Sicurezza? Più protetti che sul computer

Leggi anche:
Of Mobile Banking 2012: un grande scenario
Of Mobile Banking 2012: i vincitori
E il miglior mobile Banking è…
Viaggio di un analista (anonimo) di Of nelle applicazioni delle banche
Pagamenti via cellulare. La sfida: o PayPal o Google
L’evoluzione della tecnica. 10 cellulari per andare in banca

Fino ad ora non è stato rubato neanche un euro. O perlomeno non se ne è avuto notizia. Non come l’home banking che da quando ha fatto la sua comparsa sul mercato è stato preso di mira dai cybercriminali con attacchi costanti più o meno riusciti. Questo vuol dire che il mobile banking è davvero sicuro? Gli esperti del settore giurano che, sì, fare operazioni bancarie dal proprio telefonino non comporta rischi eccessivi. Anzi, è addirittura più sicuro dell’Internet banking da pc. Eppure, soprattutto negli ultimi tempi, i dispositivi mobile, sia smartphone che tavolette elettroniche, hanno iniziato a dimostrare di non essere infallibili. Diventando terreno fertile per cybercriminali a caccia di dati sensibili, informazioni riservate e password. Magari anche codici di accesso ai conti online. Quali rischi si corrono davvero utilizzando i cellulari di ultima generazione? Come tutelarsi? Of-Osservatorio finanziario svela alcuni trucchi e segreti che è bene sapere per evitare di cadere nelle trappole di hacker malintenzionati.

Scegliere la connessione
Se internet sul mobile è la prima porta di accesso per eventuali cybercriminali, il metodo migliore per evitare problemi è quello di utilizzare una connessione sicura. Gli smartphone di ultima generazione hanno la possibilità di scegliere tra la rete Wi-Fi, senza fili, generalmente gratuita, e quella 3G integrata nel telefonino, che richiede un abbonamento con una compagnia telefonica. Il problema è che le connessioni wireless sono meno sicure e più facili da penetrare rispetto a quelle basate sulla tecnologia 3G. Un hacker, infatti, può creare una rete Wi-Fi pubblica senza protezione, fornire la connettività e nel frattempo analizzare tutto il traffico di rete che viene fatto da chi si connette. Compresi tutti i codici di accesso alla sezione personale di home banking, trasmessi in chiaro. Sui treni, nelle città, nei parchi, ovunque è possibile trovare reti Wi-Fi aperte che potrebbero essere delle esche ben mascherate. Meglio quindi disabilitare l’opzione che visualizza in automatico sullo schermo dello smartphone tutte le reti Wi-Fi pubbliche a disposizione nella zona, e servirsi del 3G.

Quale sistema operativo
Ormai è una battaglia a due, anche sul fronte della sicurezza. Da un lato Apple con il celebre iOS per iPhone. Dall’altro Google con il sistema operativo per mobile phone Android. Qual è il sistema operativo più sicuro?
iOS di Apple offre una protezione migliore contro i malware tradizionali, grazie anche ad un controllo più rigoroso sugli applicativi introdotti da sviluppatori esterni. Il processo di certificazione e di approvazione di una nuova applicazione da inserire all’interno dell’AppStore, infatti, è molto lungo e complesso: Apple controlla l’identità degli autori e verifica che l’applicativo che verrà inserito in elenco, non comporti minacce per gli utilizzatori. Tutti i software potenzialmente dannosi, invece, vengono immediatamente eliminati. Anche se la cronaca recente ha dimostrato che nemmeno Apple è infallibile. Un’applicazione per iPhone, Path prodotta da Path Inc, infatti, è stata colta in flagrante da un utente-hacker mentre inviava la sua intera rubrica telefonica ai server della compagnia. La società, in una nota, ha fatto poi sapere che le rubriche telefoniche degli utilizzatori vengono caricate sui server solo per velocizzare i contatti tra gli utenti. Fatto sta che si tratta comunque di violazione della privacy.
Android, al contrario, è un sistema “open-source”, che consente l’accesso e la modifica del codice sorgente anche da parte di programmatori indipendenti, ai quali è consentito il libero studio del software grazie ad apposite licenze d’uso. Questa sua caratteristica implica, di conseguenza, minori controlli sugli applicativi che andranno a comporre l’Android Market. Nessuna verifica dell’identità dello sviluppatore, che può anche comparire in forma anonima. E nessuna verifica del software immesso. Con il rischio che vengano approvate e messe in commercio applicazioni spia contenenti malware volti a catturare i dati sensibili degli utilizzatori.

---- Applicazioni o m-site?
Si sa, alla banca in mobilità ci si può connettere in due modi: con l’app nativa che si trova nello store online e si scarica direttamente sul display con un semplice tocco dello schermo. O con i micro site, quelli raggiungibili da browser digitando nella Url l’indirizzo del portale ottimizzato alla navigazione da cellulare. Quale sistema è più sicuro? Sicuramente le app native, almeno per quanto riguarda Apple e in parte Android, che devono essere approvate e validate prima di poter essere messe a disposizione dell'utente. In questo caso, infatti, gli unici rischi che si possono correre sono legati a "bug" intrinseci dell’applicazione.
Mentre una Web-App, cioè un m-site, è afflitto da fattori esterni che non dipendono da quanto è sicura la WebApp in sé. Un sito ottimizzato per tablet o smartphone, infatti, è sostanzialmente un sito internet a tutti gli effetti. E in quanto tale, può essere soggetto al "dirottamento" come i portali tradizionali navigabili via pc. La tecnica è quella del phishing: l'utente riceve una mail falsa sullo smartphone che ha come mittente la sua banca, clicca sul link e accede direttamente alla sezione di login contraffatta. In questo caso dall'altra parte ci potrebbe essere un malintenzionato che sfrutta in real-time la sessione OTP aperta per compiere in parallelo una transazione illecita.

Inoltre, come tutta la navigazione fatta sul web, anche i micro site visitati via smartphone possono essere memorizzati. Un caso recente riguarda proprio il colosso delle telecomunicazioni, Google. Che ha ammesso di aver attivato una procedura per memorizzare i percorsi di navigazione degli utenti di iPhone che si connettevano al portale tramite Safari. In questo caso, comunque, la pratica di Google ha influenza molto marginale sulla sicurezza delle transazioni svolte online dall'utente che utilizza un servizio web di remote banking.

Controllare cosa si scarica
I più smanettoni, a volte, possono correre il rischio di scaricare direttamente sul telefonino un applicativo che ha come unico scopo proprio quello di garantire l’accesso al dispositivo e a tutti i suoi contenuti. Può capitare quando si effettua il Jailbreak, cioè lo sblocco dell’iPhone per accedere a software non ufficiali, non approvati e non controllati da iTunes, venduti su Cydia anziché sull’AppStore (leggi qui). In questo caso dunque, aumentano i pericoli di incappare in una applicazione-esca.

Attenzione agli spyware ‘fantasma’
Gli attentati alla sicurezza delle transazioni di banking in mobilità, però, non provengono solo dall’esterno. Spesso, infatti, sono proprio le minacce interne, quelle meno riconoscibili, ad essere potenzialmente più pericolose. Si tratta in pratica di ‘applicazioni fantasma’, inserite all’interno di smartphone e tablet di ultima generazione, opportunamente occultate e irriconoscibili, in grado di carpire i dati sensibili degli utenti. Fantascienza? Complotto? In realtà no.
Lo scandalo è venuto a galla pochi mesi fa, quando l’azienda Carrier IQ, fornitore leader di soluzioni di Mobile Intelligence per l'industria delle telecomunicazioni, ha confessato la presenza, su oltre 150 milioni di dispositivi mobile (smartphone e tablet) di marche diverse, di un rootkit nascosto e irrintracciabile. Vale a dire un software spia in grado di accedere da remoto al dispositivo.

E mentre le case produttrici di telefoni cellulari next generation si stanno affannando per riuscire ad ottenere il primato sulla smarcatura dal software incriminato, la società che lo ha prodotto e installato, ha negato le accuse di violazione della privacy, delle leggi che limitano il controllo remoto e ogni genere di EULA - End User License Agreement (accordo di licenza con l'utente finale) e contratto con i consumatori. “Sebbene alcuni individui abbiamo scoperto che il software Carrier IQ accede a una gran quantità di informazioni”, ha fatto sapere la società tramite una nota, “il nostro software non registra, archivia o trasmette il contenuto dei messaggi SMS, delle email, fotografie, audio o video". Il client di Carrier IQ, in poche parole, servirebbe solo a misurare meglio le prestazioni delle applicazioni installate, misurando per esempio quanta energia viene consumata (e quindi batteria) da ciascuna app scaricata.

Eppure, nessuno dei produttori mobile sul mercato sembra essere disposto ad appoggiare Carrier IQ. Apple ha fatto sapere di avere usato l’applicativo spia solo in modalità diagnostica, ma di averne completamente interrotto l’utilizzo a partire dal lancio dell’ultima versione del sistema operativo iOS 5 (ma quante versioni di iOS ci sono state prima della 5?). Google, invece, sostiene di non aver mai avuto rapporti con Carrier IQ. Anche se la natura "Open-Source" di Android, modificabile anche da programmatori indipendenti, non permette certo al colosso delle telecomunicazioni di avere il pieno controllo delle modifiche introdotte dalle case produttrici in fase di personalizzazione del sistema operativo per lo smartphone di turno.

© Of-Osservatorio finanziario – riproduzione riservata

Torna alla homepage dello speciale Mobile Banking 2012