Vulnerabilità su Whatsapp. E ora?

Una vulnerabilità scoperta recentemente nel popolare servizio di messaggistica di Facebook, WhatsApp, ha permesso agli aggressori di installare uno spyware su un dispositivo semplicemente effettuando una chiamata WhatsApp. Lo spyware, noto come Pegasus, è stato creato dal gruppo NSO e consente agli aggressori di accedere a una notevole quantità di dati su un dispositivo infetto, e di ottenere il controllo della telecamera e del microfono. Oltre ad aggiornare l’app per porre rimedio a questo problema, come possono le aziende prepararsi alla prossima grande vulnerabilità mobile?

La recente vulnerabilità di WhatsApp è incredibilmente semplice: permette ad un utente malintenzionato di installare uno spyware su un dispositivo facendo una chiamata WhatsApp, e la vittima non ha nemmeno bisogno di rispondere alla chiamata. Una volta installato, questo spyware può:

Accendere la fotocamera e il microfono di un telefono cellulare
Scansionare gli e-mail e messaggi
Raccogliere i dati di localizzazione GPS di un utente

Secondo Mike Campin, VP of Engineering di Wandera, questo nuovo tipo di attacco è profondamente preoccupante, data la popolarità globale di WhatsApp tra oltre 1,5 miliardi di utenti.

“Anche se WhatsApp non viene generalmente utilizzato come app ufficiale di messaggistica aziendale, è ampiamente usato a livello internazionale sui dispositivi personali dei dipendenti e sui dispositivi aziendali”, ha detto Campin. “E una volta sfruttato tramite questo nuovo attacco, l’aggressore ha il controllo completo e la visibilità di tutti i dati sul telefono”.

Le correzioni sono state implementate sotto forma di aggiornamenti dell’app attraverso l’App Store di Apple e il Google Play store, la notizia ha ricevuto un’ampia copertura da parte della stampa e Wandera ha informato i suoi clienti della vulnerabilità e delle misure per porvi rimedio.

Tuttavia, un’analisi condotta del nostro team di ricerca sulle minacce ha dimostrato che in numerosi dispositivi dei nostri clienti erano ancora in esecuzione versioni esposte di WhatsApp diverse settimane dopo che la vulnerabilità è stata scoperta.

Come ha osservato Campin, questa vulnerabilità rappresenta una vera e propria minaccia per le aziende che utilizzano Internet in mobilità, dato che la maggior parte dell’uso di Internet oggi è su dispositivi mobili.

Questo solleva un’interessante domanda: perché così tante aziende sono state lente nell’affrontare il problema?

Il quadro generale

Anche se questa vulnerabilità ha attirato di recente molta attenzione, è solo l’ultimo promemoria per i team IT e gli utenti che devono rimanere vigili quando si tratta di minacce mobili.

“Tenete presente che questa non è la prima volta che la sicurezza di WhatsApp viene messa in discussione”, ha detto Campin. “Abbiamo assistito a recenti episodi di ‘whishing’ – messaggi di phishing su WhatsApp – che sono stati lanciati per ingannare gli utenti. La crittografia ‘end-to-end’ di WhatsApp non dovrebbe certamente essere confusa come garanzia di sicurezza delle comunicazioni”.

Le nuove vulnerabilità mobili vengono alla luce così frequentemente che i team di sicurezza non possono aspettare che gli sviluppatori risolvano ogni problema. Quando una vulnerabilità viene scoperta e risolta, gli hacker hanno spesso avuto una notevole finestra di tempo per effettuare attacchi ed estrarre i dati aziendali.

WhatsApp è generalmente considerata una piattaforma “più sicura” perché utilizza la messaggistica crittografata, ma, come dimostra questo recente caso, non è una soluzione a prova di errore. In realtà, nessuna soluzione è sicura al 100%, ma ci sono iniziative proattive che le aziende possono adottare per ridurre i rischi e proteggere i propri utenti e informazioni.

Mitigare i rischi:

Istruire e comunicare agli utenti finali i modi corretti di utilizzare i dispositivi mobili per scopi aziendali, compresa l’importanza di mantenere aggiornati i sistemi operativi e le applicazioni, nonché applicare le best practices di sicurezza
Utilizzare una soluzione MTD (Mobile Threat Defense) per proteggere i dispositivi e le reti da minacce malware note e dagli attacchi di social engineering.
Rivedere le politiche aziendali in merito alle app che i dipendenti possono utilizzare per scopi lavorativi e limitare l’uso di app non essenziali sui dispositivi aziendali. In definitiva, scoprire le vulnerabilità e correggerle è come una corsa agli armamenti tra sviluppatori e aggressori: meno app non essenziali sui dispositivi aziendali, minore è il rischio che una di esse presenti vulnerabilità scoperte dagli hacker ma non ancora corrette.

Il rimedio per WhatsApp

Oltre a prepararsi alla prossima grande vulnerabilità, questa di WhatsApp rappresenta ancora un grosso rischio per le aziende con utenti che hanno ancora installato versioni obsolete dell’app sui dispositivi che utilizzano per scopi lavorativi.

Wandera identifica e contrassegna automaticamente tutti i dispositivi che hanno una versione vulnerabile e obsoleta di WhatsApp. Per le aziende che vogliono affrontare questo problema, di seguito sono riportate alcune delle misure suggerite per porre rimedio a questa vulnerabilità e proteggere gli utenti e i dati, oltre ad azioni a lungo termine per prepararsi a scenari futuri come questo.

Cosa devono fare i team IT in questo momento

Fare un inventario di quanti utenti hanno attualmente una versione obsoleta di WhatsApp installata sui propri dispositivi per valutare le potenziali vulnerabilità (per i clienti Wandera, questo può essere fatto attraverso il portale RADAR di Wandera accedendo a App Insights nella scheda Security, cercando WhatsApp e facendo clic su Detailed View. Questo mostrerà quali versioni di WhatsApp sono installate sui dispositivi).
Informare il proprio staff di installare le ultime versioni di WhatsApp dall’App Store di Apple e da Google Play (se i dispositivi mobili vengono gestiti utilizzando un EMM o UEM, si potrebbe utilizzare tale soluzione per aggiornare l’app su tutti i dispositivi gestiti. Si sconsiglia vivamente di utilizzare le versioni di WhatsApp ottenute da fonti non ufficiali).
Accertarsi che siano attivi i blocchi di rete su siti potenzialmente pericolosi in modo da garantire che i comandi, il controllo e l’estrazione dei dati sia bloccato (per i clienti Wandera è possibile farlo attraverso il portale RADAR accedendo a Policy > Security Policy nel menu a sinistra).

Fonte: Wandera

Il mio telefono è più sicuro del mio computer?

Da WannaCry a NotPetya, le violazioni della sicurezza stanno diventando notizie sempre più comuni. Ma la grande domanda è: da dove vengono queste violazioni? E siamo più vulnerabili su desktop o sui dispositivi mobili?

Guardando più da vicino alcune recenti violazioni della sicurezza, la maggior parte (tra cui WannaCry) è derivata da attacchi che hanno come obiettivo i desktop. Questi attacchi spaziano dallo sfruttamento delle vulnerabilità integrate, all’infiltrazione tramite software obsoleti, al semplice errore umano.

La maggior parte delle violazioni dei dati tendono ad avere origine all’interno del sistema operativo Windows, ed è qui che si concentra l’attività della sicurezza informatica. Un rapporto di Business Insider Intelligence del 2016 ha stimato che tra il 2015 e il 2020, sarebbero stati spesi $ 386 miliardi per iniziative di sicurezza per proteggere i PC. Il rapporto prevedeva che, nello stesso periodo di tempo, sarebbero stati spesi 113 miliardi di dollari per proteggere i dispositivi mobili.

I desktop sono meno sicuri?

Quando Windows è stato sviluppato per la prima volta, è stato creato per un PC standalone. Non è stato creato pensando al mondo connesso. Di conseguenza, il sistema operativo aveva buchi di sicurezza e molti di questi si sono trascinati fino ad oggi. I progetti per Mac OS e Linux erano basati su un sistema multiutente in rete e tendono a essere più sicuri di Windows, che funziona sull’86% dei computer del mondo.

Per risolvere i problemi di sicurezza di Windows, quasi tutte le aziende hanno varie forme di software anti-virus, firewall e web gateway sicuri per proteggere i dati sensibili. Anche molti proprietari di PC personali che utilizzano Windows utilizzano una qualche forma di software anti-virus per proteggere i loro laptop e desktop.

Fatti vs sensazioni

Un altro elemento che alimenta il fatto che i desktop siano meno sicuri è l’esperienza. Molti di noi hanno avuto a che fare con un virus o qualche forma di malware sui nostri computer. Tuttavia, pochi di noi hanno avuto la stessa esperienza con i nostri telefoni. Questo crea l’idea che non dobbiamo preoccuparci delle minacce alla sicurezza sui nostri dispositivi mobili nello stesso modo in cui ci preoccupiamo di quelle sui nostri desktop.

I dispositivi mobili sono effettivamente più sicuri?

In termini di come sono stati fatti, sì. Smartphone, tablet e altri dispositivi portatili non sono stati progettati solo per un mondo connesso, ma progettati da sviluppatori che hanno applicato le lezioni apprese dai desktop che li hanno preceduti. I dispositivi mobili hanno iniziato con un modello di sicurezza integrato molto diverso rispetto al sistema operativo Windows originale, che aveva pochissima sicurezza.

Ma solo perché i dispositivi mobili sono stati creati per essere più sicuri, non significa necessariamente che lo siano ancora.

Il fattore umano

In realtà non è possibile che tutto sia sicuro al 100%, specialmente se consideriamo il fattore umano. Siamo ancora abbastanza spesso l’anello debole della catena. Non importa quanta formazione riceve qualcuno, le persone commettono errori. Dal mancato aggiornamento del software, al clic sui link di phishing o alla semplice perdita di dispositivi, l’errore umano può rendere anche il sistema più sicuro suscettibile di violazione.

Interagiamo anche in modo diverso con i nostri dispositivi mobili rispetto a computer portatili o desktop. Quando si tratta di lavorare, molti dipendenti considerano i telefoni aziendali come dispositivi personali. Questo mix di lavoro e uso personale su un dispositivo può mettere a rischio i dati di un’intera azienda, anche se solo un dipendente cade vittima di un attacco.

È solo una questione di tempo

Dal momento in cui il primo iPhone è stato lanciato nel 2007 ad oggi, gli hacker sono diventati sempre più abili nel navigare tra i livelli di sicurezza esistenti per compromettere i dispositivi mobili. E la quantità di dati sensibili sui dispositivi mobili continua a crescere in modo esponenziale. Non solo riempiamo i nostri telefoni con immagini e video, ma anche informazioni altamente sensibili come dettagli bancari, accessi per account di social media e piattaforme di archiviazione basate su cloud come Dropbox.

A differenza dei computer desktop pesanti o anche dei portatili leggeri, i telefoni cellulari vivono nelle nostre tasche e borsette. In qualsiasi momento, stiamo trasportando dispositivi dotati di telecamere, microfoni e segnali GPS incorporati. Il desiderio degli hacker di accedere a questi dispositivi è ovvio.

Quindi quali sono i problemi di sicurezza per i dispositivi mobili oggi? Di seguito sono riportati i tipi di minacce a cui prestare attenzione.

Malware mobile

Gli aggressori si stanno continuamente innovando. La nostra ricerca mostra che il numero di malware dannosi destinati ai dispositivi mobili è più che triplicato nel 2016, provocando quasi 40 milioni di attacchi a livello globale. La Market Guide di Gartner del 2018 ha rivelato che ogni anno ci sono 42 milioni di attacchi di malware mobile.

L’opinione comune è che gli iPhone non siano sensibili al malware, in parte a causa del malinteso che i computer Mac siano più sicuri. In realtà, su iOS sono stati trovati numerosi tipi diversi di malware e i numeri sono in aumento (per ulteriori informazioni sulle minacce su iPhone, leggi il nostro post: Beware iOS users: malware is by no means an Android-only problem ).

I dispositivi Android sono altrettanto vulnerabili alle minacce, se non di più, e gli hacker sono stati rapidi a scoprire e sfruttare queste vulnerabilità (per ulteriori informazioni sulle minacce su Android, leggi il nostro post: “4 ways hackers are infiltrating Android phones with malware“).

Phishing

Il phishing è la minaccia più grande per i dispositivi mobili. Mentre gli schermi più piccoli rendono molto più facile perdere gli URL completi nelle finestre del browser, il consenso generale sul fatto che i dispositivi mobili siano più sicuri lascia molti utenti con la guardia abbassata e gli hacker ne approfittano.

I dati di IBM mostrano che gli utenti hanno tre volte più probabilità di essere vittime di un attacco di phishing su un dispositivo mobile rispetto a un desktop e che vengono create nuove pagine di phishing ogni 20 secondi. Anche gli attacchi stessi stanno diventando più sofisticati, con pagine che spesso si presentano come collegamenti legittimi da marchi noti. Ciò rende sempre più difficile per gli utenti distinguere tra ciò che è vero e ciò che è inganno. Poiché il 90% delle violazioni dei dati inizia con attacchi di phishing, la protezione dei dispositivi mobili sta diventando sempre più critica.

Quindi, abbiamo un falso senso di sicurezza quando si tratta di dispositivi mobili?

In breve, sì. I consumatori e le aziende pensano allo stesso modo che i dispositivi mobili siano sicuri e questo ci fa tornare alla questione dei fattori umani. Molti di noi non pensano nemmeno alla possibilità di minacce alla sicurezza sui nostri dispositivi mobili, e questa mancanza di consapevolezza è esattamente ciò che rende vulnerabili i dispositivi.

Uno studio del 2014 di Consumer Reports ha rilevato che oltre un terzo degli utenti mobili non implementava alcuna sicurezza sui propri dispositivi, con il 36% che utilizzava PIN a 4 cifre e solo l’11% utilizzava password più complesse.

Questa mentalità sta gradualmente cambiando man mano che sempre più utenti incontrano i link di phishing tramite SMS o messaggi di WhatsApp. Tuttavia, solo il 14% degli americani pensa che sia più importante che i propri dispositivi mobili siano dotati di una crittografia adeguata rispetto a quella dei loro laptop.

Le prove dimostrano che, sebbene i dispositivi mobili all’inizio potevano essere più sicuri dei computer desktop, il gioco è cambiato e gli hacker sono sempre più evoluti. Le minacce sono reali ed è necessario aver la consapevolezza di mantenere i dispositivi protetti.

Fonte: Wandera