În ultimii ani s-a produs o adevărată revoluție a dispozitivelor mobile, ceea ce s-a transpus în creșterea exponențială a ratei de accesare a Internetului de pe un dispozitiv mobil față de accesarea de pe un sistem tip desktop. În afară de accesul la e-mail și documente, la rețele sociale și navigarea pe Internet, echipamentele mobile rămân principalul instrument de comunicare pentru voce și mesagerie, atât prin apeluri standard GSM, SMS cât și prin aplicații specializate, de obicei gratuite, așa cu sunt Skype, Viber sau WhatsApp. În fiecare lună, mii de aplicații mobile sunt lansate pe piață, iar totalul acestora pe piețele dedicate este estimat la aproape 6 milioane. Un studiu recent relevă că doar o treime din ele sunt supuse unor teste de reziliență la vulnerabilități. În plus, lipsa implementării unor măsuri minime de securitate pe tot parcursul ciclului de dezvoltare a aplicațiilor determină propagarea unor vulnerabilități care pot extinde suprafața de atac și gradul de expunere la ameninţări informatice.
Aplicaţiile, cele mai critice elemente
Dispozitivele mobile ne-au invadat viețile și nu există niciun aspect al societății care să nu fie influenţat de mobilitate: activități zilnice, sănătate, servicii bancare, afaceri etc.
Astfel, acestea devin din ce în ce mai mult unica interfaţă a vieții noastre cu mediul informațional și cu societatea în ansamblul ei. Această realitate aduce în atenţie două aspecte critice. Primul se referă la securitatea datelor personale și a dispozitivelor mobile. Malware-ul poate infecta dispozitivele personale, iar vulnerabilitățile pot fi exploatate de către un atacator pentru a facilita accesul nelegitim la acestea.
Al doilea aspect este legat de confidențialitatea vieții private. Multe date se pot „scurge” în mod „natural” către furnizori și companii care vând sau promovează nu doar dispozitivele mobile ci și diversele servicii adiacente. În majoritatea cazurilor, aceste companii și noi, în calitate de clienți, nu împărtășim aceleași interese.
Pe un dispozitiv mobil aplicațiile sunt, de fapt, cele mai critice elemente. Utilizatorii le instalează mai mult sau mai puțin voluntar (din ce în ce mai multe servicii sunt acum disponibile doar prin intermediul aplicațiilor mobile), iar acestea obțin mai mult sau mai puțin acces la sistemul de operare și la datele noastre. Totuşi există suspiciuni că aceste aplicaţii fac mult mai mult decât ceea ce se presupune că trebuie să facă.
Putem avea încredere în astfel de aplicații? O aplicație mobilă este „demnă de încredere” în conformitate cu un set minimal de cerințe de securitate dacă și numai dacă sunt îndeplinite următoarele condiții obligatorii:
– nu conține funcții ascunse;
– colectarea informațiilor despre utilizatori trebuie să fie motivată de funcționalități explicite;
– comunicațiile web care implică informații personale ale utilizatorilor trebuie să fie criptate;
– nu conține vulnerabilități cunoscute.
Cu toate acestea, aplicațiile mobile considerate „de încredere” propun un „târg” relativ „echitabil” utilizatorilor prin faptul că sunt oferite gratuit spre instalare în schimbul agasării utilizatorilor cu reclame și nu numai. În realitate, cu acordul celui care instalează astfel de aplicații, sunt colectate foarte multe informații personale cum ar fi locația, istoricul căutărilor online, lista de contacte, programul zilnic, identitatea și nu numai. Toate aceste informații personale sunt distribuite către terțe rețele de publicitate pentru crearea profilului de potențial client și personalizarea anunțurilor în funcţie de profilul indicat. Ceea ce se urmărește însă cu adevărat este obţinerea permanentă de date realizată prin intermediul aplicațiilor pentru dispozitive mobile și acceptarea de către utilizatori, în necunoștință de cauză, a acestui mod intruziv de marketing. Această „agresiune” constantă asupra datelor personale nu va dispărea în curând (poate niciodată) deoarece atât dezvoltatorii de aplicații cât și agențiile de publicitate sunt ghidați de interese și stimulente economice.
Implicațiile neglijenței
Aplicațiile mobile reprezintă principala atracție pentru infractorii cibernetici fiind folosite în proporție de 86% ca vectori de atac informatic. Pentru a avea o imagine fidelă a spectrului amenințărilor este important să observăm modul în care aplicațiile mobile pot compromite confidențialitatea datelor. O aplicație poate periclita securitatea datelor utilizatorilor în două moduri: prin acţiuni care compromit terminalele în scopul furtului datelor sensibile şi prin exploatarea vulnerabilităților amplificate de bug-urile de securitate ale aplicațiilor.
Pe lângă vulnerabilitățile legate de rețea, aspectele referitoare la sistemele de operare și malware-ul mobil reprezintă principalele amenințări legate de încălcarea confidențialității datelor mobile. 61% dintre aplicațiile mobile pentru Android și 36% dintre aplicațiile mobile pentru iOS trimit date către terți, iar, în majoritatea cazurilor, acestea sunt transmise prin intermediul unor algoritmi de urmărire și marketing incluşi în aplicații.
Datele vizate cu precădere sunt cele bancare, iar malware-ul „deghizat” este programat să „vâneze” credențialele utilizatorilor pentru accesul la serviciile bancare. Acest tip de malware colectează prin intermediul unor pagini web false date sensibile, apoi le trimite la distanță către un server de comandă și control. 83% din totalul de malware mobil are ca ţintă aplicațiile mobile, domeniu în care se preconizează că furtul de date va crește.
Malware-ul de tip ransomware și în general majoritatea tipurilor de malware dezvoltate pentru Android prezintă, în mod tipic, criteriile de definiție a malware-ului de tip troian: se răspândește prin deghizarea într-o aplicație legitimă.
Aplicațiile populare, cum ar fi jocurile sau cele legate de pornografie, sunt deseori alese pentru a crește probabilitatea ca victima să descarce malware-ul. În unele cazuri, pachetele malițioase poartă doar numele și iconița unei aplicații legitime, pe când în alte situații dezvoltatorii de malware preiau aplicațiile existente și adaugă cod malware păstrând funcționalitățile originale ale acestora. Pentru a răspândi aplicațiile compromise, dezvoltatorii de malware folosesc metode din ce în ce mai sofisticate cum ar fi criptarea și ascunderea codului malițios cât mai „adânc” în aplicație și uneori chiar prin mutarea pachetelor în foldere cu conținut media. Aplicațiile astfel compromise nu prezintă elemente care să indice și alte funcții ascunse, dar în realitate rulează cu funcționalități de decriptare, fiind în măsură să decripteze și să ruleze codul malițios. După instalarea cu succes, majoritatea malware-ului pentru Android „raportează” în mod constant unor servere de comandă și control informații despre dispozitiv (model, IMEI, setări de rețea etc.) iar, în unele cazuri, prin stabilirea unei conexiuni permanente cu serverele de comandă și control, atacatorii pot executa comenzi pe dispozitivele compromise creând rețele de tip botnet.
Protejarea dispozitivelor mobile
Pe măsură ce tehnologia evoluează și tot mai multe dispozitive sunt conectate la rețea, fie că ne referim la sisteme desktop, la dispozitive mobile sau la dispozitive IoT, în aceeași măsură se diversifică și se complică spectrul amenințărilor la nivel global. Metodele prin care utilizatorii pot securiza dispozitivele mobile pot fi, în primul rând, conștientizarea amenințărilor de tip ransomware și aplicarea unor mecanisme active și preventive de protecție. Printre cele mai importante metode active sunt evitarea magazinelor neoficiale de aplicații și obligativitatea instalării și actualizării constante a unei aplicații de securitate pe dispozitiv. Suplimentar, poate fi oportună realizarea unui back-up funcțional al datelor importante stocate pe dispozitiv.
Abstract
Mobile devices are present at all levels of modern society: daily activities, health, banking, business etc. Mobile apps can become the new attack vectors for cyber criminals who seek to exploit mobile security vulnerabilities. In order to have an accurate picture about the ever expanding mobile threat spectrum it is important to know that mobile apps can compromise personal data if they are not properly secured.
Autor: Teodor Mitrea, Departamentul Comunicații, Universitatea Tehnică din Cluj-Napoca
