Le domande da porsi sulla privacy mobile

GUIDA ELETTRONICA ALLA VITA
DIGITALE
Le domande
da porsi sulla
privacy mobile
Avete armeggiato con il vostro nuovo
dispositivo per qualche giorno inviando
e-mail, scaricando app, navigando in
Facebook e siti del genere, quando
all’improvviso uno di questi fastidiosi
messaggi a comparsa si impossessa in modo
del tutto indiscreto del vostro schermo.
Si tratta dell’ennesima pagina di un prodotto
che non è in alcun modo correlata a ciò che
stavate facendo con il vostro dispositivo.
Eppure vi ricordate di avere già visto questa
pagina in precedenza. Forse perché poco
prima l’avete trovata con una ricerca, ma
perché tutto d’un tratto sembra lei a cercare
voi e non viceversa?
Questo è solo un esempio di come può
essere violata la vostra privacy anche
durante l’uso di dispositivi mobili. Che cosa
fate per proteggere la vostra privacy dalle
minacce mobili come questa?
Chi?
Voi e il vostro
diritto alla
privacy mobile
Le Nazioni Unite riconoscono il diritto intrinseco di
ciascuno alla privacy.1
Questo diritto viene violato ogni volta che qualcuno
tenta di accedere alle vostre informazioni personali,
in qualsiasi forma o piattaforma, senza alcuna
motivazione legittima o senza il vostro consenso.
Se un amico, ad esempio, prende in prestito il vostro
smartphone per spiare il vostro account Facebook,
sta ignorando il vostro diritto alla privacy.
I criminali informatici sono noti violatori della
privacy mobile. Creano app dannose, come i
programmi per il furto di dati, che puntano alle
vostre informazioni personali e finanziarie. Anche
le app gratuite ad alto rischio possono porre una
serie di problemi alla privacy alla luce della mole
e della tipologia di informazioni che raccolgono.
Ad esempio, alcune delle principali app Android
provenienti dalla Germania sono in grado di rivelare
la vostra posizione, l’identità dell’apparecchiatura e
la rubrica.2
1 http://www.un.org/en/documents/udhr/index.shtml#a12
2 http://blog.trendmicro.com/trendlabs-security-intelligence/do-you-knowwhat-data-your-mobile-app-discloses/
Cosa?
Aree principali da esaminare
Funzioni di connettività del vostro dispositivo
Le funzioni di connettività del vostro dispositivo sono
un ottimo strumento per i criminali informatici che
desiderano impossessarsi delle vostre informazioni.
Queste funzioni vengono percepite come porte
bloccate che i criminali devono selezionare per
accedere. È, ad esempio, il caso del Bluetooth e delle
connessioni wireless, entrambi nati per semplificare
la comunicazione, ma che possono essere utilizzati
anche per scopi dannosi. I criminali informatici hanno
avuto la meglio sui desktop Mac utilizzando il worm
INQTANA, che è in grado di inviare file dannosi ai
dispositivi Bluetooth disponibili che li accettano.
Il worm apre i computer per promuovere routine
dannose, come il dropping di minacce informatiche
e il furto di informazioni.
Sempre più produttori stanno integrando nei
propri dispositivi anche gli standard Near Field
Communication (NFC). Una tecnologia che consente
di condividere contenuti, effettuare pagamenti o
eseguire altre transazioni esterne con la semplice
selezione di uno scanner. Per quanto comoda, questa
funzionalità rappresenta anche un punto di accesso
per le routine dannose.3
3 http://blog.trendmicro.com/trendlabs-security-intelligence/good-nfc-habits/
Impostazioni del dispositivo
Le impostazioni predefinite del dispositivo possono
essere interpretate come suggerimenti rigidi da
ottimizzare ulteriormente per incrementare la
protezione. Ciò significa che potete modificare le
impostazioni di sicurezza del vostro dispositivo mobile
per accertarvi che nessuno possa accedervi facilmente.
Comportamento nell’uso di dispositivi mobili
Disporre di dispositivi mobili induce spesso a navigare
in Internet con maggiore frequenza, ma incide anche
sui nostri comportamenti in termini di sicurezza?
Non dobbiamo dimenticare che la nostra vulnerabilità
aumenta quando siamo completamente immersi in
attività mobili quali la consultazione di siti di social
netwok, lo shopping e l’esecuzione di operazioni
bancarie. L’eccessiva condivisione, il mancato controllo
delle autorizzazioni delle app e la selezione di
collegamenti dannosi sono tutti modi che allettano
i criminali informatici.
Quando si parla di utilizzo delle app, è necessario
prendere in considerazione anche l’adware mobile.
Anche se la maggior parte delle reti pubblicitarie
sono perfettamente legittime, alcune sono note per
raccogliere informazioni personali e inviare spot
sotto forma di notifica, spesso senza l’autorizzazione
dell’utente.4
Stando ai dati dell’ottobre 2012, almeno 7.000 app
gratuite che utilizzano moduli pubblicitari aggressivi
sono state scaricate più di un milione di volte.
4 http://www.trendmicro.it/media/misc/the-growing-problem-of-mobile-adwarereport-en.pdf
In che modo?
Scenari di “privacy in pericolo”
App gratuite
Chi non ama le cose gratuite? Sono disponibili migliaia di
app gratuite garantite da fornitori legittimi o di terzi tra cui
scegliere. Eppure, scaricare app gratuite ha spesso un suo
prezzo: servizi gratuiti in cambio di informazioni personali.5
Sorprende, ciononostante, che la maggior parte dei
consumatori (73%) sia disposta a cedere le proprie
informazioni personali per avere qualcosa in cambio,
come un servizio mobile gratuito. Anche la più banale
informazione che fornite, come un indirizzo o una data
di nascita, è tutto ciò che serve ai criminali informatici
per sfruttare il vostro sistema.
Smarrimento o furto del dispositivo
In un sondaggio condotto a settembre 2012, quasi un
proprietario di telefono cellulare su tre ha smarrito il suo
dispositivo o ne ha subito il furto.6 Anche se tentate di
salvaguardare le vostre app e le impostazioni del dispositivo,
quando lo smarrite le informazioni in esso contenute
possono ancora mettervi in una situazione spiacevole.
Questo discorso è ancor più valido in un mercato redditizio
basato sui dispositivi rubati e sulle informazioni che questi
contengono.7
5 http://www.pwc.com/sg/en/tice/assets/ticenews201208/consumerintelligence
201208.pdf
6 http://online.wsj.com/article/SB10001424052702303815404577334152199453024.html
7 http://online.wsj.com/article/SB10001424052702303815404577334152199453024.html
Contratti di licenza per utente finale (EULA) in costante
mutamento
Come specificato in precedenza, questi servizi online chiedono
all’utente di accettare il fatto che possono modificare in qualsiasi
momento il contratto EULA che li regolamenta, con o senza
notifica. Un tribunale ha rifiutato la richiesta avanzata da
Blockbuster.com, grande società di distribuzione di home video,
di utilizzare questa strategia per la sua informativa sulla privacy.8
Questo non ha tuttavia impedito ai servizi più diffusi di applicare
alcune riserve ai propri EULA che danneggiano la privacy degli
utenti.9 Se non avete letto i contratti EULA, non è da escludere
che stiate già consentendo agli sviluppatori di vendere le vostre
foto, tenere traccia delle vostre attività Web o di trasmettere le
vostre informazioni personali alle autorità.
Bring Your Own Device (BYOD)
Tre aziende su quattro consentono ai dipendenti di utilizzare
i propri dispositivi personali, quali laptop, netbook, smartphone
e tablet, per le attività lavorative.10 Con l’aumentare della tendenza
al BYOD, i criminali informatici non si lasceranno certo sfuggire
l’occasione di superare le vostre difese per accedere sia alle
informazioni personali che ai dati aziendali.
Il pericolo però non risiede solo nei criminali informatici. Il reparto
IT della vostra azienda può utilizzare un insieme di protocolli che
non fa distinzione tra dati di natura personale o professionale e
che consente ai tecnici IT di accedere alle vostre informazioni.
Il vostro dispositivo può essere utilizzato come prova in tribunale.
Potreste essere costretti a presentare il vostro dispositivo perché
venga esaminato, con tutte le informazioni contenute, anche
se solo le informazioni professionali sono pertinenti al caso in
discussione.11
8 http://www.jdsupra.com/post/documentViewer.aspx?fid=3897327d-161d-49df-b31c0b448bb1898a
9 http://business.time.com/2012/08/28/7-surprising-things-lurking-in-online-terms-of-serviceagreements/
10 http://www.trendmicro.co.uk/media/report/consumerization-exec-surveys-decisive-analyticsit.pdf
11 http://consumerization.trendmicro.com/consumerization-byod-privacy-personal-data-loss-anddevice-seizure/
Perché?
È una questione
di soldi
Il crimine informatico ha un solo obiettivo: il denaro.
I dispositivi mobili non sono altro che uno strumento
per i criminali informatici. Guadagnano sottraendo le
informazioni memorizzate su smartphone e tablet e
individuando sistemi per trarne un profitto.
E così, ogni volta che un criminale informatico si
impossessa di informazioni sul vostro conto o sulle
organizzazioni che rappresentate, vengono messi
in gioco non solo i vostri dati ma anche la vostra
reputazione. Esistono minacce informatiche, come
lo strumento di rilevamento SMS per Android, che
rubano i messaggi SMS privati e li caricano su un
server remoto.
Ciò che rischiate di perdere in caso di violazione della
sicurezza mobile dipende strettamente da come
utilizzate il dispositivo.12
12 http://about-threats.trendmicro.com/RelatedThreats.aspx?language=it
&name=PIXSTEAL+and+PASSTEAL+Sport+New+Ways+To+Steal+Data
E ora?
Rafforzare la privacy
Alla luce delle aree problematiche discusse, le violazioni
alla privacy mobile possono sembrare semplici per
i criminali informatici. Ciò nonostante, è possibile
adottare alcune misure per evitare di cadere vittime
di situazioni simili.
Seguite questa lista di controllo generica:
□□
□□
□□
□□
□□
□□
Controllate quante informazioni vengono condivise
dal vostro dispositivo modificando le impostazioni di
privacy e browser. In questo modo potete ritoccare le
impostazioni sulla condivisione di località e rete.
Attivate i blocchi dello schermo e modificate le
password ogni tre mesi per ridurre al minimo il rischio
di hacking.
Rimuovete dal vostro dispositivo fotografie, filmati
e file compromettenti e che vi creano imbarazzo.
Cancellate con regolarità la memoria cache del
browser mobile per evitare la fuoriuscita di dati nel
caso in cui una minaccia informatica tenti di sottrarre
informazioni dal vostro dispositivo.
Monitorate le impostazioni delle app e dell’account
per accertarvi che condivisione e connettività siano
sicure.
Regolate la crittografia dei dati del dispositivo
e configurate le vostre password.
Massima attenzione alle app
• Rimuovete le app non utilizzate.
• Selezionate quali app hanno davvero bisogno di accedere ai dati sulla
vostra posizione o alla rubrica.
• Utilizzate le impostazioni di navigazione private dei browser mobili o
delle app del browser, soprattutto per le transazioni bancarie sensibili.
Preparare il dispositivo a smarrimento o furto
• Prendete nota delle credenziali del vostro account o utilizzate un
gestore password efficiente in caso si renda necessario reimpostarle
a seguito dello smarrimento o del furto del dispositivo.
• Eseguite il backup dei file in-the-cloud. Trend Micro™ Mobile
Backup and Restore memorizza automaticamente le informazioni
insostituibili del vostro dispositivo senza consumare la batteria.
• Preparatevi a contattare le autorità, il fornitore di servizi e ogni
organizzazione interessata per evitare l’uso dannoso della vostra
identità e per bloccare gli addebiti sul vostro conto.
• Iscrivete il vostro dispositivo a un servizio remoto che vi consente
di trovarlo, bloccarlo o cancellarlo. Trend Micro™ Mobile Security
Personal Edition offre queste funzioni e impedisce la disinstallazione
senza password.
Cosa chiedere sugli accordi BYOD
• Siete costretti a produrre il vostro dispositivo personale per l’analisi
forense?
• Questa regola è valida anche per i dispositivi che condividete con altri
membri della vostra famiglia?
• Chi può accedere alle informazioni personali memorizzate nel
dispositivo?
• L’azienda può rintracciare la vostra posizione? In quali circostanze si
procede a questa misura? Siete costretti ad acconsentire? Vi viene
inviata una notifica se l’azienda procede a tale misura?
• Questi sistemi sono attivi anche al di fuori delle ore di lavoro?
• La vostra attività online personale viene monitorata e registrata?
• Queste informazioni vengono conservate se cambiate azienda?
TREND MICRO™
TRENDLABSSM
Trend Micro Incorporated (TYO: 4704; TSE: 4704), leader
globale nella sicurezza per il cloud, crea un mondo sicuro
nel quale scambiare informazioni digitali, fornendo a
imprese e utenti privati soluzioni per la sicurezza dei
contenuti Internet e la gestione delle minacce. Come
pionieri della protezione dei server con più di 20 anni
di esperienza, offriamo una sicurezza di punta per
client, server e in-the-cloud che si adatta perfettamente
alle esigenze dei nostri clienti e partner, blocca più
rapidamente le nuove minacce e protegge i dati in ambienti
fisici, virtualizzati e in-the-cloud. Con la tecnologia di
infrastruttura di sicurezza per il cloud computing leader del
settore Trend Micro™ Smart Protection Network™, le nostre
soluzioni e i nostri servizi bloccano le minacce provenienti
da Internet non appena si presentano. Supporto garantito
da oltre 1.000 esperti di minacce informatiche di tutto il
mondo.
TrendLabs è un centro di ricerca, sviluppo e
assistenza internazionale, con una capillare presenza
geografica, che garantisce monitoraggio delle
minacce, prevenzione degli attacchi e fornitura di
soluzioni immediate e trasparenti in modo costante.
Con i suoi oltre 1.000 esperti di minacce e ingegneri
dell’assistenza disponibili 24 ore al giorno nei
laboratori di tutto il mondo, TrendLabs consente a
Trend Micro di monitorare continuamente le minacce
in tutto il mondo; fornire dati in tempo reale per
rilevare, prevenire ed eliminare le minacce; ricercare
e analizzare le tecnologie per contrastare le nuove
minacce; rispondere in tempo reale alle minacce
mirate e consentire ai clienti di tutto il mondo di
limitare al minimo i danni, ridurre i costi e garantire
la continuità delle attività.
©2013 by Trend Micro, Incorporated. Tutti i diritti riservati. Trend Micro e il logo Trend Micro della sfera con il disegno di una T sono marchi o marchi registrati di
Trend Micro Incorporated. Tutti gli altri nomi di prodotti o società potrebbero essere marchi o marchi registrati dei rispettivi proprietari.