Il Mobile World Congress è sempre dedicato agli smartphone. Ma se smettete di cercarli e osservate da una diversa prospettiva, troverete molto altro. La nostra intenzione era proprio questa, purtroppo ciò che abbiamo visto ha destato una certa preoccupazione. Continuate a leggere per sapere il perché.
Pagamenti mobili: ossessione per la comodità
Sembra che molte aziende abbiano un’ossessione per i pagamenti via mobile, e durante il MWC a questo argomento sono state dedicate molte notizie. Un tema ricorrente è stata la ricerca della maggiore comodità di questa forma di pagamento tralasciando, però, il fatto che non punti a diventare più sicuro.
Per esempio, Samsung ha rivelato che Samsung Pay sta per esordire in molti paesi, compresi Brasile, Regno Unito, Canada, Cina e Spagna. Non abbiamo ragione di credere che Samsung Pay non sia sicuro (al contrario di Apple Pay) ma di recente un gruppo di hacker ha violato LoopPay. La notizia è degna di nota perché questo è il sistema che sta dietro Samsung Pay, acquisito dalla compagnia coreana un anno fa.
#SamsungPay: An Early Examination of Security: https://t.co/PTWVfwi7wl #Samsung #mobilepayments pic.twitter.com/Tx0J56ZsI8
— Kaspersky (@kaspersky) March 13, 2015
Samsung sostiene che gli hacker volessero impadronirsi della tecnologia per creare un sistema similare proprio, ma nessuno garantisce che non possiedano dati a sufficienza per compromettere gli account degli utenti di Samsung Pay.
https://www.instagram.com/p/7LgOaiv0Gl/
Alcuni giorni prima del MWC, Qualcomm e Tencet hanno annunciato un telefono con tecnologia Qualcomm che adesso supporta l’autenticazione biometrica delle impronte digitali per i pagamenti su WeChat, il più grande servizio di messaggistica istantanea della Cina. Qualcomm enfatizza che questi pagamenti siano sicurissimi grazie al framework Qualcomm Heaven, ma sappiamo tutti che ci sono alcuni problemi di sicurezza nello scanner di impronte digitali. Possiamo solo sperare che Qualcomm e Tencent abbiano creato un sistema di pagamento realmente efficace, ma è molto probabile che gli hacker trovino un modo per comprometterlo, come fanno di solito.
VISA va con i piedi di piombo nella stessa direzione. Mentre una delle due principali compagnie di carte di credito è abbastanza affezionata ai pagamenti contactless (per esempio VISA PayWave), i suoi ingegneri provano a triplicare i controlli per accertarsi che la loro tecnologia sia assolutamente sicura, e questo è davvero musica per le nostre orecchie. Tuttavia, il concetto di autenticazione dell’iride è già stato deciso all’interno della compagnia, e al MWC hanno presentato un sistema di autenticazione delle impronte digitali. Fortunatamente per tutti, è alla fase iniziale di sperimentazione, e gli ingegneri stanno anche pensando di creare un sistema di autenticazione a due fattori usando sia il dito, sia l’iride.
Great piece from our #MWC16 panel hosts @kaspersky on #cybersecurity and the #tokenisation approach: https://t.co/7cqd8gerhj
— VisaNewsEurope (@VisaNewsEurope) February 25, 2016
Abbiamo chiesto al tipo che lavorava allo stand VISA la sua opinione sullo spoofing dell’iride e il riconoscimento delle impronte digitali. E no, non ne aveva la benché minima idea. Ma ci ha assicurato che se ciò fosse davvero possibile, è abbastanza sicuro che i ricercatori dovrebbero pensare a ulteriori misure di sicurezza, per esempio monitorando il flusso sanguigno nelle vene che, anch’esso, possiede un unico modello per ogni essere umano.
Mastercard, il principale rivale di VISA, ha rubato la scena con l’introduzione dei pagamenti-selfie. Avete letto bene: pagamenti-selfie. Significa utilizzare i selfie invece delle password, e Mastercard sostiene che aumenterebbe la sicurezza perché le persone tendono a gestire le proprie password nel modo sbagliato: le annotano e le perdono o le riutilizzano.
ll video mostra come il sistema richieda non solo che siate di fronte alla fotocamera ma anche che sbattiate le palpebre, così non può essere ingannato da una semplice foto stampata. Ma siamo certi che questo rappresenti una sfida per gli hacker di tutto il mondo. Probabilmente un video basterebbe a imbrogliare il sistema.
How easy is it for hackers to steal your face? https://t.co/SGtYtE1y63 #digitalidentity pic.twitter.com/Cz85TxEkYt
— Kaspersky (@kaspersky) October 28, 2015
Sensori di impronte digitali: stasi
La biometrica si sta diffondendo, si possono trovare lettori di impronte digitali non solo nei telefoni più costosi, ma anche in quelli di fascia medio-bassa. Huawei ne ha integrato uno nel suo nuovo laptop/tablet 2 in 1, MateBook, con sistema operativo Windows.
#Mobile fingerprint sensors: more or less secure? https://t.co/m3eqgNRcrI #security pic.twitter.com/Asx52xPiao
— Kaspersky (@kaspersky) January 21, 2016
Al MWC, abbiamo parlato con i rappresentanti dei due produttori di lettori di impronte digitali. Il nuovo scanner annunciato da Synaptics è il più sicuro possibile: i dati sono criptati, e Synaptics raccomanda caldamente ai fabbricanti di cellulari di usare lo speciale ARM Trustzone per processare questi dati.
Allo stesso tempo, l’altro produttore, NEXT, presenta due tipi di sensori, di cui uno non cripta i dati. Inoltre, NEXT non sottolinea la necessità di usare sandbox sicure per i dati biometrici, ma è molto deciso quando si tratta di stabilire un prezzo quanto più basso possibile. Poiché non molti produttori considerano la sicurezza una priorità, abbiamo capito che questi lettori di impronte economici e malsicuri della NEXT finirebbero in molti dispositivi e ciò renderebbe i sopracitati pagamenti contactless con gli smartphone ancora meno sicuri di quanto non siano adesso.
Auto connesse
Prima le auto connesse e poi quelle senza pilota, di certo saranno il nostro futuro. Ma per adesso i costruttori di automobili stanno prestando molta più attenzione alla tenuta di strada e alla sicurezza piuttosto che alla cybersicurezza. E i ricercatori hanno già dimostrato come questa sia un must per ogni auto esposta a Internet.
#BlackHat 2015: The full story of how that Jeep was hacked https://t.co/y0d6k8UE4n #bhUSA pic.twitter.com/SWulPz4Et7
— Kaspersky (@kaspersky) August 7, 2015
Samsung e Sony hanno introdotto entrambi i loro kit per “costruirsi da soli un’auto connessa”, compatibili anche con i vecchi modelli. Quella annunciata da Sony è collegata via USB e Bluetooth e sembra assomigliare più a un’app cellulare di navigazione. Comprometterla probabilmente non fornirà all’hacker nient’altro che la destinazione a cui siete diretti, la musica che state ascoltando e il modo per modificarle. Niente di così preoccupante.
Invece Samsung ha introdotto un dispositivo più complesso. Una delle sue funzioni è analizzare i parametri dell’auto, mentre l’altro funge da hotpot Wi-Fi. Ciò significa che questo dispositivo è connesso a un OBD II nell’auto e, allo stesso tempo, alla rete LTE. Sappiamo già che una macchina può essere hackerata a distanza usando l’OBD II, e Samsung lo sta rendendo ancora più semplic, connettendola direttamente a Internet.
#Progressive #Snapshot Exposes Drivers to Car Hacking: https://t.co/c8I8lc1zu0
— Kaspersky (@kaspersky) January 27, 2015
Un’auto può essere assolutamente sicura e guadagnarsi i punteggi più alti nei crash test, ma se è succube di qualcuno che prende il controllo e accelera il motore a distanza, in certe circostanze tutta quella sicurezza non serve quasi a nulla.
Non tutto era così allarmante al MWC 2016: c’erano dispositivi davvero molto interessanti e delle buone notizie. Ma dopo tutto, il Mobile World Congress di quest’anno riguardava tutto ciò che sta diventando connesso, e più cose sono collegate a Internet, maggiore è il numero degli oggetti e dei soggetti che possono essere compromessi e attaccati. Ci auguriamo che il MWC a venire tratti maggiormente la messa in sicurezza di tutte queste connessioni. Tuttavia ci rendiamo conto che il prossimo black hat certamente riguarderà la violazione di tutti questi oggetti connessi.