Recentemente sono emersi altri problemi di sicurezza delle app mobile, tra cui una nuova scoperta dalla società di sicurezza mobile Zimperium che non solo ruba i dati sullo smartphone, ma può controllare silenziosamente il microfono e la fotocamera, nonché eliminare segretamente le app di sicurezza.

L’IT, per la maggior parte, è diventato abbastanza abile nel controllare le app sui dispositivi di proprietà dell’azienda, ma le garanzie sulle app che vengono aggiunte dopo che sono state rilasciate ai dipendenti sono più deboli di quanto dovrebbero essere. Quando si tratta di dispositivi BYOD, che sono di proprietà di dipendenti e fornitori, gli amministratori IT e della sicurezza devono diventare molto più severi.

La maggior parte richiede una varietà di app aziendali (più o meno) sicure per la funzionalità, nonché app di sicurezza critiche per la protezione. È lì che le cose si fanno un po’ complicate. Fino a che punto possono e devono spingersi gli addetti all’IT e alla sicurezza nella protezione dei dati, delle reti e dei dispositivi aziendali?

Da un lato, il dispositivo è di proprietà del dipendente/fornitore, che apparentemente ha il diritto di scaricare l’app che desidera. Ma questo diritto ha un limite quando minaccia la sicurezza dell’impresa? Il partizionamento dei sistemi aziendali è sufficiente? (conoscete già la risposta: no, ovviamente non è abbastanza). Una volta che un malware ottiene il controllo del dispositivo, in genere può accedere a tutto o quasi come nel caso dell’ultima minaccia rilevata da Zimperium.

“A differenza di altre campagne di spyware che in genere sfruttano le vulnerabilità del dispositivo, questa campagna, nota come PhoneSpy, si nasconde in bella vista sui dispositivi Android delle vittime, mascherandosi da app legittime di streaming o di lezioni di yoga. In realtà lo spyware, una volta installato sul device, passa in rassegna furtivamente ai dati dal dispositivo della vittima, compresi le credenziali di accesso, i messaggi, la posizione precisa e le immagini. PhoneSpy è anche in grado di disinstallare qualsiasi app, comprese le app di sicurezza mobile”, si legge in un report di TechCrunch.

applicazioni mobile

“I ricercatori della società di sicurezza mobile Zimperium, che ha scoperto PhoneSpy all’interno di 23 app, affermano che lo spyware può anche accedere alla fotocamera di una vittima per scattare foto e registrare video in tempo reale, e ha avvertito che tutto ciò potrebbe essere utilizzato per ricatti personali e aziendali e spionaggio. Lo fa, tra l’altro, senza che la vittima lo sappia e Zimperium osserva che, a meno che qualcuno non stia tenendo d’occhio il proprio traffico web, PhoneSpy è difficile da rilevare”.

Ci sono elementi positivi e altri allarmanti in questa ultima parte del report. Iniziamo con la frase “a meno che qualcuno non stia guardando il proprio traffico web”. Questa è una pratica più che consigliabile, eppure pochissimi lo fanno anche con i loro telefoni aziendali, per non parlare dei dispositivi BYOD.

La parte peggiore di PhoneSpy è la sua capacità di eliminare di nascosto le app di sicurezza, cosa che di fatto cancella la maggior parte dei programmi di sicurezza mobile aziendali. Naturalmente, la vera domanda è perché Google abbia uno screening di sicurezza così debole per le sue app (sì, il sistema di Apple è altrettanto pessimo). Ma non tutte le app arrivano tramite Google Play e PhoneSpy è una di queste. Viene spinto attraverso i social media e altri ambienti e l’utente deve accettare di scaricarlo.

Questi tipi di problemi di sicurezza sono uno dei motivi per cui Apple ha preso così pubblicamente posizione contro le app “side-loading” al di fuori del proprio App Store. App che, invece, su Android prosperano da anni.

Questa è la realtà con cui l’IT aziendale, e certamente i CISO aziendali, devono fare i conti. Una soluzione sarebbe richiedere che l’IT approvi almeno qualsiasi app non inclusa in un elenco aziendale ampiamente diffuso. Ma ciò non significa che gli amministratori dovrebbero esprimere un giudizio sulle app personali dei dipendenti, che si tratti di un gioco, di un’app per fare esercizi o di qualcosa di più “impertinente”. L’attenzione deve rimanere su ciò che è pericoloso. E, come mostra PhoneSpy, ci sono molti pericoli là fuori.