Android e iOS, le applicazioni perdono molti dati degli utenti rendendole vulnerabili

Le applicazioni Android e iOS hanno accesso a molti dati dell’utente e dello smartphone e gran parte di queste vengono perse creando una falla di sicurezza che può essere sfruttata per ottenere informazioni o accedere e prendere il controllo di uno smartphone. Nulla sembra arrestare questa continua perdita, le aziende che sviluppano le app non sembrano preoccuparsene.

Il numero crescente di dispositivi mobili e il vasto mercato di applicazioni fai da te, ha aperto la porta alla perdita di dati e violazioni della sicurezza. A dare l’allarme su privacy mobile e perdita di dati è la società Zscaler, una società di sicurezza su cloud. Secondo i dati raccolti dalla società californiana la perdita di dati dovuti alle applicazioni, delle due principali piattaforme mobile, è enorme.

Si tratta di un rubinetto che ha perdite costanti e crescenti, ma cosa viene perso di preciso. I dati a cui si riferisce la società sono quelli che gestisce direttamente e ogni trimestre gestiscono più di 45 milioni di transazioni relative ai dispositivi mobili che attraversano il loro cloud. La maggior parte delle informazioni relative alla privacy rientra in una delle tre categorie: metadati del dispositivo, luogo, dati personali (PII).

Dispositivi Android

I dispositivi Android comprendono circa 20 milioni delle operazioni, in cui lo 0,3 per cento si traducono in una perdita di privacy. Di tutte le perdite, il 58 per cento sono legate alla perdita di metadati del dispositivo, in cui le applicazioni inviano informazioni di identificazione, come ad esempio IMEI, MAC, numero IMSI, di rete, sistema operativo, dati della carta SIM, produttore. Tali dati possono essere sfruttati per il monitoraggio del dispositivo e la creazione di attacchi mirati.

Un’altra elevata percentuale di perdite – il 39,3 per cento – sono legate alla posizione dell’utente, tra cui le esatte coordinate di latitudine e longitudine. Il restante tre per cento delle transazioni comporta perdite di dati personali come il numero di telefono e indirizzo e-mail mobile.

Dispositivi iOS

Per iOS, sono circa 26 milioni le transazioni trimestrali tramite il cloud di Zscaler, di queste lo 0,5 per cento sono le perdite relative alla privacy. Di queste il 72,3 per cento delle sono legate a informazioni sul dispositivo dell’utente. Un ulteriore 27,5 per cento delle transazioni hanno come conseguenza la perdita della posizione dell’utente e lo 0,2 per cento delle transazioni comporta l’invio di informazioni PII. Di tutte le operazioni nelle quali vengono inviate informazioni relative alla privacy, il cinque per cento sono il risultato di infezioni dannose.

Le potenziali minacce

Queste statistiche dimostrano che una quantità significativa di dati personali possono trapelare molto, troppo facilmente. Sono sul cloud di Zscaler sono quasi 200.000 tali perdite, dati utili ai male intenzionati che possono sfruttarli per attacchi sofisticati mirati. Gli identificatori hardware come MAC, IMEI, IMSI, e UDID sono unici e non cambiano nel corso della vita di un dispositivo, la raccolta di tali ID consente sia il monitoraggio che il controllo del dispositivo.

Questi identificatori possono essere sfruttati per tutta una serie di attacchi, come denial-of-service in cui vengono fatte esaurire le risorse del sistema attaccato, un attacco GSM air interface dove l’attaccante deve prima conoscere l’IMEI della vittima designata, un SMS denial-of-service o controllo remoto della SIM, sono solo alcuni esempi.

Conoscere la posizione esatta di ogni persona è di grande valore per spionaggio e spoofing; tali informazioni possono portare a una compromissione di massa e/o attacchi mirati. I numeri di telefono e indirizzi e-mail sono il modo più rapido per raggiungere ogni individuo e possono essere sfruttato per spamming e phishing.

Non si può contare sulla protezione degli sviluppatori. Uno studio condotto da IBM & The Ponemon Institute mostra che, di 400 organizzazioni studiate, quasi il 40 per cento non eseguire la scansione delle applicazioni che sviluppano circa la vulnerabilità di sicurezza. Di quelli che fanno la scansione delle loro applicazioni prima di rilasciarle sul mercato, solo il 15 per cento le testa frequentemente. E, ancora più preoccupante, il 50 per cento di coloro che sviluppano applicazioni mobili non alloca alcun bilancio per le prova relative alle vulnerabilità di sicurezza.

Condividi questo articolo: 


AH, LEGGI ANCHE QUESTI !



 

Altre Notizie