Cresce la minaccia delle app malevole su Android ed è tanto più grave quanto più si fa un uso professionale dello smartphone. A correre i maggiori rischi sono quindi aziende e professionisti. È l’altra faccia della medaglia di due fenomeni di per sé positivi per il business: la Mobile Enterprise e il Bring-Your-Own-Device (BYOD), con cui crescono in numero e varietà i dispositivi che vanno nelle mani dei dipendenti e collaboratori.
=> Italiani Mobile Workers: 1 su 4 lavora fuori ufficio
Nuove minacce
Secondo un recente rapporto di Trend Micro, ad aprile c’erano ben 890.452 app Android pericolose. Casi particolarmente insidiosi, in questo periodo, sono le app “repackaged”, ripacchettizzate. I criminali prendono app legittime, soprattutto quelle più popolari, e ci aggiungono codice malevolo. La distribuiscono quindi, in questa nuova (malevola) forma su negozi Android (in particolare su quelli indipendenti, diversi da Google Play).
Rischi per aziende
I rischi per le aziende sono di cinque tipi, secondo quanto riferisce a PMI.it Fabio Martinelli, ricercatore del CNR esperto di sicurezza:
«Per colpa di app malevole ci può essere un furto di dati aziendali presenti su smartphone: anagrafiche, liste di clienti, carte di credito; persino segreti aziendali. Si possono aprire falle di sicurezza nell’intera rete accessibile dai dispositivi infettati. Ci può essere un furto di identità di quell’utente. Un’app malevola può mandare messaggi a numeri costosi e quindi pesare sulle bollette dell’azienda. Infine, ne viene un danno all’immagine, se si rendesse noto che la mobile workforce è stata compromessa da un virus».
Il danno all’immagine non è da sottovalutare, in particolare perché su smartphone ci possono essere dati sensibili di clienti e partner.
«Ci possono essere problemi anche per il banking online da smartphone», aggiunge Andrea Rigoni, consulente per i temi della cyber security (ha collaborato con la Presidenza del Consiglio per questi aspetti, nell’Agenda digitale). «Le app che sostituiscono la firma digitale o il token, per il bonifico, usano ancora tecnologie non standard. L’hardware dei cellulari non è certificato per generare le necessarie chiavi crittografiche», spiega Rigoni.
=> Le 10 App per il Mobile Business a prova di BYOD
Le difese
Gli strumenti di difesa per l’azienda passano da policy ad ampio raggio per la gestione dei terminali mobili (mobile device management), stabilendo per esempio che sono installabili solo app dei negozi ufficiali oppure vietando a priori quelle che richiedono certi livelli di permessi. È anche possibile dividere la memoria dello smartphone in due compartimenti isolati, imponendo le policy solo in quella contenente dati e strumenti aziendali.
«E’ consigliabile adottare antivirus; ma anche strumenti specifici per identificare le app repackaged o quelle che chiedono permessi esagerati. Il CNR ne sta sviluppando uno apposito: Picard», dice Martinelli.«Per il banking online ci sono già progetti per mettere smart card a bordo del telefono (embedded come chip). Un esempio è Cortex. Una tecnologia intermedia, che ora stanno sperimentando vari operatori mobili, è l’uso di un certificato digitale su SIM». «Il recente accordo tra Apple e IBM mira anche ad aumentare la sicurezza degli smartphone a uso aziendale, per le transazioni economiche e di importanza critica» dice Rigoni.
«Si noti comunque che le app per la firma digitale danno un livello di sicurezza maggiore rispetto ai semplici token dell’home banking. La firma lega la transazione a un importo e a un destinatario preciso e quindi è una difesa contro attacchi “man in the middle”. Il problema è che ora il modo con cui viene gestita la firma dagli smartphone non è molto sicuro», precisa Rigoni.
Per approfondimenti: Rapporto Trend Micro