Security Hardening Guideline per Android

Security Hardening Guideline
Android Smartphone
Questo rapporto contiene le linee guida per la configurazione e l'uso sicuro degli
smartphone con SO Android.
Le raccomandazioni indicate, valide fino alla versione 4.1 di Android, fanno riferimento
alle impostazioni delle funzionalità di sicurezza che andrebbero abilitate sugli
smartphone per:
 Migliorare la protezione dell'accesso ai dati in esso memorizzati.
 Limitare l'esposizione di dati personali e controllarne, laddove possibile, l'utilizzo da
parte della applicazioni.
 Limitare attacchi via interfacce di rete.
 Monitorare le applicazioni installate.
Per ciascuna configurazione viene indicata la minaccia di sicurezza che essa intende
mitigare o prevenire e il percorso di configurazione, sottolienando però che
quest'ultimo può variare in base alla versione del Sistema Operativo installato.
Linee guida v 1.0
1
Access Control
Minaccia indirizzata
1.1
Configurare un passcode per il blocco del terminale (Impostazioni->Sicurezza>Blocco Schermo)
Perdita di dati riservati
1.2
Non abilitare solo meccanismi di riconoscimento facciale o vocale per il blocco
del terminale
Perdita di dati riservati
1.3
Disabilitare, se possibile, il passcode di tipo "PIN (numero di 4 cifre)" e configurare
Perdita di dati riservati (attacco di
un codice alfanumerico (almeno 8 caratteri) (Impostazioni->Sicurezza->Blocco
"brute force" al PIN)
Schermo->Password)
1.4
Configurare l'auto-lock (blocco automatico) del dispositivo (ad es. dopo 1 minuto
di inattività) (Impostazioni->Sicurezza->Blocca automaticamente)
Compromissione terminale; accesso
dati riservati
1.5
Aggiornare periodicamente il passcode (azione a carico dell'utente)
Perdita di dati riservati (attacco di
brute force al PIN)
1.6
Configurare, se supportata, una Password per l'archivio di credenziali di
protezione memorizzate sul terminale (certificati, password Wi-Fi, ecc…)
(Impostazioni->Posizione e Sicurezza->Imposta Password e, successivamente,
attivare "Usa credenziali Protette")
Accesso a dati riservati da parte delle
applicazioni
Data Protection
Minaccia indirizzata
2.1
Abilitare la cifratura del filesystem (previa configurazione di un passcode)
(Impostazioni->Sicurezza->Esegui crittografia telefono)
Perdita di dati riservati
2.2
Abilitare la cifratura dei dati sulle memorie esterne SD card (Impostazioni>Sicurezza-> Crittografia scheda SD)
Perdita di dati riservati
2.3
Eseguire il Backup, preferendo quello su PC, attraverso software di gestione (tipo Accesso non autorizzato a dati
Samsung Kies) piuttosto che su google server
riservati
2.4
Abilitare il Blocco PIN della scheda SIM (Impostazioni->Sicurezza->Configura PIN
Frodi (es. chiamate)
scheda SIM)
2.5
Disabilitare la funzione di USB Debugging (Impostazioni->Opzioni di sviluppatore- Accesso ai dati anche in caso di auto>Debug USB)
lock abilitato
2.6
Configurare un servizio di controllo remoto (wipe, lock, …), ad es. quello offerto da
Perdita di dati
Google o dal vendor del terminale (Impostazioni->Sicurezza->Controlli remoti)
2.7
Disabilitare il Tracking della localizzazione da parte di Google per risultati di
ricerca e altri servizi che non si vuole che li utilizzino (Impostazioni->Servizi per la
posizione->Posizione e ricerca Google)
Violazione privacy
2.8
Attivare, se supportata, la funzione ''Mobile Tracker'' o l'opzione "Avvisa cambio
SIM" tramite invio SMS quando viene cambiata la scheda SIM (Impostazioni>Sicurezza->Avviso di cambio SIM)
Furto SIM
2.9
Disabilitare "Posizione di Google" se non si vuole che appllicazioni utilizzino i dati
di localizzazione ottenuti tramite Wi-Fi e reti mobili (Impostazioni->Servizi per la
posizione->Posizione di Google)
Violazione privacy
Network Security
Minaccia indirizzata
2
3
3.1
3.2
Prevenire messaggi di tipo
Disabilitare l'interfaccia Bluetooth quando non è utilizzata (Impostazioni->Wireless
unsolicited, furto di informazioni
e Rete->Impostazioni Bluetooth->Disattivare Bluetooth)
sensibili
Limitare la visibilità del terminale quando è attivata l'interfaccia Bluetooth
(Impostazioni->Wireless e Rete-> Impostazioni Bluetooth->Timeout visibile) solo Attacchi via Bluetooth
per la fase di ricerca
3.3
Modificare il nome di default del terminale visualizzato sull'interfaccia Bluetooth
(Impostazioni->Wireless e Rete->Impostazioni Bluetooth->Nome Dispositivo)
Previene di acquisire info sulla
tipologia di terminale
3.4
Disabilitare l'interfaccia Wi-Fi quando non è utilizzata (Impostazioni->Wireless e
Rete->Impostazioni Wi-Fi->Disattivare Wi-Fi)
Attacchi via interfaccia Wi-Fi
3.5
Disassociare la rete Wi-Fi a cui il terminale è stato connesso di modo che non vi
acceda in automatico (Impostazioni->Wireless e Rete->Impostazioni Wi-Fi,
posizionarsi sulla rete a cui il terminale è connesso e selezionare "Dimentica")
Attacco via reti Wi-Fi fake
3.6
Disabilitare Wi-Fi Direct (da v4.0) se non in uso (Impostazioni->Wireless e Rete>Altro->Wi-Fi Direct)
Rischi legati a connessioni peer to
peer
3.7
Evitare la connessione a reti Wi-Fi aperte (Impostazioni->Wireless e Rete>Impostazioni Wi-Fi->Notifica di reti, indica nella barra di stato quando il
dispositivo rileva una rete Wi-Fi aperta)
Accesso a reti potenzialmente
insicure
3.8
Disabilitare il Router Wi-Fi; quando attivato configurare l'uso di WPA PSK o WPA2
Rischi legati all'accesso ad Internet
PSK (Impostazioni->Wireless e Reti->Tethering->Router Wi-Fi)
3.9
Disabilitare il Tethering Bluetooth quando non necessario (Impostazioni->Wireless
Rischi legati all'accesso ad Internet
e Reti->Tethering)
3.10
Non bloccare il terminale sull'interfaccia 2G per le connessioni mobili
(Impostazioni->Wireless e rete->Altro->reti mobili-> Modalità Rete)
Previene attacchi via 2G
3.11
Disabilitare NFC (se supportato) quando non è in uso
Previene attacchi via NFC
3.12
Abilitare l'uso del protocollo SSL sul client mail in base al profilo configurato
Intercettazioni info sensibili
3.13
Disabilitare il roaming dati se non necessario (Impostazioni->Wireless e rete>Altro->reti mobili-> Roaming Dati)
Frodi
Application Security
Minaccia indirizzata
4.1
Disabilitare l'installazione di app da Sorgenti Sconosciute (consentendo app solo
provenienti da Market) (Impostazioni->Sicurezza->Sorgenti Sconosciute)
Prevenzione da malware
4.2
Mantenere aggiornato il terminale alle ultime release software (azione lasciata a
carico dell'utente) (Impostazioni->Info sul telefono->Aggiornamenti di sistema>Controlla aggiornamenti)
Exploit di vulnerabilità note
4.3
Abilitare la funzione di verifica delle app (da v4.2) per controllarne l'affidabilità
prima dell'installazione (Impostazioni->Sicurezza->Verifica Applicazioni)
Prevenzione da malware
4.4
Esaminare i permessi richiesti da un'applicazione prima e dopo la sua
installazione (Impostazioni –> Applicazioni)
Prevenzione da malware
4.5
Non eseguire il rooting del dispositivo
Prevenzione da malware
4.6
Disabilitare "Attiva localizzazione" (Impostazioni browser->Privacy e Sicurezza)
Violazione Privacy
4.7
Disabilitare "Ricorda Password" (Impostazioni browser ->Privacy e Sicurezza)
Protezione password e nomi utenti
usati per i siti web
4.8
Disabilitare "Ricorda dati modulo" (Impostazioni browser ->Privacy e Sicurezza)
Protezione dati sensibili
4.9
Abilitare "mostra avvisi di sicurezza" (Impostazioni browser ->Privacy e Sicurezza)
se esiste un problema di sicurezza, legato al certificato, nell'interazione con un
Accesso a siti fake
sito web a cui ci si connette
4.10
Disabilitare i cookie nel browser (Impostazioni browser->Privacy e Sicurezza>Cancella tutti i dati cookie)
Violazione privacy
4.11
Abilitare il controllo automatico di update per le applicazioni installate (Android
Market-> Impostazioni-> Aggiornamento automatico applicazioni)
Exploit di vulnerabilità note
4.12
Abilitare la notifica di update per le applicazioni installate se non è stato abilitato
l'aggiornamento automatico (Android Market-> Impostazioni->Notifiche)
Exploit di vulnerabilità note
4.13
Creare un PIN per controllare e bloccare le impostazioni ai controlli utente
(AndroidMarket ->Impostazioni-> Imposta o cambia PIN)
Previene modifica impostazioni
4.14
Rimuovere le applicazioni non più in uso (azione lasciata a carico dell'utente)
Previene vulnerabilità causate dalle
applicazioni
4