Rapporto ENISA sulla sicurezza degli smartphone

L’ENISA ha pubblicato un rapporto (PDF in inglese) sulla sicurezza degli smartphone.

Lo scopo del rapporto, che si rivolge ad ogni tipo di utente, è di evidenziare e classificare i problemi di sicurezza affinché tutti gli utenti prendano le misure necessarie per ridurre o evitare problemi di sicurezza. Il tutto senza rinunciare alle funzionalità avanzate di questi apparecchi.

La lettura è molto interessante, sia per il singolo utente, sia per i responsabili IT e della sicurezza.

Nel rapporto vengono identificati dieci tipi di rischi legati all’utilizzo degli smartphone:

  • Fuga di informazioni – Un dispositivo rubato o perso può permettere a chi se ne impossessa di accedere ai dati che contiene.
  • Dismissione – I dispositivi dismessi nella maniera errata e ceduti ad altri proprietari possono contenere ancora dei dati che non dovrebbero essere rivelati.
  • Rivelazione non intenzionale di dati – Molte applicazioni hanno delle impostazioni di privacy che gli utenti ignorano e che per default trasmettono dati a terzi senza che l’utente se ne renda conto.
  • Phishing – Finte applicazioni o siti civetta possono indurre l’utente a rivelare dati a terzi.
  • Spyware – È possibile indurre l’utente o sfruttare delle vulnerabilità dei dispositivi per ad installare surrettiziamente dei software che permettono di accedere ai dati del telefono senza che l’utente se ne accorga.
  • Network spoofing – È possibile configurare delle false torri GSM per monitorare e intercettare le comunicazioni dei dispositivi.
  • Sorveglianza – Si possono sfruttare i dati e le caratteristiche di un telefono per sorvegliare un utente.
  • Diallerware – È possibile installare sul telefono un software che chiama numeri ad alta tariffazione senza che l’utente se ne renda conto.
  • Malware finanziario – Esistono categorie di malware per dispositivi mobili che prendono di mira in maniera specifica i dati finanziari dell’utente, come carte di credito e accessi a internet banking.
  • Sovraccarico della rete – La rete mobile può non essere in grado di reggere il traffico legittimo generato dagli smartphone.

Il documento fornisce anche delle raccomandazioni alle diverse categorie di utente:

  • Utenti finali: configurare il blocco automatico, controllare la reputazione delle applicazioni installate e dei servizi a cui si accede, valutare bene le richieste di accesso che provengono dalle applicazioni, cancellare e resettare un telefono prima di smaltirlo o trasferirlo ad altri.
  • Utenti aziendali: applicare una rigorosa politica di dismissione dei dispositivi, valutare attentamente le applicazioni installati attraverso un sistema di whitelist, utilizzare la funzione di cifratura della memoria dei dispositivi
  • Alti funzionari: non registrare dati sulla memoria locale del telefono, utilizzare software di cifratura per la trasmissione di dati e di SMS, cancellazione e reinstallaizone periodica del dispositivo partendo da un’immagine qualificata.

Le sessanta pagine del documento analizzano in dettaglio questi ed altri fattori di rischio, in relazione alle categorie di utenti.

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

Spazio per un commento