Rapporto ENISA sulla sicurezza degli smartphone


L’ENISA ha pubblicato un rapporto (PDF in inglese) sulla sicurezza degli smartphone.

Lo scopo del rapporto, che si rivolge ad ogni tipo di utente, è di evidenziare e classificare i problemi di sicurezza affinché tutti gli utenti prendano le misure necessarie per ridurre o evitare problemi di sicurezza. Il tutto senza rinunciare alle funzionalità avanzate di questi apparecchi.

La lettura è molto interessante, sia per il singolo utente, sia per i responsabili IT e della sicurezza.

Nel rapporto vengono identificati dieci tipi di rischi legati all’utilizzo degli smartphone:

  • Fuga di informazioni – Un dispositivo rubato o perso può permettere a chi se ne impossessa di accedere ai dati che contiene.
  • Dismissione – I dispositivi dismessi nella maniera errata e ceduti ad altri proprietari possono contenere ancora dei dati che non dovrebbero essere rivelati.
  • Rivelazione non intenzionale di dati – Molte applicazioni hanno delle impostazioni di privacy che gli utenti ignorano e che per default trasmettono dati a terzi senza che l’utente se ne renda conto.
  • Phishing – Finte applicazioni o siti civetta possono indurre l’utente a rivelare dati a terzi.
  • Spyware – È possibile indurre l’utente o sfruttare delle vulnerabilità dei dispositivi per ad installare surrettiziamente dei software che permettono di accedere ai dati del telefono senza che l’utente se ne accorga.
  • Network spoofing – È possibile configurare delle false torri GSM per monitorare e intercettare le comunicazioni dei dispositivi.
  • Sorveglianza – Si possono sfruttare i dati e le caratteristiche di un telefono per sorvegliare un utente.
  • Diallerware – È possibile installare sul telefono un software che chiama numeri ad alta tariffazione senza che l’utente se ne renda conto.
  • Malware finanziario – Esistono categorie di malware per dispositivi mobili che prendono di mira in maniera specifica i dati finanziari dell’utente, come carte di credito e accessi a internet banking.
  • Sovraccarico della rete – La rete mobile può non essere in grado di reggere il traffico legittimo generato dagli smartphone.

Il documento fornisce anche delle raccomandazioni alle diverse categorie di utente:

  • Utenti finali: configurare il blocco automatico, controllare la reputazione delle applicazioni installate e dei servizi a cui si accede, valutare bene le richieste di accesso che provengono dalle applicazioni, cancellare e resettare un telefono prima di smaltirlo o trasferirlo ad altri.
  • Utenti aziendali: applicare una rigorosa politica di dismissione dei dispositivi, valutare attentamente le applicazioni installati attraverso un sistema di whitelist, utilizzare la funzione di cifratura della memoria dei dispositivi
  • Alti funzionari: non registrare dati sulla memoria locale del telefono, utilizzare software di cifratura per la trasmissione di dati e di SMS, cancellazione e reinstallaizone periodica del dispositivo partendo da un’immagine qualificata.

Le sessanta pagine del documento analizzano in dettaglio questi ed altri fattori di rischio, in relazione alle categorie di utenti.


Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *