Può il vizio del gioco mettere a rischio la sicurezza di un’impresa?

Oggi parliamo di giochi d’azzardo e aziende: vi chiederete cosa possano mai avere in comune e… a breve forse cambierete idea. Quanti dei vostri colleghi utilizzano, su dispositivi mobili aziendali, mobile app per giochi online? Quanti dei vostri colleghi sono al corrente dei potenziali rischi?

Un recente studio condotto dall’azienda di sicurezza Veracode ha analizzato numerose applicazioni per il gioco online installate sugli smartphone utilizzati da dipendenti delle aziende partecipanti alla sperimentazione e i risultati sono sconcertanti. Queste colorate applicazioni apparentemente innocue, infatti, rappresentano in realtà una grave minaccia per la sicurezza delle imprese.

PlayPartiamo dal presupposto che qualunque applicazione mobile installata su un dispositivo mobile aziendale potenzialmente ne amplia la superficie di attacco e questo perché una falla in essa potrebbe essere sfruttata da un attaccante per accedere alle risorse dell’impresa.

I ricercatori della Veracode hanno scoperto un cospicuo numero di vulnerabilità critiche che potrebbero consentire ad un hacker di ottenere l’accesso al dispositivo mobile su cui sono in esecuzione e, attraverso essi, accedere alle email aziendali, alla cronologia delle chiamate e a qualsiasi tipo di dati presenti nei repository aziendali.

“Piaccia o no, i dipendenti delle aziendali installando applicazioni rischiose sui propri dispositivi mobili, aumentando la superficie di attacco dell’impresa mettendo a rischio i dati aziendali oltre che a compromettere la sicurezza dei dipendenti, soprattutto dell’alto management”, ha detto Teodora Titonis, VP sicurezza mobile di VeraCode.

Tra le app analizzate ve ne sono alcune in grado di verificare se il dispositivo mobile sia stato sottoposto a jail break o se abbia la possibilità di registrare video e audio. Peccato siano vulnerabili ad attacchi di tipo man-in-the-middle: proprio la possibilità di intercettare il traffico dati generato da queste applicazioni espone gli utenti al rischio di attacchi. Un hacker potrebbe “sniffare” il traffico per carpire informazioni sensibili, inclusi token di autenticazione a risorse interne dell’azienda e credenziali degli utenti. In un altro caso, un’applicazione di slot machine analizzata dai ricercatori di Veracode non implementava meccanismi di cifratura del traffico dati verso i propri server esponendo ancora una volta le informazioni dell’utente a forti rischi.

app pokerGli esperti hanno constatato che circa dieci applicazioni di gioco avevano permessi di accesso al file system del dispositivo mobile ed erano in grado di aprire comunicazioni di rete con qualsiasi server. Cosa significa tutto ciò? Significa che queste applicazioni potrebbero essere potenzialmente manipolate per accedere ai file presenti sul telefonino (e.g. Documenti, immagini e video) e trasferirli al server di un malintenzionato che ha preso di mira l’azienda.

VeraCode non ha rivelato i nomi delle applicazioni di gioco, ma sappiamo che lo studio ha analizzato le seguenti app: Big Fish Casino, Gold Fish Casino Slots, GSN Casino, Heart of Vegas, Hit it Rich Casino Slots, Jackpot Party Casino, Slot Machines House of Fun, Slots Pharaohs Way, Texas Poker, Wonderful Wizard of Oz and Zynga Poker.

L’analisi ci dimostra come aziende e dipendenti debbano fare di meglio sotto il profilo della sicurezza. Nel caso specifico partire con l’adozione di una politica BYOD (Bring Your Own Device) per la gestione dei dispositivi mobili potrebbe mitigare sensibilmente la minaccia istruendo il personale all’utilizzo sicuro degli asset mobili aziendali. E potrebbe essere utile implementare anche una “lista nera” delle applicazioni che rappresentano una minaccia per l’azienda oppure utilizzare una soluzione Mobile Device Management (MDM) per la gestione degli smartphone in azienda e del software su essi installato.

Ancora una volta sottolineo l’esigenza da parte delle aziende di dover istruire i propri dipendenti sulle possibili minacce informatiche con apposite campagne formative, spiegando i pericoli e insegnando loro a difendersi.

Perchè non va mai dimenticato che la sicurezza del sistema azienda dipende da ciascuno dei suoi dipendenti!

Facebook Comments

Previous articleSoftware libero: quali vantaggi in termini di ROI?
Next articleFiat Chrysler US richiama più di 7mila Jeep per aggiornamenti anti-hacker
Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security. La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.” E' membro dei gruppi di lavoro del portale “The Hacker News" e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste. E' membro del gruppo Threat Landscape Stakeholder Group dell'agenzia ENISA (European Union Agency for Network and Information Security). Ha pubblicato due libri "The Deep Dark Web" e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

LEAVE A REPLY

Please enter your comment!
Please enter your name here