Security Hardening Guideline per Android
Transcript
Security Hardening Guideline per Android
Security Hardening Guideline Android Smartphone Questo rapporto contiene le linee guida per la configurazione e l'uso sicuro degli smartphone con SO Android. Le raccomandazioni indicate, valide fino alla versione 4.1 di Android, fanno riferimento alle impostazioni delle funzionalità di sicurezza che andrebbero abilitate sugli smartphone per: Migliorare la protezione dell'accesso ai dati in esso memorizzati. Limitare l'esposizione di dati personali e controllarne, laddove possibile, l'utilizzo da parte della applicazioni. Limitare attacchi via interfacce di rete. Monitorare le applicazioni installate. Per ciascuna configurazione viene indicata la minaccia di sicurezza che essa intende mitigare o prevenire e il percorso di configurazione, sottolienando però che quest'ultimo può variare in base alla versione del Sistema Operativo installato. Linee guida v 1.0 1 Access Control Minaccia indirizzata 1.1 Configurare un passcode per il blocco del terminale (Impostazioni->Sicurezza>Blocco Schermo) Perdita di dati riservati 1.2 Non abilitare solo meccanismi di riconoscimento facciale o vocale per il blocco del terminale Perdita di dati riservati 1.3 Disabilitare, se possibile, il passcode di tipo "PIN (numero di 4 cifre)" e configurare Perdita di dati riservati (attacco di un codice alfanumerico (almeno 8 caratteri) (Impostazioni->Sicurezza->Blocco "brute force" al PIN) Schermo->Password) 1.4 Configurare l'auto-lock (blocco automatico) del dispositivo (ad es. dopo 1 minuto di inattività) (Impostazioni->Sicurezza->Blocca automaticamente) Compromissione terminale; accesso dati riservati 1.5 Aggiornare periodicamente il passcode (azione a carico dell'utente) Perdita di dati riservati (attacco di brute force al PIN) 1.6 Configurare, se supportata, una Password per l'archivio di credenziali di protezione memorizzate sul terminale (certificati, password Wi-Fi, ecc…) (Impostazioni->Posizione e Sicurezza->Imposta Password e, successivamente, attivare "Usa credenziali Protette") Accesso a dati riservati da parte delle applicazioni Data Protection Minaccia indirizzata 2.1 Abilitare la cifratura del filesystem (previa configurazione di un passcode) (Impostazioni->Sicurezza->Esegui crittografia telefono) Perdita di dati riservati 2.2 Abilitare la cifratura dei dati sulle memorie esterne SD card (Impostazioni>Sicurezza-> Crittografia scheda SD) Perdita di dati riservati 2.3 Eseguire il Backup, preferendo quello su PC, attraverso software di gestione (tipo Accesso non autorizzato a dati Samsung Kies) piuttosto che su google server riservati 2.4 Abilitare il Blocco PIN della scheda SIM (Impostazioni->Sicurezza->Configura PIN Frodi (es. chiamate) scheda SIM) 2.5 Disabilitare la funzione di USB Debugging (Impostazioni->Opzioni di sviluppatore- Accesso ai dati anche in caso di auto>Debug USB) lock abilitato 2.6 Configurare un servizio di controllo remoto (wipe, lock, …), ad es. quello offerto da Perdita di dati Google o dal vendor del terminale (Impostazioni->Sicurezza->Controlli remoti) 2.7 Disabilitare il Tracking della localizzazione da parte di Google per risultati di ricerca e altri servizi che non si vuole che li utilizzino (Impostazioni->Servizi per la posizione->Posizione e ricerca Google) Violazione privacy 2.8 Attivare, se supportata, la funzione ''Mobile Tracker'' o l'opzione "Avvisa cambio SIM" tramite invio SMS quando viene cambiata la scheda SIM (Impostazioni>Sicurezza->Avviso di cambio SIM) Furto SIM 2.9 Disabilitare "Posizione di Google" se non si vuole che appllicazioni utilizzino i dati di localizzazione ottenuti tramite Wi-Fi e reti mobili (Impostazioni->Servizi per la posizione->Posizione di Google) Violazione privacy Network Security Minaccia indirizzata 2 3 3.1 3.2 Prevenire messaggi di tipo Disabilitare l'interfaccia Bluetooth quando non è utilizzata (Impostazioni->Wireless unsolicited, furto di informazioni e Rete->Impostazioni Bluetooth->Disattivare Bluetooth) sensibili Limitare la visibilità del terminale quando è attivata l'interfaccia Bluetooth (Impostazioni->Wireless e Rete-> Impostazioni Bluetooth->Timeout visibile) solo Attacchi via Bluetooth per la fase di ricerca 3.3 Modificare il nome di default del terminale visualizzato sull'interfaccia Bluetooth (Impostazioni->Wireless e Rete->Impostazioni Bluetooth->Nome Dispositivo) Previene di acquisire info sulla tipologia di terminale 3.4 Disabilitare l'interfaccia Wi-Fi quando non è utilizzata (Impostazioni->Wireless e Rete->Impostazioni Wi-Fi->Disattivare Wi-Fi) Attacchi via interfaccia Wi-Fi 3.5 Disassociare la rete Wi-Fi a cui il terminale è stato connesso di modo che non vi acceda in automatico (Impostazioni->Wireless e Rete->Impostazioni Wi-Fi, posizionarsi sulla rete a cui il terminale è connesso e selezionare "Dimentica") Attacco via reti Wi-Fi fake 3.6 Disabilitare Wi-Fi Direct (da v4.0) se non in uso (Impostazioni->Wireless e Rete>Altro->Wi-Fi Direct) Rischi legati a connessioni peer to peer 3.7 Evitare la connessione a reti Wi-Fi aperte (Impostazioni->Wireless e Rete>Impostazioni Wi-Fi->Notifica di reti, indica nella barra di stato quando il dispositivo rileva una rete Wi-Fi aperta) Accesso a reti potenzialmente insicure 3.8 Disabilitare il Router Wi-Fi; quando attivato configurare l'uso di WPA PSK o WPA2 Rischi legati all'accesso ad Internet PSK (Impostazioni->Wireless e Reti->Tethering->Router Wi-Fi) 3.9 Disabilitare il Tethering Bluetooth quando non necessario (Impostazioni->Wireless Rischi legati all'accesso ad Internet e Reti->Tethering) 3.10 Non bloccare il terminale sull'interfaccia 2G per le connessioni mobili (Impostazioni->Wireless e rete->Altro->reti mobili-> Modalità Rete) Previene attacchi via 2G 3.11 Disabilitare NFC (se supportato) quando non è in uso Previene attacchi via NFC 3.12 Abilitare l'uso del protocollo SSL sul client mail in base al profilo configurato Intercettazioni info sensibili 3.13 Disabilitare il roaming dati se non necessario (Impostazioni->Wireless e rete>Altro->reti mobili-> Roaming Dati) Frodi Application Security Minaccia indirizzata 4.1 Disabilitare l'installazione di app da Sorgenti Sconosciute (consentendo app solo provenienti da Market) (Impostazioni->Sicurezza->Sorgenti Sconosciute) Prevenzione da malware 4.2 Mantenere aggiornato il terminale alle ultime release software (azione lasciata a carico dell'utente) (Impostazioni->Info sul telefono->Aggiornamenti di sistema>Controlla aggiornamenti) Exploit di vulnerabilità note 4.3 Abilitare la funzione di verifica delle app (da v4.2) per controllarne l'affidabilità prima dell'installazione (Impostazioni->Sicurezza->Verifica Applicazioni) Prevenzione da malware 4.4 Esaminare i permessi richiesti da un'applicazione prima e dopo la sua installazione (Impostazioni –> Applicazioni) Prevenzione da malware 4.5 Non eseguire il rooting del dispositivo Prevenzione da malware 4.6 Disabilitare "Attiva localizzazione" (Impostazioni browser->Privacy e Sicurezza) Violazione Privacy 4.7 Disabilitare "Ricorda Password" (Impostazioni browser ->Privacy e Sicurezza) Protezione password e nomi utenti usati per i siti web 4.8 Disabilitare "Ricorda dati modulo" (Impostazioni browser ->Privacy e Sicurezza) Protezione dati sensibili 4.9 Abilitare "mostra avvisi di sicurezza" (Impostazioni browser ->Privacy e Sicurezza) se esiste un problema di sicurezza, legato al certificato, nell'interazione con un Accesso a siti fake sito web a cui ci si connette 4.10 Disabilitare i cookie nel browser (Impostazioni browser->Privacy e Sicurezza>Cancella tutti i dati cookie) Violazione privacy 4.11 Abilitare il controllo automatico di update per le applicazioni installate (Android Market-> Impostazioni-> Aggiornamento automatico applicazioni) Exploit di vulnerabilità note 4.12 Abilitare la notifica di update per le applicazioni installate se non è stato abilitato l'aggiornamento automatico (Android Market-> Impostazioni->Notifiche) Exploit di vulnerabilità note 4.13 Creare un PIN per controllare e bloccare le impostazioni ai controlli utente (AndroidMarket ->Impostazioni-> Imposta o cambia PIN) Previene modifica impostazioni 4.14 Rimuovere le applicazioni non più in uso (azione lasciata a carico dell'utente) Previene vulnerabilità causate dalle applicazioni 4