dismissione – I dispositivi dismessi nella maniera errata e ceduti ad altri proprietari possono contenere ancora dei dati che non dovrebbero essere rivelati.
- Rivelazione non intenzionale di dati – Molte applicazioni hanno delle impostazioni di privacy che gli utenti ignorano e che per default trasmettono dati a terzi senza che l’utente se ne renda conto.
- Phishing – Finte applicazioni o siti civetta possono indurre l’utente a rivelare dati a terzi.
- Spyware – È possibile indurre l’utente o sfruttare delle vulnerabilità dei dispositivi per ad installare surrettiziamente dei software che permettono di accedere ai dati del telefono senza che l’utente se ne accorga.
- Network spoofing – È possibile configurare delle false torri GSM per monitorare e intercettare le comunicazioni dei dispositivi.
- Sorveglianza – Si possono sfruttare i dati e le caratteristiche di un telefono per sorvegliare un utente.
- Diallerware – È possibile installare sul telefono un software che chiama numeri ad alta tariffazione senza che l’utente se ne renda conto.
- Malware finanziario – Esistono categorie di malware per dispositivi mobili che prendono di mira in maniera specifica i dati finanziari dell’utente, come carte di credito e accessi a internet banking.
- Sovraccarico della rete – La rete mobile può non essere in grado di reggere il traffico legittimo generato dagli smartphone.
Il documento fornisce anche delle raccomandazioni alle diverse categorie di utente:
- Utenti finali: configurare il blocco automatico, controllare la reputazione delle applicazioni installate e dei servizi a cui si accede, valutare bene le richieste di accesso che provengono dalle applicazioni, cancellare e resettare un telefono prima di smaltirlo o trasferirlo ad altri.
- Utenti aziendali: applicare una rigorosa politica di dismissione dei dispositivi, valutare attentamente le applicazioni installati attraverso un sistema di whitelist, utilizzare la funzione di cifratura della memoria dei dispositivi
- Alti funzionari: non registrare dati sulla memoria locale del telefono, utilizzare software di cifratura per la trasmissione di dati e di SMS, cancellazione e reinstallaizone periodica del dispositivo partendo da un’immagine qualificata.
Le sessanta pagine del documento analizzano in dettaglio questi ed altri fattori di rischio, in relazione alle categorie di utenti.