News

Mobile Device Management per l'Enterprise

  • Home
    Home This is where you can find all the blog posts throughout the site.
  • Categories
    Categories Displays a list of categories from this blog.
  • Tags
    Tags Displays a list of tags that have been used in the blog.
  • Login
    Login Login form

Configurazione dei permessi delle APP, trasparenza e sicurezza. Cosa ci dice Wandera!

Posted by on in Mobile Device Management
  • Font size: Larger Smaller
  • Hits: 542
  • Subscribe to this entry
  • Print

Chi non ha delle APP installate sul proprio dispositivo? Quanti le hanno opportunamente configurate? Quanti sanno di essere diventati completamente trasparenti e di avere accettato una schiavitù volontaria? Quanti sono consapevoli dei rischi a cui vanno incontro e di quelli che fanno correre alle loro aziende?

Le piattaforme digitali, nella forma di APP, chiedono ai loro frequentatori e utenti di essere completamente trasparenti. Lo fanno perché sono alla costante ricerca di dati e informazioni da usare per scopi marketing, commerciali e di profitto. La trasparenza richiesta è radicale e pone problemi reali, anche etici, sul trattamento dei dati e sul rispetto della privacy delle persone. Viene però proposta all'utente come un suo personale vantaggio, legato alla sua identità digitale e alla sua vita da cibernauta online.

L'idea dei grandi produttori di APP, ad esempio Facebook, è stata furba e mirata a far sentire l'utente, preoccupato per la sua privacy, come un essere antiquato, fuori dal tempo e incapace di trarre beneficio dalle meraviglie della tecnologia. L'obiettivo della trasparenza è una sola, profilare l'utente in modo da poter seguire le sue tracce online, ovunque esso/a vada e in ogni momento con l'obiettivo di raccogliere informazioni e dati esperienziali da usare per scopi tenuti artatamente nascosti all'utente finale. Un utente diventato un pesce dentro un acquario mondo che lo contiene e lo fa sentire coccolato, esattamente come si sentono coccolati i tanti pesciolini esotici che non sanno di essere osservati e in futuro anche mangiati o venduti.

b2ap3_thumbnail_83.jpg

Obiettivi e scopi delle applicazioni che miliardi di persone oggi utilizzano sono sempre più chiari e percepiti anche nel loro scarso rispetto della privacy e della sicurezza di chi le usa. La percezione di questa realtà non si traduce però automaticamente in maggiore consapevolezza sui rischi che si corrono e sulle conseguenze che ne potrebbero derivare. La mancata percezione è evidenziata da quanto poca attenzione venga prestata alla configurazione dei parametri che per ogni APP serve a limitare la trasparenza e a impedire, per quanto sia concesso e possibile, la mietitura costante dei dati personali.

La pervasività dei dispositivi mobili e gli automatismi che li caratterizzano, ormai trasformatisi in veri e propri rituali, portano milioni di persone a scaricare dagli store online, spesso compulsivamente e ossessivamente, applicazioni come se prendessero dei caffè. Nel farlo prestano poca o nessuna attenzione ai permessi che stanno regalando a queste APP che, per il solo fatto di essere state scaricate su un dispositivo, sono in grado di cominciare il loro raccolto di dati e informazioni. Il tutto è rapido, trasparente, indolore e capace di sfruttare al meglio il desiderio dell'utente di provare nuove fantastiche funzionalità dal fargli/le dimenticare che prima dovrebbe preoccuparsi di definire adeguatamente i perimetri della propria privacy, proteggendo dati, informazioni, comportamenti ed esperienze online. I produttori di APP sono abilissimi nel gestire le emozioni di chi le scarica e nel far loro dimenticare che prima di agire si può anche pensare, riflettere, porsi delle domande e, trovate le risposte soddisfacenti, eventualmente agire.

Una domanda da porsi ad esempio è se e quanto una semplice e innocua APP sia in grado di alterare la vita di una persona o farlo più di quanto non si possa immaginare. Una semplice risposta affermativa o un minimo dubbio potrebbe servire a riflettere sulle motivazioni che hanno portato a scegliere una applicazione da scaricare e alla procedura seguita per installarla sul proprio dispositivo. Riflettere sulla procedura può far scoprire di avere saltato inavvertitamente o colpevolmente alcuni passaggi, ad esempio quelli che dovrebbero servire per definire permessi e livelli di privacy sull'uso delle informazioni che verranno generate dall'uso dell'APP. Una piccola svista dalle conseguenze imprevedibili, sia per la privacy individuale ma forse anche per la sicurezza dei dati da potenziali predatori futuri. Predatori interni come i produttori delle APP ma anche esterni, cybercriminali che possono entrare in possesso delle informazioni per perpetrare e portare a compimento i loro attacchi.

b2ap3_thumbnail_bkgd.jpg

Le APP non sono tutte uguali, vero?

Le APP di qualità vengono in genere percepite come sicure e rispettose della privacy. Crederlo conviene e rientra in una servitù volontaria alla quale molti si sono oggi assuefatti, per pigrizia, superficialità e sprovvedutezza. Con milioni di APP disponibili la tranquillità è un lusso a cui non bisogna rassegnarsi. Sicuramente alcune APP rispettano la Privacy e hanno una strategia legata alla trasparenza diversa da quella di piattaforme come Facebook, ma la maggioranza delle APP non lo fa, in particolare tante APP che se ne stanno pericolosamente in attesa dentro gli store di Google Play o dell'APP Store.

Molte di queste APP possono essere facilmente compromesse, infettate, sia dagli sviluppatori stessi sia da cybercriminali che possono sfruttare le vulnerabilità del software per introdurre malware o altro codice pericoloso. Questa realtà, che dovrebbe essere nota a tutti, non è in realtà percepita nel modo adeguato. La controprova di ciò si ha osservando quanta poca attenzione venga prestata dall'utente alla configurazione delle sue APP in modo da definire con accuratezza il livello di trasparenza e di visibilità dei dati e delle informazioni di sua pertinenza. La scarsa attenzione denota molta distrazione, tanta colpevole innocenza e anche grande stupidità. Su queste manchevolezze ed elevata passività degli utenti investono tutti coloro che oggi sono a caccia di dati e informazioni e anche coloro che tramite di esse possono tentare di accedere a beni più tangibili come conti correnti e altri asset monetizzabili online.

Cosa sono i permessi da configurare in ogni APP?

Ogni APP ha dei permessi da settare o bloccare. Se non si conoscono si rischia di evitarli in modo superficiale, se non si capiscono quando vengono proposti si rischia di non gestirli o configurarli.

La prima cosa da sapere e che i permessi da assegnare a ogni APP servono a definire con precisione ciò che l'applicazione può scaricare dal dispositivo dell'utente. La prima cosa da sapere è che questi permessi non sono opzionali. Se non si interviene quando l'APP viene scaricata acquisirà permessi completi per scaricare tutti i dati che è stata preparata a scaricare. Le APP scaricate da Google Play ad esempio propongono sempre una finestra pop-up per chiedere il settaggio dei permessi. Il più delle volte l'utente non legge quanto viene mostrato a video e/o semplicemente passa alla fase successiva per potere usare al più presto l'applicazione che sta scaricando. Comportamento molto sbagliato perché denso di potenziali rischi o perdite di dati future. Comportamento ancora più sbagliato se il dispositivo usato è anche utilizzato per attività aziendali e/o professionali. Per le aziende inoltre la superficialità o scarsa percezione di rischi da parte dell'utente-dipendente complica una realtà già di per sé complicata dal fatto che è molto difficile monitorare ogni singolo permesso concesso ad ogni APP scaricata sui numerosi dispositivi in uso nell'organizzazione.

b2ap3_thumbnail_casca3.jpg

Quali sono i permessi da configurare su un dispositivo Mobile?

Per capire quanto sia importante intervenire sulla configurazione dei permessi (granting permissions) proviamo ad analizzare quelli che andrebbero settati sulle APP della piattaforma Android.

Per farlo facciamo riferimento al lavoro di analisi condotto da Wandera, una società leader nel mercato della sicurezza Mobile e le cui soluzioni sono distribuite in Italia da CleverMobile Distribution. L'analisi di Wandera ha portato ad identificare 20 permessi solitamente proposti dalle APP Android. Per Wandera il 45% di essi, pur percepibili come standard e senza effetti, vanno considerati ad alto rischio.

Ecco quali sono:

  1. android.permission. INTERNET: presente nel 90% delle APP, permette alle APP di creare meccanismi per usare i protocolli della Rete e mandare dati su Internet
  2. android.permission. ACCESS_NETWORK_STATE: presente nell'86% delle APP, permette alle APP di avere visibilità sulle connessioni di rete attive
  3. android.permission. WRITE_EXTERNAL_STORAGE: presente sul 68% delle APP e altamente rischioso, permette alle APP di modificare o cancellare dati su supporti SD
  4. android.permission.WAKE_LOCK: presente sul 62% delle APP, impedisce al dispositivo di mettersi nella situazione di riposo (sleep)
  5. android.permission. ACCESS_WIFI_STATE: presente nel 45% delle APP, permette alle APP di catturare informazioni sulle reti Wi-FI
  6. com.google.android. c2dm.permission.RECEIVE: presente sul 44% delle APP, permette di usare dati presenti nel cloud, se il servizio è usato da APP infette da Malware ci possono essere effetti collaterali
  7. android.permission. VIBRATE: presente nel 39% delle APP serve a controllare le funzioni di vibrazione del dispositivo
  8. android.permission. READ_PHONE_STATE: presente nel 33% delle APP e altamente rischioso, permette alle APP di accedere alle caratteristiche tecniche del dispositivo (ad esempio all'ID del  terminale)
  9. android.permission. ACCESS_FINE_LOCATION: presente nel 32% delle APP e altamente rischioso, permette alle APP di ottenere l'esatta posizione GPS del dispositivo
  10. android.permission. READ_EXTERNAL_STORAGE: presente nel 31% delle APP e altamente rischioso, permette alle APP di legegre i contenuti di dispositivi SD
  11.  android.permission. ACCESS_COARSE_LOCATION: presente nel 30% delle APP, permette alle APP di ipotizzare dove ci si trovi in un dato momento
  12. android.permission. RECEIVE_BOOT_COMPLETED: presente nel 29% delle APP e prevede una partenza automatica dell'APP subito dopo la riaccensione del dispositivo.
  13. android.permission. GET_ACCOUNTS: presente nel 27% delle APP, permette all'APP di ottenere gli account presenti  sul dispositivo
  14. android.permission.CAMERA : presente nel 21% delle APP e altamente rischioso, permette alle APP di scattare foto e girare video in ogni momento senza alcun permesso o conferma
  15. android.permission. BLUETOOTH: presente nel 14% delle APP, permette alle APP di conoscere la configurazione Bletooth e di accettare o rifiutare connessioni con altri dispositivi
  16.  android.permission. READ_CONTACTS: presente sul 13% delle APP ed altamente a rischio, permette alle APP di leggere i dati dei contatti memorizzati sul dispositivo comprese le informazioni sulle interazioni/relazioni con essi intrattenute
  17.  android.permission. CHANGE_WIFI_STATE: presente nel 13% delle APP, permette di connettere le APP a reti Wi-Fi, di disconnettersi ma anche di fare modifiche alle configurazioni Wi-Fi del dispositivo
  18. android.permission. GET_TASKS: presente nel 13% delle APP. permette alle APP di recuperare informazioni sulle attività più recenti del dispositivo
  19.  android.permission. WRITE_SETTINGS: presente sul 12% dei dispositivi, permette alle APP di modificare il settaggio  di sistema
  20. android.permission. RECORD_AUDIO: presente sull'11% dei dispositivi e ad alto rischio, permette alle APPla registrazione audio attraverso l'uso dei microfoni del dispositivo

L'analisi condotta da Wandera sulle APP Android non deve portare alla conclusione che ogni APP può essere una APP criminale o inaffidabile. Alcune APP possono richiedere permessi speciali, analizzati come a rischio da Wandera, solo per rendere più performanti funzionalità e attività dell'applicazione o semplicemente per migliorare l'esperienza utente. Il fatto è che ogni qualvolta si concede un permesso si apre una porta a rischi potenziali e a visitatori indesiderati. Con effetti imprevedibili e potenzialmente pericolosi.

Oltre alla lista sopra esposta Wandera considera a rischio anche altri settaggi legati ai permessi concessi alle APP. Tra questi ci sono i seguenti:

  • android.permission.CALL_PHONE: permette alle APP di chiamare direttamente numeri di telefono senza l'intervento dell'utente. Chiamate che potrebbero generare costi aggiuntivi
  • android.permission.RECEIVE_SMS: permette alle APP di ricevere ed elaborare, anche cancellare, messaggi SMS
  •  android.permission.WRITE_CONTACTS: permette alle APP di modificare dati dei contatti presenti sul dispositivo
  • android.permission.READ_SMS: permette alle APP di leggere messaggi SMS memorizzati sul dispositivo
  • android.permission.READ_CALENDAR: permette alle APP di leggere gli eventi inseriti a calendario sul dispositivo
  • android.permission.SEND_SMS: permette alle APP di inviare messaggi SMS

Alcune conclusioni

L'analisi di Wandera è interessante perché effettuata sul parco installato, composto da migliaia di dispositivi, gestito dall'azienda con le sue soluzioni per la mobilità aziendale. La rete globale monitorata da Wandera è composta da dispositivi aziendali. L'analisi condotta evidenzia come anche realtà controllate e gestite possano manifestare vulnerabilità pericolose legate al semplice, ma scarsamente praticato, settaggio dei permessi delle APP usate o scaricate.

L'analisi suggerisce maggiore attenzione alla trasparenza e alla visibilità a cui si può esporre i dati e le informazioni personali se non si comprendono con cura i meccanismi dei permessi sui quali le APP chiedono un intervento dell'utente. Il silenzio assenso non è comportamento consigliabile. Le APP sono tutte alla ricerca di dati e quelle potenzialmente pericolose collegano la loro ricerca ad azioni criminali.

La passività e scarsa conoscenza dell'utente finale, la sua superficialità e pigrizia possono diventare vulnus concreti per aziende e organizzazioni che non possono monitorare in dettaglio ogni dispositivo e ogni APP.

Ai responsabili IT e amministratori di ambienti Mobile di queste aziende e organizzazioni, Wandera e il suo partner italiano CleverMobile Distribution può fornire informazioni utili  App Insights, un report con innumerevoli dettagli su cosa fare per gestire al meglio i permessi delle APP e per valutare i potenziali rischi associati ad ognuno di essi.

 

 

Rate this blog entry:
3
Trackback URL for this blog entry.

Dirigente d’azienda, filosofo e tecnologo, Carlo Mazzucchelli è il fondatore del progetto editoriale SoloTablet dedicato alle nuove tecnologie e ai loro effetti sulla vita individuale, sociale e professionale delle persone. Esperto di marketing, comunicazione e management, ha operato in ruoli manageriali e dirigenziali in aziende italiane e multinazionali. Focalizzato da sempre sull’innovazione ha implementato numerosi programmi finalizzati al cambiamento, ad incrementare l’efficacia dell’attività commerciale, il valore del capitale relazionale dell’azienda e la fidelizzazione della clientela attraverso l’utilizzo di tecnologie all’avanguardia e approcci innovativi. Giornalista e writer, communication manager e storyteller, autore di e-book, formatore e oratore in meeting, seminari e convegni. È esperto di Internet, social network e ambienti collaborativi in rete e di strumenti di analisi delle reti social, abile networker, costruttore e gestore di comunità professionali e tematiche online. Ha pubblicato 16 e-book nella collana Technovisions di Delos Digital.


JoomShaper