L’adozione massiva di dispositivi mobili consumer e gestiti espone le aziende a nuovi rischi per la sicurezza
Symantec ha annunciato la pubblicazione del rapporto “Uno sguardo sulla sicurezza dei dispositivi mobili: studio degli approcci di sicurezza adottati da Apple iOS e Google Android”. Questo documento riporta i risultati di un’analisi tecnica approfondita delle due maggiori piattaforme mobili, Apple iOS e Google Android, per aiutare le aziende a comprendere i rischi per la sicurezza legati all’adozione di questi dispositivi all’interno dell’azienda.
Tra i dati emerge che, nonostante le piattaforme mobili più popolari attualmente utilizzate siano state progettate pensando alla sicurezza, le misure adottate non sempre sono sufficienti per proteggere i dati sensibili delle aziende che sono presenti anche sui dispositivi mobili. I dispositivi mobili sono inoltre sempre più connessi e sincronizzati con un mondo di servizi cloud e desktop-based che sfuggono al controllo dell’azienda, esponendo potenzialmente asset aziendali fondamentali a rischi sempre maggiori.
Il rapporto offre un’analisi dettagliata dei modelli di sicurezza adottati da Apple iOS e Google Android, valutando la loro efficacia contro le maggiori minacce attuali tra cui:
• Attacchi Web-based e network-based
• Malware
• Attacchi di social engineering
• Abuso della disponibilità di risorse e servizi
• Perdite di dati non intenzionali e malevole
• Attacchi all’integrità dei dati del dispositivo
Questa analisi ha portato ad alcune importanti conclusioni:
• Pur offrendo una sicurezza maggiore rispetto ai sistemi tradizionali desktop based, sia iOs che Android sono ancora vulnerabili a numerosi tipi di attacchi.
• Il modello di sicurezza di iOS offre una protezione migliore contro i malware tradizionali, soprattutto grazie al rigoroso processo di certificazione di Apple per le applicazioni e per gli sviluppatori, processo attraverso il quale viene controllata l’identità degli autori dei software, eliminando la possibilità che siano dei potenziali attaccanti.
• Google ha optato per una certificazione meno rigorosa, permettendo a ciascun sviluppatore di creare e rilasciare applicazioni in forma anonima, senza nessun controllo. Questa mancanza di certificazione ha potenzialmente portato all’attuale crescita del volume di malware specifici per Android.
• Android consente alle applicazioni di avere un controllo sulle funzionalità del dispositivo superiore rispetto a iOS, e lascia direttamente all’utente la scelta di autorizzare le applicazioni ad esercitare questo tipo di controllo. Se da una parte questo permette agli sviluppatori di creare delle applicazioni più potenti e utili, dall’altra lascia molte decisioni in ambito sicurezza nelle mani degli utenti, esponendo gli stessi a rischi maggiori.
• Sia gli utenti Android che gli utenti iOS sincronizzano regolarmente i loro dispositivi con servizi cloud forniti da terze parti (es. i calendari web based) e con i propri computer di casa. I dati aziendali sensibili archiviati in questi dispositivi sono quindi potenzialmente esposti a sistemi fuori dal controllo dell’azienda.
• I dispositivi che hanno subito jailbreaking, o dispositivi la cui sicurezza è stata disabilitata compromessa sono un target attraente per gli attaccanti: questi dispositivi sono infatti vulnerabili quanto i PC tradizionali
“I dispositivi mobili attualmente presenti sul mercato non condividono un approccio univoco alla sicurezza,” ha dichiarato Carey Nachenberg, Symantec Fellow and Chief Architect, Symantec Security Technology and Response. “Se da una parte sono più sicure rispetto ai PC tradizionali, queste piattaforme sono ancora vulnerabili a numerosi attacchi tradizionali. Inoltre gli impiegati dell’azienda utilizzano sempre più i dispositivi personali non gestiti per accedere ai dati sensibili aziendali, e si connettono in seguito con i loro dispositivi ai servizi di terze parti all’ esterno del controllo aziendale, esponendo gli asset aziendali a potenziali attacchi.”