smartphone

La sicurezza degli smartphone ed i rischi associati al loro utilizzo

524 0

In questo articolo affrontiamo il tema della sicurezza degli smartphone e dei rischi associati al loro utilizzo. Gli smartphone sono diventati infatti parte integrante della nostra vita. Contengono informazioni sensibili come dati bancari, foto private e messaggi personali. Tante comodità che portano con sé rischi. Vediamo quali sono e come difendersi.

Per un approfondimento sul tema e su tutti i rischi di fronte ai quali ci pone il mondo digitale, rimandiamo al volume di EPC Editore, “Cybersecurity per tutti” di Renato Castroreale.

Sicurezza degli Smartphone: i rischi più comuni

Gli Smartphone sono degli oggetti stupendi che estendono la nostra connessione con il mondo e ci aprono infinite possibilità di comunicazione ed elaborazione. Purtroppo portano con sé anche alcuni rischi. Vediamo quali sono i più comuni:

  • sono dispositivi compatti e facili da trasportare, il che li rende anche più soggetti a smarrimenti o furti;
  • i produttori posso avere politiche di sicurezza poco attente;
  • i sistemi operativi possono essere vulnerabili;
  • i servizi di replica dei dati in Cloud possono rendere vulnerabili i nostri dati;
  • gli accessi, anche quelli biometrici, possono essere vulnerabili;
  • le App che installiamo possono non essere sicure, o noi possiamo usare il modo poco sicuro.

Tralasciando la prima vulnerabilità, sulla quale possiamo dire poco, concentriamoci sulle altre.

Sicurezza degli smartphone: l’importanza del produttore

Oggi come oggi sono molti i produttori di smartphone che con il tempo si sono affiancati agli storici Apple e Samsung che ancora detengono la maggior parte del mercato.

Quando rivolgiamo la nostra attenzione ad un prodotto, non pensiamo mai al suo produttore, ed alle implicazioni che questo potrebbe avere in termini di sicurezza. Ogni produttore ha invece proprie politiche aziendali. Ha un certo posizionamento geografico e geopolitico ed è soggetto a leggi e regolamenti locali incluse quelle privacy. Tutti fattori che andrebbero invece considerati attentamente.

Apple: politiche e misure di sicurezza degli smartphone

Come grande azienda tecnologica, Apple ha implementato politiche e misure di sicurezza per garantire i propri prodotti, i propri servizi, nonché i dati dei clienti.

Apple adotta:

  • Crittografia dei dati – la crittografia protegge i dati degli utenti.
  • Controllo degli accessi – Apple controlla attentamente l’accesso ai suoi sistemi ed ai dati dei suoi clienti.
  • Autenticazione sicura – Apple incoraggia l’utilizzo di metodi di autenticazione sicuri come: l’autenticazione a due fattori, l’impronta digitale (Touch ID) e il riconoscimento facciale (Face ID, implementato recentemente a “4D”).
  • Sicurezza delle Applicazioni – Apple esegue una rigorosa revisione delle Applicazioni presenti sul suo App Store.
  • Patch di sicurezza – Apple rilascia regolarmente aggiornamenti e patch di sicurezza.
  • Privacy dei dati – Apple enfatizza la protezione della privacy dei suoi utenti, limitando la quantità di dati raccolti e utilizzati, e garantendo che i dati personali siano trattati in conformità con le normative internazionali sulla privacy.
  • Bug bounty program – Apple ha un programma di ricompense per i ricercatori di sicurezza che scoprono e segnalano vulnerabilità nei suoi software.

È quindi indubbio che la società dedichi significative risorse alla sicurezza ed alla protezione dei suoi utenti e dei loro dati.

Apple, Stati Uniti

Ora, Apple ha la sua sede negli Stati Uniti (anche se la produzione è ormai globalizzata come per quasi tutti i costruttori). Gli Stati Uniti sono considerati un “paese amico”, e siamo anche alleati nella Nato. Gli Stati Uniti hanno leggi e regolamenti che garantiscono i diritti e le libertà degli individui inclusa la privacy. Gli Stati Uniti sono generalmente considerati uno stato molto attento alla cybersecurity.

Samsung: politiche e misure di sicurezza degli smartphone

Samsung, come azienda tecnologica leader nel settore dell’elettronica di consumo, ha anch’essa implementato diverse politiche di sicurezza per garantire la protezione dei propri prodotti e servizi, nonché dei dati dei propri clienti, tra cui:

  • Crittografia dei dati – I dispositivi Samsung utilizzano un chip, Samsung Knox, che garantisce il massimo livello di sicurezza.
  • Controllo degli accessi – Samsung adotta rigorose politiche di accesso e autenticazione per proteggere i dati dei clienti.
  • Patch di sicurezza – Samsung rilascia regolarmente aggiornamenti e patch di sicurezza per i suoi dispositivi e software.
  • Sicurezza delle Applicazioni – Samsung esegue una revisione delle Applicazioni presenti sul suo store, Galaxy Store.
  • Privacy dei dati – Samsung considera la privacy dei dati dei suoi utenti una priorità e adotta misure per proteggere le informazioni personali dei clienti, in conformità con le leggi sulla privacy Applicabili.
  • Bug bounty program – Analogamente ad Apple, Samsung ha un programma di ricompense per i ricercatori di sicurezza che scoprono e segnalano vulnerabilità nei suoi prodotti. Questo programma incentiva la segnalazione dei problemi di sicurezza.

La società investe quindi risorse significative nella sicurezza per garantire la protezione dei suoi clienti e dei loro dati.

Samsung, Corea del Sud

Ora, Samsung ha la sua sede in Corea del Sud. La Corea del Sud è un paese “amico”. Ha un accordo di partenariato con la NATO, condividendo rapporti di cooperazione e partnership in diverse aree, inclusa la cybersicurezza. La Corea del Sud ha anche leggi e regolamenti per garantire i diritti e le libertà degli individui, inclusa la privacy. La Corea del Sud, come gli Stati Uniti, è generalmente considerato uno stato attento alla cybersicurezza.

Come avrete potuto notare da questa breve e sommaria analisi e comparazione, le garanzie di sicurezza che possono offrire Apple e Samsung (usati a puro titolo di esempio) sono di fatto paragonabili.

Politiche e misure di sicurezza di altri produttori

Tuttavia, cosa accadrebbe se facessimo la stessa comparazione con altri produttori?
Quale sarebbe il risultato?
Oltre ad Apple e Samsung, ci sono infatti molti altri produttori di smartphone, anche con quote rilevanti nel mercato.

Alcuni esempi: Xiaomi e Huawei

Ad esempio, Xiaomi è considerato il più grande produttore di elettronica al mondo. Ha prodotti eccellenti, inclusa la gamma degli smartphone (ne posseggo uno). Ma dove è localizzato, quali sono le condizioni geopolitiche nelle quali opera, quali garanzie può offrire rispetto alla cybersicurezza, quali sulla privacy. Le stesse di Apple a Samsung? Lascio a voi rispondere e trarre le conclusioni…

Ricorderete le polemiche relative alla fornitura da parte di Huawei dei ripetitori 5G, tanto osteggiati dagli USA e dall’Unione Europea. Il timore era quello che con il controllo di una tecnologia così potente, la Cina fosse potenzialmente in grado di intercettare e/o controllare le comunicazioni. Questo perché la Cina non è un paese politicamente allineato con l’occidente. Con questo non voglio commentare questioni politiche che esulano dal nostro ambito, ma farvi ragionare su fatto che non possiamo non considerare anche questi rischi, in quanto Huawei è tra l’altro un produttore primario di smartphone.

I produttori dei Sistemi Operativi

Analogamente ai produttori di hardware esistono i produttori dei sistemi operativi.

Nel caso di Apple le cose coincidono, perché l’iOS (il sistema operativo di Apple) è autoprodotto. Tale sistema operativo, in virtù dello stretto legame con l’hardware e quindi della scarsa diffusione di specifiche a soggetti terzi (quali altri costruttori) risulta essere particolarmente sicuro.

Samsung invece usa il sistema operativo Android di Google. È il più utilizzato al mondo (72,5% ad inizio 2022). Gode quindi del vantaggio dei numeri, che diventa anche uno svantaggio.

  • sia per la diffusione di specifiche sul sistema operativo stesso,
  • sia perché è maggiormente attrattivo per un hacker che decide di “investire” per sfruttare una vulnerabilità o creare un malware specifico.

Ma esistono anche altri sistemi operativi minori.
Che garanzie di sicurezza possiamo attenderci da questi ultimi?
Anche in questo caso lascio a voi riflettere e trarre le opportune considerazioni sulla sicurezza, tanto sono certo che abbiate colto il nocciolo della questione.

Sicurezza degli smartphone: servizi di “backup” in Cloud

Ogni produttore di smartphone offre quindi i propri servizi di backup (o replica) in cloud.
I servizi di backup in cloud offerti dai produttori di smartphone sono sicuramente convenienti perché tendenzialmente gratuiti. Ma sono realmente affidabili?

Anche in questo caso ci sono alcune considerazioni importanti da tenere a mente:

  • Affidabilità – I servizi di backup in cloud offerti dai produttori di smartphone solitamente utilizzano infrastrutture “robuste” ed affidabili per proteggere i dati degli utenti. Tuttavia, non esiste nulla che sia completamente immune da problemi tecnici, guasti o attacchi informatici.
  • Privacy – Poiché i dati personali vengono archiviati in cloud, la privacy va attentamente considerata. I principali produttori di smartphone investono notevoli risorse per proteggere i dati degli utenti, utilizzando la crittografia e altre misure di sicurezza. Tuttavia, è importante essere ben consapevoli delle politiche sulla privacy e dei termini di utilizzo dei servizi offerti dal produttore del dispositivo. Su quest’ultimo punto vi invito a riflettere sul fatto che sono certo che ben pochi di voi abbia mai anche solo rapidamente letto queste condizioni di utilizzo.
  • Protezione all’accesso – Anche per accedere ai nostri dati in cloud alla fine c’è una password di protezione come “ultima barriera.” Attuiamo comportamenti virtuosi, ed attiviamo su questi servizi il doppio fattore di autenticazione. Se non fosse presente, allora sarebbe meglio lasciar perdere rinunciando al servizio.
  • Limitazione dei dati salvati – Se abbiamo contenuti altamente personali, come possono esserlo fotografie scattate in certi contesti, evitiamo di effettuarne una copia in cloud. Troviamo altri modi per proteggere questi dati, magari evitando sistemi di replica in cloud.

Violazione account iCloud

Qualcuno di voi si ricorderà della violazione di alcuni account di iCloud Appartenenti a VIP.
Apple si è dichiarata immediatamente estranea ai fatti asserendo che se c’erano state violazioni (e di sicuro c’erano indubbiamente state, visto il materiale circolante, perlopiù foto e filmati a carattere molto personale per non dire decisamente erotico) queste erano dovute ad una scarsa attenzione degli utenti che proteggevano i propri account con password deboli, che erano state poi carpite con banali tecniche di hacking.
Ebbene Apple aveva perfettamente ragione!

Molto efficace la dichiarazione di David Bowdich, dell’ufficio dell’FBI di Los Angeles occupatosi delle indagini e dell’arresto del colpevole, che rende in maniera efficace la sensazione che questi malcapitati possono aver provato.

Cito testualmente da una sua intervista: “Accedendo illegalmente a dettagli intimi della vita personale delle sue vittime, il signor Collins ha violato la loro privacy e ha lasciato molti di loro in un duraturo disagio emozionale, nell’imbarazzo e nella sensazione di insicurezza. Continuiamo a vedere sia le celebrità che qualsiasi altra vittima soffrire le conseguenze del suo crimine e incoraggiamo fortemente gli utenti di dispositivi connessi a Internet nel rafforzare le loro password, mantenendo scetticismo nel rispondere a e-mail che richiedono informazioni personali”.

Un “duraturo disagio emozionale, nell’imbarazzo e nella sensazione di insicurezza”, come meglio descrivere questa sensazione, la sensazione che si prova quando ci rubano qualcosa di altamente personale: non esistono veramente migliori parole per descriverlo.

La prossima volta che acquistate un telefono, invece di aver fretta nell’installarlo, valutate bene tutto quello che state facendo, passo per passo.

È difatti in questo momento in cui configurate i servizi più importanti per la vostra sicurezza (o per quella aziendale).

Sicurezza degli smartphone: gli accessi biometrici

Gli accessi biometrici, come le impronte digitali, il riconoscimento facciale, possono essere un metodo di autenticazione sicuro ed efficiente.

Tuttavia, come ogni sistema di sicurezza, hanno i loro punti di forza e le loro debolezze.

I dati biometrici utilizzati per l’autenticazione sono generalmente memorizzati in modo crittografato all’interno dei dispositivi stessi e/o sui server di chi eroga il servizio (quasi sempre i nostri produttori, di cui abbiamo Appena parlato).

La sicurezza dei dati biometrici

Tuttavia, nonostante queste misure di sicurezza siano attuate, sussistono preoccupazioni riguardanti la sicurezza dei dati biometrici, quali:

  • Furto dei dati biometrici – Se i dati biometrici vengono rubati o compromessi, potrebbero essere usati per accedere in modo fraudolento ad account o sistemi anche critici.
  • Falsificazione biometrica – Sebbene sia più difficile da realizzare rispetto al furto, è possibile realizzare la falsificazione biometrica, ossia utilizzare dati biometrici simili a quelli originali per ottenere l’accesso.
  • Privacy – L’utilizzo di dati biometrici solleva forti preoccupazioni sulla privacy, poiché potrebbero essere utilizzati per tracciare o identificare le persone senza il loro consenso.

Abbiamo potuto vedere come questi splendidi ed utili oggetti, e le altrettanto incredibili App, possano essere soggetti a vulnerabilità a cui non abbiamo mai neppure pensato.

Impariamo da questi esempi (che non sono esaustivi per altro), a proteggere meglio questi preziosi oggetti ed i dati in esso contenuti.

Consulta anche l’articolo:

La sicurezza delle App ed i rischi associati al loro utilizzo

Consulta il volume di EPC Editore

Renato Castroreale

Nato e cresciuto con l’informatica, si è occupato e tuttora si occupa di ICT in un importante gruppo torinese, dove attualmente ricopre il ruolo di CISO (Chief Information Security Officer) nonché di Responsabile dei Sistemi di Gestione Integrati. Grande esperto in materia, specializzato e certificato nei principali schemi di certificazione per la Cybersecurity, la Sicurezza Informatica e la Data Protection (privacy), effettua formazione e fornisce consulenza in questi ed altri ambiti presso primarie aziende italiane.

Renato Castroreale

Nato e cresciuto con l’informatica, si è occupato e tuttora si occupa di ICT in un importante gruppo torinese, dove attualmente ricopre il ruolo di CISO (Chief Information Security Officer) nonché di Responsabile dei Sistemi di Gestione Integrati. Grande esperto in materia, specializzato e certificato nei principali schemi di certificazione per la Cybersecurity, la Sicurezza Informatica e la Data Protection (privacy), effettua formazione e fornisce consulenza in questi ed altri ambiti presso primarie aziende italiane.