sicurezza app

La sicurezza delle App ed i rischi associati al loro utilizzo

1380 0

In questo articolo affrontiamo il tema della sicurezza delle App e dei rischi associati al loro utilizzo.
Le App sono ormai parte integrante della nostra vita quotidiana ma il loro utilizzo comporta anche dei rischi: malware, phishing, vulnerabilità e pericoli per la privacy. È importante essere consapevoli dei rischi associati all’utilizzo delle app e adottare le opportune precauzioni per proteggere i propri dati e dispositivi.

Per un approfondimento sul tema e su tutti i rischi di fronte ai quali ci pone il mondo digitale, rimandiamo al volume di EPC Editore, “Cybersecurity per tutti” di Renato Castroreale.

Quello che installiamo sul nostro dispositivo è spesso poco sicuro, o poco sicuro è il modo in cui vengono trattati i nostri dati, o come noi stessi utilizziamo questi strumenti (come vedremo tra poco).
Intanto è bene dire che le App vanno scaricate dagli store ufficiali. No alle App scaricate per vie traverse, come da un qualsiasi sito web.

App gratuite e a pagamento

Oggi come oggi i videogiochi, perlomeno quelli per smartphone, sono gratuiti. Il pagamento inizia ad essere richiesto se durante il gioco desidero avere dei bonus che aumentano la mia capacità (vite incrementate, tempo incrementato, potenza incrementata, personaggi più performanti, ecc.).

Chi ha figli che giocano, sa che spesso questi chiedono ai genitori la possibilità di acquistare questi “bonus”, sentendosi perlopiù rispondere con un sonoro: “Non se ne parla neanche!”.
Ma i figli, che non si accontentano di questa risposta, cercano la soluzione on-line, e la trovano in siti che offrono versioni modificate dei loro giochi preferiti, con la possibilità di avere tutti i bonus immaginabili.

Scaricano quindi queste App modificate (modding, cracking, ecc.), senza sapere che le stesse installano insieme al gioco anche malware di varia natura (dai semplici keylogger, a software molto più pericolosi e complessi).

E da quel preciso istante parte la violazione dei dati personali, in questo caso magari anche di minori.
A volte poi i dispositivi sono condivisi in famiglia, e quindi…apriti cielo.

Non scaricate mai App al di fuori dal contesto di uno store sicuro, e siate certi che nessuno della vostra famiglia lo faccia.

Sicurezza delle App: come sceglierle

Vi siete mai chiesti perché molte App non fanno ciò che promettono?
Se vi viene in mente una qualsiasi necessità, come ad esempio trasformare lo Smartphone in una livella, trovate sempre decine di App pronte all’uso in tutti gli store.
Normalmente cosa succede? Ne provate una decina prima di trovare quella “giusta”, quella che vi soddisfa pienamente, che fa quello che promette senza troppa pubblicità e sia semplice da usare.

Quali sono le finalità delle App?

Vi interrogherete sul come mai tante App non facciano quello che promettono.

Il motivo è semplice, queste App fanno esattamente quello per cui sono progettate, ossia:

  • ottenere il consento al trattamento dei vostri dati personali (in modalità che spesso sono assai vaghe);
  • ottenere che usiate l’accesso incrociato (Google, Facebook, ecc.), consentendo in forma continuativa l’accesso dei vostri dati (in modalità assai poco chiare).

In altre parole, voi pagate queste App con i Vostri dati, e peggio se anche le disinstallate ormai il gioco è fatto (il consenso resta e non lo leva nessuno). Tragico ma vero!

Parafrasando David Bowdich dell’FBI di Los Angeles (citato prima): «Fornendo legalmente l’accesso ai vostri dati vi auto procurate un duraturo disagio emozionale, nell’imbarazzo e nella sensazione di insicurezza, che questi dati vengano utilizzati in maniera fraudolenta».

Quali App scaricare

Come evitare tutto ciò:

  1. prima di installare qualsivoglia App dotate i vostri dispositivi mobili di una seria protezione antimalware, possibilmente a pagamento (quelle gratis fanno qualcosa ma non tutto ciò che serve);
  2. scegliete le App più scaricate;
  3. scegliete le App con le migliori recensioni (se qualcuno scrive “non fa quello che dicono” lasciate pure perdere);
  4. non usate mai l’accesso incrociato.

Quali consensi fornire?

Un’altra cosa che sicuramente dobbiamo imparare a fare è quella di leggere attentamente le informative ed i contratti che ci vengono proposti.

Un’informativa sulla privacy, o una “privacy policy”, è un documento o una dichiarazione che descrive come un’organizzazione raccoglie, utilizza, gestisce e protegge i dati personali degli utenti/clienti. Questo tipo di informativa è un requisito fondamentale per molte leggi sulla protezione dei dati, incluso ovviamente il Regolamento generale sulla protezione dei dati (GDPR)dell’Unione Europea.

L’informativa sulla Privacy

Nell’informativa sulla privacy, un’organizzazione dovrebbe fornire informazioni chiare e trasparenti in merito a:

  • Dati raccolti
  • Scopo del trattamento
  • Base giuridica
  • Condivisione dei dati
  • Sicurezza dei dati
  • Diritti degli utenti
  • Periodo di conservazione
  • Trasferimenti internazionali
  • Contatti utili

I contratti

Analogamente i contratti o altre forme di regolamentazione, forniscono informazioni specifiche e dettagli sull’uso dell’APP, sui pagamenti, e su tutte le altre questioni non strettamente correlate al trattamento di dati personali. Non per questo sono meno importanti dell’informativa: anzi!

Quindi anche in questo caso valutate molto bene cosa vi stanno proponendo.

Sicurezza delle App: come proteggere i nostri dati

So perfettamente, da assiduo utilizzatore di servizi ed App, che questo controllo preliminare costa tempo, impegno e fatica.

Ma so anche quanto tutto questo sia essenziale per mantenere un minimo di controllo sui nostri dati, e su ogni dettaglio che ci possa riguardare (come i pagamenti, tanto per citarne uno importante).

Quindi si tratta di una fatica necessaria, che con il tempo vi ripagherà abbondantemente in sicurezza.

Sicurezza delle App: un esempio

Quando ci facciamo un selfie davanti ad un software di AI, per modificarci i connotati nelle forme più disparate (ad ognuno la sua), stiamo trasferendo i nostri dati biometrici sui server del produttore dell’APP, il quale li userà secondo le condizioni di utilizzo che sono specificate quando scaricate ed attivate l’APP.

Ma noi le abbiamo valutate con attenzione?

Ricorderete l’APP “FaceApp”, che serve a invecchiarsi, a tingersi i capelli (o farli crescere nel mio caso dato che sono calvo) o ancora a vedere la propria versione al maschile o al femminile.
È stata scaricata (fonte Play Store, oltre 100 milioni di volte, ed ha 41 milioni di recensioni perlopiù molto favorevoli).
Per completezza è bene dire che l’APP prodotta nel 2017, sta vivendo con l’AI una seconda giovinezza.
Eppure, sono stati lanciati diversi allarmi relativi al fatto che questa App “rubi” (attenzione, con il nostro pieno consenso concesso senza criterio) i nostri dati biometrici.
Ci sono alcuni buoni motivi per evitare di usare quest’APP:

  1. i termini di utilizzo non sono chiari (semmai li leggeste);
  2. l’App è gestita in Russia, il che pone quantomeno degli interrogativi in merito al rispetto della privacy (non essendo soggetta alle regole europee del GDPR), infatti la stessa non propone neppure un’informativa degna di questo nome al momento del download;
  3. non sono dichiarate le finalità della raccolta dei nostri dati, con il rischio/certezza che, come minimo questi dati siano ceduti/veduti a “terzi”.

Alcune considerazioni

In merito al punto 2, rifletterei molto bene sull’opportunità di utilizzare un App russa, in questo particolare momento storico (perlomeno se sono occidentale e sono conseguentemente schierato, volente o nolente, con l’Ucraina).

Per completezza, la società sviluppatrice dell’APP è stata fondata a San Pietroburgo, ma risulta tuttavia registrata nel Delaware (SA). Dichiara il rispetto delle regole russe, ma sostiene di utilizzare i server Amazon. Dichiara che le immagini caricate dagli utenti vengono trasferite su server russi (non erano quelli di Amazon?), quindi modificate e rimandate al mittente pochi secondi dopo. Ma afferma anche che “la maggior parte del materiale” resta memorizzato sui server per 48 ore prima di essere cancellato.

Come non credere a questa società che offre risposte così chiare e trasparenti ai propri utenti?!

E questo è solo uno dei tanti esempi.

E infatti in vendita nel dark web ci sono “pacchetti” di dati personali di ogni natura, inclusi quelli biometrici, per qualche manciata di dollari.

Conclusioni

Abbiamo potuto vedere come le App possano essere soggette a vulnerabilità a cui non abbiamo mai neppure pensato.
Impariamo da questi esempi (che non sono esaustivi per altro), a proteggerci meglio quando le scarichiamo e le usiamo.

Consulta anche l’articolo:

La sicurezza degli Smartphone ed i rischi associati al loro utilizzo

Consulta il volume di EPC Editore

Renato Castroreale

Nato e cresciuto con l’informatica, si è occupato e tuttora si occupa di ICT in un importante gruppo torinese, dove attualmente ricopre il ruolo di CISO (Chief Information Security Officer) nonché di Responsabile dei Sistemi di Gestione Integrati. Grande esperto in materia, specializzato e certificato nei principali schemi di certificazione per la Cybersecurity, la Sicurezza Informatica e la Data Protection (privacy), effettua formazione e fornisce consulenza in questi ed altri ambiti presso primarie aziende italiane.

Renato Castroreale

Nato e cresciuto con l’informatica, si è occupato e tuttora si occupa di ICT in un importante gruppo torinese, dove attualmente ricopre il ruolo di CISO (Chief Information Security Officer) nonché di Responsabile dei Sistemi di Gestione Integrati. Grande esperto in materia, specializzato e certificato nei principali schemi di certificazione per la Cybersecurity, la Sicurezza Informatica e la Data Protection (privacy), effettua formazione e fornisce consulenza in questi ed altri ambiti presso primarie aziende italiane.