Android – primo trimestre 2018: una nuova app dannosa ogni 10 secondi!

G DATA teme che gli ultimi dati sul volume di malware riscontrato ai danni di Android siano il preludio di una crescente minaccia.

La sicurezza IT e Android potrebbero non escludersi più a vicenda nel 2018. Google ha già gettato le basi e vuole consegnare più velocemente gli aggiornamenti importanti agli utenti, in modo da colmare tempestivamente eventuali falle. Che sia necessario agire, a fronte del palesarsi dello spettro di una catastrofe in ambito mobile è ormai chiaro: dell’oltre 70% di utenti di dispositivi mobili che hanno preferito device Android in Italia (fonte Statcounter), solo una minima parte (6%) dispone della nuova release Oreo mentre oltre la metà degi consumatori si avvale di tablet o smartphone dotati di sistema operativo obsoleto. Gli esperti di sicurezza di G DATA vedono negli attuali volumi di malware indicatori di una minaccia più ampia. Nel solo primo trimestre, gli analisti hanno rilevato 846.916 nuovi malware per Android. Circa il 12 percento in più rispetto al primo trimestre del 2017.

Una media di 9.411 nuovi malware al giorno ai danni di Android, una nuova app dannosa ogni 10 secondi. Questi i risultati delle analisi del primo trimestre 2018. Anno per cui gli analisti G DATA prevedono circa 3,4 milioni di nuovi malware. Gli ultimi dati mostrano una crescente minaccia per gli utenti di dispositivi mobili. I criminali informatici sanno fin troppo bene che questi apparecchi tuttofare sono da tempo utilizzati per svolgere tutte le attività digitali, dallo shopping all’online-banking. Gli sviluppatori di Android fanno ogni sforzo per dotare tutti gli smartphone e i tablet di aggiornamenti in modo più efficace e tempestivo, essendo ormai chiaro che i dispositivi oggi all’avanguardia sono meno esposti agli attacchi poiché sono state chiuse numerose falle di sicurezza.

Google non certifica gli smartphone con Android obsoleto

Google non certifica più i dispositivi dotati di sistema operativo Android 7 (“Nougat”: in Italia in uso sul 36% dei dispositivi, ma uno su cinque monta ancora la versione 6 Marshmallow). La decisione non sorprende, poiché con “Project Treble” e altre misure la società sta già adottando strategie volte a convincere i produttori a dotare gli smartphone dell’ultima versione di Android in tempo utile.

Per i produttori, è molto importante che i loro dispositivi siano certificati. Questo è infatti l’unico modo per poter accedere ai Google Mobile Services, che includono tutti i servizi e le app firmate Google, incluso il Playstore. I requisiti richiesti ai produttori al fine di poter ottenere detta certificazione sono stabiliti nel cosiddetto “documento di definizione della compatibilità“.  Oggi smartphone e tablet devono essere forniti con Android 8. Ciò garantisce che “Project Treble” sia implementato su tutti i nuovi dispositivi. Ma i produttori hanno già trovato scappatoie? Questo è presumibile da un recente rapporto dei ricercatori dei Security Research Labs.

False informazioni sugli aggiornamenti di Android

Gli esperti di sicurezza criticano i produttori di smartphone perché a parer loro ingannano i clienti in merito agli aggiornamenti dei loro dispositivi e del sistema operativo Android installato. Risultano coinvolti oltre 1.000 smartphone, inclusi i dispositivi di noti produttori di fascia bassa e media. All’utente viene comunicato che il dispositivo ha ricevuto tutti gli aggiornamenti di sicurezza disponibili ed è aggiornato, quando, in realtà, non vi è traccia di alcun aggiornamento.

In diversi casi i produttori arrivano addirittura a modificare la data dell’ultimo aggiornamento senza offrire effettivamente nuovi contenuti. Gli utenti non se ne accorgono e ritengono che il loro dispositivo sia aggiornato e quindi sicuro.

L’assenza di aggiornamenti tuttavia non ha sempre luogo in malafede. Per alcuni produttori problemi di natura tecnica possono essere alla base di un processo di aggiornamento malfunzionante. Anche i processori integrati nei dispositivi sono critici: gli smartphone con chip Samsung, ad esempio, sono molto meno interessati da tale problematica rispetto ai dispositivi con processori di Mediatek. Il motivo: i produttori di smartphone si affidano ai fornitori di processori per le patch. Se i produttori di chip non consegnano, i fornitori dei dispositivi non possono pubblicare l’aggiornamento.

Il ruolo delle associazioni dei consumatori

In fase di acquisto, la questione degli aggiornamenti è foriera di confusione sia per gli utenti finali sia per i commercianti. Nel caso di smartphone di fascia bassa, a fronte di un prezzo ridotto gli acquirenti sono spesso pronti a scendere a compromessi con la qualità della fotocamera ad esempio. Tale informazione può essere facilmente reperita nella descrizione del prodotto. Ma non c’è modo di vedere quando, se o con quale frequenza il dispositivo sarà aggiornato. La maggior parte delle volte, c’è solo un riferimento alla versione del sistema operativo installato di fabbrica. Una carenza di informazioni che mette a rischio i consumatori.

A livello internazionale sono diverse le associazioni dei consumabori che anelano un cambiamento. L’anno scorso, ad esempio, l’associazione dei consumatori della Renania settentrionale – Vestfalia ha citato in giudizio un rivenditore di elettronica che offriva uno smartphone per 99 €. Già al momento della vendita, il dispositivo mostrava gravi vulnerabilità, era infatti equipaggiato con la versione 4.4 del sistema operativo Android obsoleto (“Kitkat”), introdotta per la prima volta sul mercato nel 2013.

Nonostante le notifiche dello stesso Ufficio Federale per la Sicurezza delle Informazioni (BSI) tedesco del 2016, il produttore del dispositivo non ha mai fornito alcun aggiornamento. Nonostante ci fossero gli estremi per denunciare Google quale sviluppatore di Android o il produttore del dispositivo mobile, l’associazione a preferito chiamare in giudizio il rivenditore, che, quale parte contrattuale immediata per i consumatori, ha il dovere di informare l’acquirente della presenza di falle di sicurezza non colmate (e incolmabili) nel nuovo dispositivo.

Continua a leggere →

3 maggio: giornata mondiale delle password

Quest’oggi gli utenti di internet sono chiamati a verificare l’effettivo livello di sicurezza dei propri account online e delle password impiegate.

Istituita nel 2013, la giornata mondiale delle password ricorre annualmente ogni primo giovedì del mese di maggio. Una password «robusta» è importante per evitare che terzi non autorizzati ai servizi online. Ecco come ottenere un buon livello di sicurezza di password e identità digitali secondo G DATA.

Le password testuali, come impiegate per accedere ai social network o ai siti di shopping online, sono e saranno una componente essenziale per proteggere la propria identità digitale contro l’accesso indesiderato da parte di terzi. Da anni gli esperti di sicurezza informatica cercano di dare risposte ai quesiti su come rendere una password davvero “robusta”. Qualche tempo fa i ricercatori erano d’accordo sul fatto che una password debba constare di almeno otto caratteri e non debba contenere parole di uso quotidiano o sequenze di caratteri facili da indovinare. Questo quanto riportato ancora oggi nelle linee guida di Google sulla protezione degli account. Lo United States Computer Emergency Readiness Team (US-CERT) aggiunge che l’utente dovrebbe avvalersi di password diverse per ogni singolo account. Le password rispettare peraltro una serie di parametri complessi come la presenza di caratteri speciali o cifre oltre alle lettere (maiuscole e minuscole s’intende). Se, come annovera lo studio „Observing passwords in their natural habitat“, ogni persona possiede in media credenziali di accesso per 26,3 diversi siti e utilizza nell’80% dei casi sempre la stessa password, a volte con minime variazioni, la dicotomia tra teoria e pratica è più che evidente. A dire il vero, chi riesce a ricordarsi password sufficientemente complesse e uniche per ogni portale?

Sette consigli per una migliore protezione della propria identità digitale 

• Un plugin per gestire le password è utile: Se si impiegano password diverse per accedere ai singoli portali è davvero facile dimenticare quale si utilizza per quale account. Con un password manager, come quello integrato in G DATA Total Security, si risolve il problema. Dopo l’installazione il password manager compare come icona nel browser e registra tutte le credenziali di accesso immesse nei siti. Tutte le password sono archiviate in una cassaforte cifrata accessibile tramite immissione di una parola d’ordine “master” che sarà anche l’unica da ricordare.

• La lunghezza della password è determinante: A dispetto di molte raccomandazioni del passato pare che al momento si stia imponendo l’approccio secondo cui la lunghezza di una password risulta più importante della sua complessità. Una password può contenere X caratteri speciali, cifre, maiuscole e minuscole, ma – di fatto – più lunga è più elevato sarà il numero di varianti che un potenziale attaccante dovrà considerare.Esempio: Una password con sei lettere minuscole genera circa 309 milioni di potenziali combinazioni. Sembra un’enormità ma un computer moderno impiega circa sette secondi per passarle al setaccio. Sessantasei anni invece semplicemente raddoppiandone la lunghezza a dodici caratteri.

• Utilizzare frasi piuttosto che parole: Avvalersi di una singola parola come password non è una protezione sufficiente. Password come «calcio1234» o «password+» sono facilmente hackerabili. Ideale invece l’utilizzo di frasi non reperibili in alcun dizionario ma facili da ricordare. Il motivo: per identificare un’eventuale frase più facilmente i cybercriminali utilizzano combinazioni di parole statisticamente probabili, cosa che vanifica i benefici dell’uso di una frase, qualora molto nota o utilizzata.Esempio: Una frase da impiegare come password su può generare facilmente da „in termini di sicurezza sono una password robusta”. Molti non sanno che è possibile utilizzare anche gli spazi in una password. Con lievi modifiche ecco un’ottima passphrase: „!n t3rmini d! 5icure77a sono 1 PassWord r0bust@.“

• Modificare le password in modo corretto: Se si cambia la password, quella nuova non deve essere una derivazione di quella vecchia. Molti utenti si limitano ad aggiungere la cifra corrispondente al mese o all’anno o il numero successivo a quello già impiegato. Altri utenti modificano una password inizialmente robusta semplificandola per maggior comodità. In generale si raccomanda di modificare una password solo se richiesto dal sito, se un estraneo ha visto l’utente digitare la password o se viene reso noto che un portale sia stato attaccato. E’ possibile verificare se una banca dati e quindi la propria sicurezza è stata compromessa sul sito “Have I Been Pwned“.

• Aggiornamento immediato: Se si intende proteggere il proprio computer o smartphone, gli aggiornamenti di sicurezza sono assolutamente cruciali, specie a fronte delle vulnerabilità Meltdown e Spectre. In generale si raccomanda di mantenere sempre aggiornati i sistemi operativi, le applicazioni / app in uso e di installare gli aggiornamenti non appena disponibili.

• Autenticazione a due fattori: Gli utenti dovrebbero preferire l’autenticazione a due fattori ovunque sia disponibile. Facebook, LinkedIn, Dropbox, Google, PayPal e altri grandi operatori offrono da tempo questa possibilità.

• Protezione antivirus aggiornata: Desktop, notebook, smartphone e tablet dovrebbero essere sempre dotati di una protezione antivirus aggiornata. Soprattutto si sottovalutano i rischi a carico dei dispositivi mobili ritenendo erroneamente che tali apparecchi non possano essere sfruttati per attività criminali. Un errore di valutazione da correggere quanto prima. 

Continua a leggere →

San Valentino 2018: cari e pericolosi auguri dal darknet

Tra spam, scam e dirottamento delle transazioni online, ecco i tipici trucchi dei cybercriminali per San Valentino.

Bologna – Per San Valentino saranno innumerevoli le rose, i profumi o altri regali scambiati tra gli innamorati e i messaggi di auguri amorevoli inviati tramite posta elettronica o messaggistica istantanea, un’abitudine di cui approfittano anche i cybercriminali, agguerriti più che mai nell’intento di alleggerire il portafoglio degli utenti o di trafugare dati sensibili. Per raggiungere il loro obiettivo utilizzano esche quali email su presunte occasioni regalo imperdibili e messaggi di auguri elettronici che spesso contengono link a siti manipolati o allegati pericolosi. G DATA spiega i trucchi dei truffatori e spiega come assicurarsi una sicura giornata degli innamorati.

„I cybercriminali utilizzano di proposito ricorrenze speciali e festività per mettere in atto i loro piani” spiega Tim Berghoff, Security Evangelist di G DATA. “Gli autori di queste truffe mirano ai dati personali, ai dati di accesso ai conti bancari o delle carte di credito. Fa parte del repertorio criminale anche il furto diretto tramite offerte poco serie”.

I tipici trucchi di San Valentino

La presunta “occasionissima” è spesso una trappola

Sono molte le coppie che si scambiano regali a San Valentino. Spesso tali regali vengono acquistati online. Gli account email vengono sommersi da messaggi di posta elettronica con offerte a prezzi ridicoli, spesso copiando il layout di mail legittime inviate da aziende note e affidabili. L’utente che acquista dando seguito a questo genere di messaggio ha un’altissima probabilità di ricevere un prodotto falso o di non riceverlo affatto, nonostante il pagamento sia stato effettuato con successo.

Auguri amorevoli dal risvolto sgradevole

In molti apprezzano gli auguri inviati tramite mail o messaggistica istantanea. Anche i cybercriminali, che li sfruttano per inviare presunti auguri con allegati malevoli. Non si tratta solo di cartoline elettroniche, ma anche di messaggi inviati ad utenti sprovveduti sui social network. Questi contengono spesso link abbreviati, indecifrabili, che rimandano ad un sito web malevolo, così da infettare computer o dispositivi mobile, idealmente in modalità “drive-by”.

Come proteggersi

Oltre ai consigli già condivisi in altre occasioni, tra cui tenere aggiornati i sistemi operativi per chiudere le falle di sicurezza, cancellare immediatamente le mail di spam e svuotare il cestino, analizzare dettagliatamente un eventuale shop online poco noto consultandone note legali come termini e condizioni, e prestare attenzione agli URL abbreviati, G DATA raccomanda quanto segue:

• Pagamenti online: si, purchè sicuri: gli utenti dovrebbero impiegare l’autenticazione a due fattori sia per le piattaforme di pagamento online (per esempio PayPal), sia per le transazioni bancarie. Un’ulteriore livello di protezione è offerto dalla tecnologia G DATA BankGuard, disponibile nelle soluzioni di sicurezza G DATA per PC e smartphone
• Attenzione ai messaggi di contatti Social sconosciuti: gli utenti dovrebbero prestare particolare attenzione quando ricevono messaggi di presunti auguri per San Valentino da contatti social che non conoscono. Come per le mail di spam, anche questi messaggi vanno eliminati immediatamente, senza cliccare su alcun link poiché potrebbe puntare a pagine web con codici malevoli.
• Regalatevi sicurezza: Dotarsi di una suite di sicurezza valida e affidabile risulta essenziale affinchè gli acquisti di San Valentino siano – oltre che romantici e sentiti – anche sicuri. L’occasione perfetta in questo caso è offerta da GDATAStore di OA Service dal 9 al 16 febbraio.

Continua a leggere →