Surveillance rootkits sugli smartphone

Il post seguente è stato tradotto, previa autorizzazione, da Graham Cluley’s blog

Liviu Iftode e Vinod Ganapathy, due ricercatori della Rutgers University, hanno rivelato alcuni esperimenti che stavano effettuando per dimostrare come i rootkit possano essere utilizzati per controllare uno smartphone.

Gli scienziati hanno dimostrato che un malintenzionato potrebbe far si che uno smartphone possa “intercettare una riunione, tenere traccia degli spostamenti del proprietario, o far scaricare rapidamente la batteria per rendere il telefono inutilizzabile”.

Guardate il video seguente su YouTube per maggiori informazioni:

È un video carino ma, in realtà, quanto è realistica questa minaccia ?

Non credo che il tipo di attacco descritto da Iftode e Ganapathy sia un grosso problema in questo momento.

Sì, è possibile modificare o mettere il software su uno smartphone (ad esempio, tramite l’installazione di un rootkit), in modo che il dispositivo mobile possa avere effetti dannosi. Per esempio, il codice che consenta il controllo remoto, l’esaurimento della batteria, o il furto silente dei dati.
Naturalmente, ciò è possibile se lo smartphone permette di apportare modifiche al suo software low-level.
Gli smartphone, come l’iPhone di Apple, bloccano in larga misura questo tipo d’intromissione.

Quindi, la cosa fondamentale da ricordare è che i bad guy devono essere in grado, in qualche modo, d’inserire il rootkit dannoso sul cellulare.

Come possono farlo?

Tramite l’accesso fisico al vostro smartphone, o tramite una vulnerabilità senza patch di sicurezza, o un attacco di ingegneria sociale per ingannarvi ed installare codice dannoso. Anche nel caso abbiano usato il metodo dell’ “inganno”, dovranno affidarsi al sistema operativo del telefono, per poter installare applicazioni non approvate (gli iPhone, ad esempio, sono strettamente controllati dai loro padroni di Cupertino, in modo da consentire agli utenti di installare solamente codice approvato e controllato dall’AppStore).

Detto così, quello che Iftode e Ganapathy stanno descrivendo non pare molto diverso dai rootkit che infettano i computer desktop tradizionali. La differenza principale è che ci sono probabilmente meno opportunità, essendo più difficile, d’infettare un cellulare che, ad esempio, un computer con Windows.

Inoltre direi che il tipico utente di telefonia mobile, è meno incline ad installare applicazioni rispetto alla sua controparte di Windows e così le possibilità di successo d’ingannare l’utente a installare un’applicazione pericolosa, si può supporre che siano ancora minori.

Iftode e Ganapathy non hanno dimostrato alcun modo nuovo e rivoluzionario per aggirare l’ostacolo più grande che possano incontrare coloro che vogliano spiare uno smartphone: come sarà possibile mettere il malware sul telefono?

Se volessi veramente spiare il telefono di qualcuno, penso che sarebbe probabilmente più facile scambiare il cellulare della vittima (opportunamente modificato) con un dispositivo identico, piuttosto che fare tutto questo sforzo, senza garanzie di successo.

spiare uno smartphone snooping

Certo, la minaccia dei malware sui cellulari è in crescita ma è una goccia nell’oceano, rispetto agli attacchi che colpiscono regolarmente i computer Windows. Lentamente sta diventando più grave (la recente scoperta di malware a matrice finanziaria che prende di mira gli iPhone con jailbreak ne è la prova ) e senza dubbio, in futuro, si cominceranno a vedere sempre più utenti che useranno protezioni antivirus sui loro telefoni.

Tuttavia, se fossi responsabile di garantire la sicurezza dei cellulari della mia azienda, sarei molto più preoccupato della vera minaccia alla sicurezza del personale: perdere i cellulari in taxi o in treno, piuttosto che il rischio teorico dei surveillance rootkit.

Iftode e Ganapathy hanno fatto un bel video e una bella presentazione ma non voglio perderci il sonno ancora.

Ulteriori informazioni sul tema dei rootkit per smartphone possono essere trovati nel paper che Iftode e Ganapathy hanno creato:
” Rootkit sugli smartphone: gli attacchi, le implicazioni e le opportunità” [PDF]

Fonte: Surveillance rootkits on smartphones


Posted in Naked Security, Traduzioni inglese-italiano and tagged , , , , by with no comments yet.

Il sito PleaseRobMe svela il pericolo di condividere troppe informazioni online

Il post seguente è stato tradotto, previa autorizzazione, da Graham Cluley’s blog

Gli utenti di siti come Twitter e Foursquare saranno abituati a vedere i messaggi degli amici che comunicano la propria posizione e – per induzione – che non sono in casa.

Un nuovo sito web chiamato Please Rob Me, aggrega i contenuti di Foursquare e Twitter, in modo da fornire a potenziali ladri e malintenzionati un modo facile per scoprire dove si sta sorseggiando il cappuccino e quando si può avere lasciato la casa vuota.

Il sito Please Rob Me

Sebbene presentato ironicamente come aiuto per i ladri d’appartamento, il sito Please Rob Me afferma di essere progettato con un semplice scopo in mente, aumentare la consapevolezza dei pericoli della condivisione online di troppe informazioni:

L'obiettivo di questo sito è quello di suscitare un po' di consapevolezza su questo tema e indurre le persone a riflettere come utilizzare servizi tipo Foursquare, Brightkite, Google Buzz, ecc...

L'intero sito altro non è che una pagina di ricerca Twitter camuffata. Tutti possono ottenere questo genere d'informazioni.

Ed hanno ragione: non c’è nulla su Please Rob Me che non si possa ricavare direttamente da questi siti web.

Sarà interessante vedere se Foursquare e Twitter tenteranno di bloccare Please Rob Me, dopo la pubblicità che questo servizio ha ottenuto, per impedirgli d’ottenere automaticamente i dati dai loro siti. Ma la cosa più significativa, è che tutti possiamo imparare da questo sito l’importanza di essere più attenti alle informazioni che condividiamo su Internet.

Fonte: PleaseRobMe site exposes danger of sharing too much information online


Posted in Naked Security, Traduzioni inglese-italiano and tagged , , by with no comments yet.

Falla di sicurezza nelle carte di credito/debito

Il post seguente è stato tradotto, previa autorizzazione, dal blog Schneier on Security

Ross Anderson segnala:

Le transazioni online con carte di credito o carte di debito, vengono validate sempre più dal sistema 3D Secure, contrassegnato come “Verified by Visa” e “MasterCard SecureCode”. Attualmente, è il sistema ad autenticazione unica maggiormente utilizzato, con oltre 200 milioni di titolari registrati. Sta diventando difficile effettuare acquisti online senza essere costretti ad usarlo.

In un paper che presenterò oggi alla Financial Cryptography insieme a Steven Murdoch, analizzeremo 3D Secure. Dal punto di vista ingegneristico, fa quasi tutto sbagliato e sta diventando un grosso bersaglio per il phishing. Allora perché ha avuto un tale successo di mercato?

Molto semplicemente, ci sono forti incentivi per l’adozione. I commercianti che ne fanno uso scaricano la responsabilità per frode alle banche, che a loro volta la scaricano ai titolari della carta. I sistemi ad autenticazione unica adeguatamente progettati, come OpenID e InfoCard, non possono offrire nulla di simile. Quindi questo è l’ennesimo caso in cui l’aspetto economico della sicurezza, trionfa sulla progettazione; ma in maniera talmente aggressiva da lasciare i titolari della carta meno protetti. Concludiamo con un suggerimento in merito a ciò che le autorità di regolamentazione bancaria potrebbero fare per risolvere il problema.

Fonte: Online Credit/Debit Card Security Failures


Posted in Bruce Schneier, Traduzioni inglese-italiano by with no comments yet.