WhyMCA 2010 live blogging (appunti): mobile security and privacy

0.00 avg. rating (0% score) - 0 votes

Mobile security and privacy, Fabio Pietrosanti

La sicurezza mobile non e’ identica alla sicurezza IT. Oggi assistiamo ad una crescita esponenziale di SmartPhone, potendo metterci su applicazioni e informazioni (tali info passano dal PC al telefono).

Quando esci di casa: macchina, chiavi di casa, portafoglio e… cellulare!

I dati che sono oggi sui cellulari sono estremamente personali e ricchi rispetto ad anni fa.

Eccesso di fiducia tra operatori, tra utenti e operatori, tra utente e telefono (non ha mai sperimentato in modo pratico un virus, un trojan, un phishing, etc in modalita’ mobile). Poca consapevolezza sui rischi del mobile.

Nuovi rischi sociali: gli utenti installano qualunque cosa e applicazioni. L’app che simula una scoreggia per Android ha realizzato 50.000 utenti. E se contenesse un trojan?

Le capacita’ necessarie per poter rilevare un attacco, un trojan o spyware su cellulare sono elevate, quindi e’ difficile scoprirlo.

La gestione delle vulnerabilita’ e del patching/aggiornamenti sono arretrate: ben fatte quelli di iPhone e Android, peggio quella di Nokia (anche per via degli operatori che personalizzano il firmware del telefono).

Ultimi anni: vulnerabilita’ nell’ambito mobile sono cresciute in maniera importante e ce ne sono molte di piu’ per iPhone (le eredita’ da OSX).

Se voglio una password sicura questa ridurra’ in modo drastico l’usabilita’ per via della tastiera virtuale (difficile mantenere alta la sicurezza e alta anche l’usabilita’).

L’utente finale fatica a comprendere i messaggi di alert sulla sicurezza anche per via del poco spazio a monitor per spiegare il problema (es “Certificato SSL non valido” su iPhone e’ riduttivo).

Se su PC siamo padri e padroni delle informazioni e del sistema operativo, su mobile questo non e’ vero: solo i produttori e gli operatori lo sono.

In Francia hanno vietato il BackBerry negli ambienti governativi perche’ RIM USA filtrava e controllava le mail in passaggio. Cosa che su PC sarebbe impossibile.

Modelli di sicurezza: Windows Mobile e BlackBerry sono i migliori dal punto di vista della sicurezza enterprise, anche se un po’ limitati a “tutto” o “niente” (dopo l’ok dell’utente l’applicazione puo’ fare quello che vuole). iPhone ha delle policy per chi pubblica applicazioni e delle API limitate per gli sviluppatori rispetto al resto del mercato.

Esiste una vulnerabilita’ di Safari su iPhone che con la semplice visita di un sito permette di accedere alla lettura completa di tutti gli SMS.

App di FaceBook per Android non usa SLL, ma semplice HTTP (e l’utente non viene avvisato), quindi e’ possibile rubare le password di FaceBook.

Fino al 2008 nelle conferenze di hacking e di sicurezza non si parlava di mobile, ora invece se ne parla moltissimo e l’interesse e’ in crescita. Aumento della consapevolezza: scoperta, preccupazione, l’industria reagisce e corregge.

GSM: esistono suite per il cracking delle conversazioni (2009). UMTS: si puo’ far passare su GSM. WiFi: problematiche classiche del senza fili. MMS: si possono far installare exe senza controlli (es. bug HTC di qualche anno fa). SMS: spoofing semplice e possibilita’ di mandare profili di collegamento ad internet con DNS personalizzati, quindi spiabili (es. bug iPhone che puo’ scaricare un trojan a seguito della ricezione di un messaggio). Bluetooh: crackato ufficialmente e facile da sniffare. NFC: scarica applicazioni direttamente senza chiedere e solo dopo chiede se installarle. WEB: proxy degli operatori che aggiungono header alle richieste http (es. Vodafone), quindi il sito web puo’ vedere addirittura il telefono dell’utente! SSL sul mobile non si vedono comodamente i dettagli di un certificato (almeno 4-5 clic) e le informazioni non sono sempre complete (es. iPhone non lo permette se non in seguito all’invio dei dati). Tramite la rete e’ sempre possibile conoscere con approssimazione dove si trova geograficamente l’utente.

Gli spyware su mobile costano, ma ce ne sono di completi, vedi FlexySpy. Virus e worm non ce ne sono.

Su mobile ogni forma di trasmissione costa qualcosa: tutte le frodi telefoniche in ambito mobile consistono nel fare in modo che l’utente faccia qualcosa di costoso che viene incassato totalmente o in parte dal malintenzionato.

Conclusioni: troppa eterogeneita’ tecnologica, modelli di sicureza non uniformati, operatori e produttori che non apprezzano la liberta dell’utente sul device e sulla rete.

Lascia un commento

Il tuo indirizzo mail non verrà pubblicato. Inserisci il tuo nome, la tua mail e il commento.