Come hackerare un telefono: spiegati 7 metodi di attacco comuni
La sicurezza mobile spesso batte i PC, ma gli utenti possono ancora essere ingannati e gli smartphone possono ancora essere hackerati. Ecco a cosa devi prestare attenzione.
La rivoluzione degli smartphone avrebbe dovuto offrire una seconda possibilità all’industria tecnologica per implementare una piattaforma informatica sicura. Si presumeva che questi nuovi dispositivi fossero bloccati e immuni al malware, a differenza dei PC difettosi e dei server vulnerabili.
Ma si scopre che i telefoni sono ancora computer e i loro utenti sono ancora persone, e i computer e le persone saranno sempre gli anelli deboli. Abbiamo parlato con numerosi esperti di sicurezza per aiutarti a farti un'idea dei modi più comuni con cui gli aggressori potrebbero entrare nei potenti computer nelle tasche dei tuoi utenti. Si spera che questo dovrebbe darti una prospettiva sulle potenziali vulnerabilità.
1. Ingegneria sociale Il modo più semplice per un hacker di entrare in qualsiasi dispositivo è che l'utente apra la porta da solo. Naturalmente, far sì che ciò accada è più facile a dirsi che a farsi, ma è l'obiettivo della maggior parte delle forme di attacchi di ingegneria sociale.
I sistemi operativi degli smartphone generalmente hanno regimi di sicurezza più severi rispetto a quelli dei PC o dei server, con il codice dell'applicazione eseguito in modalità sandbox che impedisce di aumentare i privilegi e assumere il controllo del dispositivo. Ma il tanto decantato modello di sicurezza, in cui gli utenti mobili devono intraprendere un'azione positiva affinché il codice possa accedere alle aree protette del sistema operativo o della memoria del telefono, presenta uno svantaggio: si traduce in un'abbondanza di messaggi pop-up che molti di noi imparare a sintonizzarsi. "Le applicazioni sui dispositivi mobili separano le autorizzazioni per proteggere l'utente dalle app non autorizzate che hanno accesso gratuito ai tuoi dati", afferma Catalino Vega III, analista di sicurezza presso Kuma LLC. "La richiesta diventa familiare: 'Vuoi consentire a questa applicazione l'accesso alle tue foto?'"
"Ciò aggiunge in realtà solo un singolo passaggio tra la fornitura dell'accesso all'applicazione", continua. “E a causa del modo in cui l’esperienza dell’utente ha condizionato l’accettazione della maggior parte delle richieste come porta di accesso alle funzionalità, la maggior parte degli utenti consentirà semplicemente all’app di accedere a qualunque cosa richieda. Penso che questo potrebbe essere qualcosa di cui tutti saremo colpevoli prima o poi”.
2. Malvertising
Un vettore particolarmente importante per questo tipo di finestre di dialogo ingannevoli sono i cosiddetti “malvertisement”, che si inseriscono nell’infrastruttura sviluppata per l’ecosistema della pubblicità mobile, sia in un browser che all’interno di un’app.
"L'obiettivo è indurti a fare clic sull'annuncio", afferma Chuck Everette, direttore della Cybersecurity Advocacy presso Deep Instinct. "Stanno cercando di attirarti con qualcosa che ti farà scattare prima di pensare: una reazione istintiva o qualcosa che assomiglia a un avviso o un avvertimento." Lo scopo, dice, è “provare a spaventarti o indurti a cliccare sul link”.
Un esempio che cita è un gioco chiamato Durak, che induce gli utenti a sbloccare i loro telefoni Android inducendoli a disattivare le funzionalità di sicurezza e a installare altre applicazioni dannose. Lungi dall'essere una dubbia app caricata lateralmente off-label, Durak era disponibile nel mercato ufficiale di Google Play. "Il 67% di tutte le app dannose possono essere ricondotte al download dal Google Play Store, mentre solo il 10% proviene da mercati alternativi di terze parti", spiega. "I consumatori su Google Play fanno molto affidamento sulle recensioni di altri utenti per verificare se l'app è sicura o meno. Questo non funziona." Al contrario, dice, "Apple controlla attentamente ogni app sul suo app store, il che riduce il numero di app disponibili, ma riduce notevolmente le app segnalate come dannose".
3. Smash
Un altro vettore utilizzato dagli aggressori per ottenere quell'importantissimo collegamento toccabile davanti alle loro vittime è la messaggistica SMS, con una serie completamente diversa di trucchi di ingegneria sociale in gioco; la pratica è nota come SMS phishing o smishing e cattura sia gli ingenui che i potenti.