Oggi parliamo di giochi d’azzardo e aziende: vi chiederete cosa possano mai avere in comune e… a breve forse cambierete idea. Quanti dei vostri colleghi utilizzano, su dispositivi mobili aziendali, mobile app per giochi online? Quanti dei vostri colleghi sono al corrente dei potenziali rischi?
Un recente studio condotto dall’azienda di sicurezza Veracode ha analizzato numerose applicazioni per il gioco online installate sugli smartphone utilizzati da dipendenti delle aziende partecipanti alla sperimentazione e i risultati sono sconcertanti. Queste colorate applicazioni apparentemente innocue, infatti, rappresentano in realtà una grave minaccia per la sicurezza delle imprese.
Partiamo dal presupposto che qualunque applicazione mobile installata su un dispositivo mobile aziendale potenzialmente ne amplia la superficie di attacco e questo perché una falla in essa potrebbe essere sfruttata da un attaccante per accedere alle risorse dell’impresa.
I ricercatori della Veracode hanno scoperto un cospicuo numero di vulnerabilità critiche che potrebbero consentire ad un hacker di ottenere l’accesso al dispositivo mobile su cui sono in esecuzione e, attraverso essi, accedere alle email aziendali, alla cronologia delle chiamate e a qualsiasi tipo di dati presenti nei repository aziendali.
“Piaccia o no, i dipendenti delle aziendali installando applicazioni rischiose sui propri dispositivi mobili, aumentando la superficie di attacco dell’impresa mettendo a rischio i dati aziendali oltre che a compromettere la sicurezza dei dipendenti, soprattutto dell’alto management”, ha detto Teodora Titonis, VP sicurezza mobile di VeraCode.
Tra le app analizzate ve ne sono alcune in grado di verificare se il dispositivo mobile sia stato sottoposto a jail break o se abbia la possibilità di registrare video e audio. Peccato siano vulnerabili ad attacchi di tipo man-in-the-middle: proprio la possibilità di intercettare il traffico dati generato da queste applicazioni espone gli utenti al rischio di attacchi. Un hacker potrebbe “sniffare” il traffico per carpire informazioni sensibili, inclusi token di autenticazione a risorse interne dell’azienda e credenziali degli utenti. In un altro caso, un’applicazione di slot machine analizzata dai ricercatori di Veracode non implementava meccanismi di cifratura del traffico dati verso i propri server esponendo ancora una volta le informazioni dell’utente a forti rischi.
Gli esperti hanno constatato che circa dieci applicazioni di gioco avevano permessi di accesso al file system del dispositivo mobile ed erano in grado di aprire comunicazioni di rete con qualsiasi server. Cosa significa tutto ciò? Significa che queste applicazioni potrebbero essere potenzialmente manipolate per accedere ai file presenti sul telefonino (e.g. Documenti, immagini e video) e trasferirli al server di un malintenzionato che ha preso di mira l’azienda.
VeraCode non ha rivelato i nomi delle applicazioni di gioco, ma sappiamo che lo studio ha analizzato le seguenti app: Big Fish Casino, Gold Fish Casino Slots, GSN Casino, Heart of Vegas, Hit it Rich Casino Slots, Jackpot Party Casino, Slot Machines House of Fun, Slots Pharaohs Way, Texas Poker, Wonderful Wizard of Oz and Zynga Poker.
L’analisi ci dimostra come aziende e dipendenti debbano fare di meglio sotto il profilo della sicurezza. Nel caso specifico partire con l’adozione di una politica BYOD (Bring Your Own Device) per la gestione dei dispositivi mobili potrebbe mitigare sensibilmente la minaccia istruendo il personale all’utilizzo sicuro degli asset mobili aziendali. E potrebbe essere utile implementare anche una “lista nera” delle applicazioni che rappresentano una minaccia per l’azienda oppure utilizzare una soluzione Mobile Device Management (MDM) per la gestione degli smartphone in azienda e del software su essi installato.
Ancora una volta sottolineo l’esigenza da parte delle aziende di dover istruire i propri dipendenti sulle possibili minacce informatiche con apposite campagne formative, spiegando i pericoli e insegnando loro a difendersi.
Perchè non va mai dimenticato che la sicurezza del sistema azienda dipende da ciascuno dei suoi dipendenti!
Facebook Comments