I lettori più fedeli di Kaspersky Daily sono già consapevoli delle recenti tendenze nell’ambito della sicurezza delle piattaforme mobile: i temi più caldi tra i cybercriminali riguardano i Trojan bancari mobile. Quando realizzate operazioni bancarie con lo smartphone, i ladri possono intercettare tutto quello di cui hanno bisogno: username, password e persino le password usa e getta ricevute via messaggio di testo. Tuttavia, per lo meno fino ad oggi, queste minacce sembravano essere rilevanti solo in relazione alle piattaforme Android. Infatti, a causa delle rigide restrizioni applicate da Apple ai propri sistemi operativi e alle app dell’app store iPhone, gli utenti Apple fino ad ora erano esposti principalmente alle minacce di phishing. Tuttavia, pare che anche l’iOS non sia più così tanto sicuro. Il bug SSL soprannominato “goto fail”, già risolto per l’iOS 7.0.6, permetterebbe agli hacker di intercettare o modificare il contenuto delle comunicazioni apparentemente protette da crittografia. Ma questa non è decisamente la fine. FireEye, azienda di sicurezza informatica, ha pubblicato una ricerca dove viene descritto un metodo per intercettare tutte le tastiere, anche touchscreen, dei dispositivi iOS; pare infatti che sia possibile creare un keylogger su un dispositivo iOS senza ricorrere al jailbreak.
Il principio è semplice. Un’applicazione falsa (si potrebbe camuffare per qualcosa di innocente, per esempio un riproduttore musicale) può abilitare una monitorizzazione in backgroud su di un dispositivo iOS7 e registrare tutto quello che viene digitato sul touchscreen dello smartphone. Ogni azione realizzata sulla tastiera è un semplice messaggio come “l’utente ha toccato lo schermo su X, con coordinata Y”. Dato che la tastiera iOS è una tastiera standard al 100%, è facile trovare quale lettera corrisponde a queste coordinate. La demo dell’applicazione creata da FireEye invia i dati al server remoto dove vengono tradotti in battute, permettendo agli hacker di registrare tutto quello che viene digitato sull’iPhone. Di conseguenza, se digitate la vostra password, verrebbe immediatamente caricata sul database degli hacker con tutte le conseguenze che potete immaginare. L’app monitorizza tutto quello che l’utente digita anche quando la funzione “aggiornamento app in backgroud” è disabilitata (la potete trovare sull’iOS in Impostazioni > Generali). Per poter liberarsi degli spioni, gli utenti devono disabilitare la monitorizzazione in backgroud e chiudere manualmente tutte le app sospette o non necessarie via task manager.
Fortunatamente, questo bug è stato scoperto da alcuni ricercatori che hanno immediatamente comunicato il problema ad Apple e stanno ora aiutando l’azienda di Cupertino a risolvere la vulnerabilità. Per il momento, l’aggiornamento non è ancora disponibile.
Per via della natura chiusa e restrittiva della piattaforma iOS, non si può fare molto in caso di vulnerabilità. La tecnica precedentemente menzionata è molto sconveniente dato che rende inutile il multitasking. Sull’App Store, esistono alcune aziende terze che mettono a disposizione mappe di tastiera alternative; in questo modo sarebbe possibile digitare i dati attraverso queste app e poi fare copia e incolla nell’app della banca o su altri siti. Tuttavia, va detto che questa tecnica non garantisce una sicurezza dei dati totale. Per ottenere una protezione migliore, le misure di sicurezza dovrebbero essere implementate dalle stesse banche. Qui è dove Kaspersky Lab entra in gioco. Di recente, è stata lanciata a livello globale la piattaforma Kaspersky Fraud Prevention, utile per rafforzare le difese delle app bancarie per dispositivi mobili, aggiungendo loro un filtro di sicurezza in più alle principali funzionalità delle app bancarie. Uno di questi “layer” si chiama Secure Keyboard e il suo compito è esattamente ostacolare i keylogger. Se la vostra app bancaria usa Secure Keyboard, le lettere verranno disposte in un ordine casuale, rendendo impossibile la traduzione delle coordinate di ciò che viene digitato. Questo rende la tecnica sopra descritta piuttosto inutile, proteggendo i vostri dati dai criminali.
Ci sono altre tecniche per proteggere il computer e i dispositivi mobili dalle minacce bancarie: scopritele nella pagine dedicata a Kaspersky Fraud Prevention (al momento disponibile sul sito Internet generale di Kaspersky Lab).