Man mano che le innovazioni tecnologiche diventano più a portata di mano i consumatori fanno massiccio l’utilizzo di smartphone e tablet senza però troppa consapevolezza dei rischi legati alla privacy e ai furti di pagamenti. Ecco un’articolo che identifica in modo chiaro le tipologie di rischio di ogni piattaforma (tra Apple, Android e Windows) e le contromisure di prevenzione che si possono assumere a riguardo.
.., questo è il riepilogo dell’articolo:
Proteggersi dalle apps pericolose
Poche mosse per proteggere lo smartphone da addebiti indesiderati e per revocare erronei acquisti costosiChi non è soddisfatto di un’app può sempre “restituirla” e quindi ottenere indietro il denaro. Gli utenti Android, però, devono essere veloci perché hanno a disposizione soltanto 15 minuti. Aprire il menù di Play Store e Le mie applicazioni; selezionare l’app da restituire e l’opzione Rimborso/Disinstalla. Allo scadere dei 15 minuti l’utente deve rivolgersi direttamente agli sviluppatori: i contatti si trovano sulla pagina descrittiva dell’applicazione alla voce Sviluppatore. Nel caso di applicazioni fasulle provenienti dalla Cina è meglio non farsi troppe speranze.Gli utenti Apple hanno più tempo per la restituzione, in compenso il processo è molto più complicato. Andare sulla pagina apple.com/it/support, selezionare iTunes e cliccare su Contatta il supporto. A questo punto si apre una nuova schermata: selezionare iTunesStore/Contatta il supporto di iTunes Store. Nella schermata successiva, selezionare Acquisti, fatturazione e rimborso, specificando Qualità dei contenuti acquistati, infine cliccare sul pulsante Continua” Finalmente sarà possibile scrivere una mail, indicando il titolo dell’articolo, il numero dell’ordine e una nota che spiega che a causa della descrizione non veritiera dell’app ci si ritiene vittime di un inganno. Generalmente in questi casi Apple è accomodante e concede il rimborso. Il servizio clienti di Windows Phone è più corretto; prima dell’acquisto generalmente è possibile provare l’applicazione gratuitamente. Sebbene le funzioni siano parzialmente limitate, è bene sfruttare questo tipo di servizio per escludere a priori eventuali acquisti sbagliati. Le apps del Marketplace possono essere restituite entro 24 ore, ma bisogna contattare l’assistenza spiegando il tipo di problema.
Attivare le misure di sicurezza del sistema
Su iOS, gli acquisti In-App devono essere sempre confermati tramite password. La fattura può diventare cara se i bambini la scoprono. Per bloccare gli acquisti In-App, dal menù iOS selezionare Impostazioni/Generali/Restrizioni, quindi scegliere l’opzione Abilita restrizioni per disattivare gli Acquisti In-App. Su Android, invece, non è possibile disattivare gli acquisti In-App, ma proteggerli con password sì: dal menù di Play Store, selezionare Impostazioni. Alla sezione Imposta o cambia PIN, inserire un numero a quattro cifre. Infine, attivare l’opzione Usa PIN per gli acquisti. Windows Phone dovrebbe supportare gli acquisti In-App a partire dalla versione 8; ovviamente le restrizioni non sono ancora conosciute.
Imbrogli sui costi, dati rubati, funzioni inutili: gli store di Android, iOS e Windows brulicano di fregature. Niente paura ci si può difendere
Quando una security app verifica solo sé stessa e un paio di foto, ignorando le altre apps, non è molto utile. Se poi si impossessa di una grande quantità di dati per utilizzarli a scopi pubblicitari, è l’esempio lampante di una fregatura tipicamente presente sugli app store. Un anno fa circa, gli utenti di Windows Phone hanno vissuto una situazione simile, quando il produttore di antivirus Avg mise sul Marketplace di Windows l’applicazione Avg Mobilation. Per pochi giorni, però, perché Windows eliminò subito il programma, che non era in grado di proteggere il sistema perché, come tutte le apps, veniva eseguita in una Sandbox e quindi analizzava soltanto il proprio spazio di memoria. Nel processo, l’applicazione inviava al server di Avg, tra le altre cose, l’indirizzo mail dell’utente, il codice identificativo (Imei) e la localizzazione Gps del dispositivo.Che si tratti di informazioni errate sulle funzioni dell’app, di raccolta di dati oppure di promozioni inviate tramite Sms all’insaputa dell’utente, abbonamenti fasulli o ancora acquisti costosi In-App senza i quali l’applicazione non funziona, gli app store pullulano di fregature.Apple testa le nuove applicazioni soltanto in base a criteri tecnici e contenutistici; ciò equivale a dire che se l’app funziona e non mostra troppi problemi viene autorizzata. Sul Play Store (l’ex Android Market), Google controlla soltanto che le apps non contengano malware. L’apposito programma introdotto lo scorso febbraio 2012 Bouncer dovrebbe riconoscere automaticamente le apps dannose, cercando eventuali similitudini con codice maligno conosciuto. Due dipendenti di Duo Security, però, hanno scoperto che questo sistema non è efficace; i due esperti sostengono che infatti i criteri secondo cui Bouncer effettua la scansione sono facili da individuare e quindi il malware creato, tenendone conto, non viene riconosciuto. Poiché Windows Phone non è ancora molto diffuso, le minacce non sono ancora un grosso problema. Stefan Wesche, esperto in sicurezza di Symantec, afferma: “Con Windows 8 si potranno valutare gli eventuali cambiamenti”. Certo è che analizzare nel dettaglio centinaia di migliaia di apps e relativi aggiornamenti è praticamente impossibile. Senza contare gli store alternativi come Cydia Store o SlideME che hanno un controllo ancora più ridotto o addirittura nullo. In questo articolo spiegheremo come evitare apps inutili attualmente più diffuse e indicheremo le principali contromisure per una maggiore sicurezza.
I trucchi delle app più diffuse
Le apps possono costare soldi agli utenti in diversi modi. La trappola più pericolosa è quella degli Sms Premium, ma è anche difficile accorgerseneIn termini assoluti, per i dispositivi mobile non si può ancora parlare di una vera e propria invasione da malware, ma la metà delle 25.000 minacce conosciute sono abusi dei servizi Premium tramite cui vengono inviati costosissimi Sms o effettuate telefonate a numeri Premium. Un caso eclatante si è verificato all’inizio dello scorso luglio quando due apps Android inviavano sfondi con motivi presi dai videogiochi di Super Mario Bros e GTA 3. Google ha scoperto e rimosso le apps soltanto tre settimane e 50.000 download più tardi. Le apps non venivano riconosciute perché il codice maligno non risiedeva direttamente nell’applicazione; dopo l’installazione, invece, all’utente veniva richiesto di attivare l’app tramite Sms, procedura che in realtà comportava il download di un’altra applicazione, quella contenente appunto il codice maligno. L’applicazione Wallpaper utilizzava questa seconda app per inviare Sms costosi.L’utente può accorgersi di questo tipo di abusi per lo più dalla bolletta: se al momento dell’installazione si sono concessi i diritti per l’invio degli Sms, quando questi vengono inviati non ci si accorge di niente. Inoltre i trojan sono così astuti da eliminare i messaggi dalla cartella Inviati. Un trucco che funziona sempre è quello di nascondere le funzioni Premium dietro i nomi dei giochi più conosciuti, sfruttando il fatto che gli utenti più sprovveduti si lasciano abbagliare dal nome e prendono sul serio le offerte proposte. Negli ultimi mesi i malfattori hanno usato numerosi titoli, come Angry Birds, Cut the Rope, Assassin’s Creed o l’applicazione per foto Instagram.
Oltre a questi malware esistono altresì numerose applicazioni fasulle che vengono pubblicizzate con nomi conosciuti o con funzioni diffuse ma che non contengono malware. Costano qualcosa, ma sicuramente meno degli originali. Cercando Angry Birds, per esempio, compaiono anche delle imitazioni, come Angry Pigs and Birds. I giocatori che non conoscono bene il mondo del gaming non notano quasi per niente la differenza tra le imitazioni e i giochi ufficiali della serie Angry Birds. Particolarmente subdolo è Flight Simulator Pro, un’app che nell’icona riporta anche la dicitura “Microsoft”. Ovviamente l’applicazione non è affatto di Microsoft e nemmeno un simulatore di volo, ma una semplice raccolta di anonime pagine di testo con informazioni sul gioco per pc.Diversamente dalle applicazioni infette da malware, questi programmi fasulli non vengono tolti dalla circolazione automaticamente e quindi in parte restano disponibili per mesi: soltanto quando il proprietario del gioco originale si accorge della violazione, Apple & Co. si attivano. I fautori di questi falsi possono eludere i controlli dell’Apple Store con un semplice trucco, modificando cioè la descrizione del programma dopo la pubblicazione, quando Apple non effettua controlli. Questo è uno dei motivi per cui fioriscono anche le apps che promettono funzioni che poi non hanno.Tipicamente si tratta di tool di sistema, come i file manager, apps per lo streaming tv o per l’intrattenimento, le cui descrizioni sono spesso traduzioni automatiche assurde e ridicole.
Truffe In-App con bacche di mostro
Un altro espediente diffuso è quello di attirare l’attenzione degli utenti con offerte gratuite per poi chiedere denaro in cambio delle funzioni complete. Un modo è quello delle versioni light che sono ridotte all’osso, fino quasi all’inutilizzabilità. Un altro è quello degli acquisti In-App. Questi metodi, spesso integrati nei giochi, si basano su un principio di gioco molto astuto che fa leva sulla dipendenza e sulla brama di raccolta. Nei giochi ad avanzamento progressivo, come Monopoly Hotels o Monster Pet Shop, è possibile acquistare oggetti o bacche di mostro; nei giochi di avventura, come il famoso Infinity Blade, si può acquistare equipaggiamento aggiuntivo (oltre al denaro di gioco necessario). Queste spese aggiuntive a volte hanno un costo quattro volte superiore a quello per l’acquisto dell’app: fino alla scandalosa cifra di 79,99 euro per un sacco grande di bacche di mostro. In passato c’erano anche apps che, all’insaputa dell’utente, effettuavano acquisti In-App. Il gioco Sega Kingdom Conquest, per esempio, prelevava di soppiatto dai dispositivi Apple fino a 35 euro. Nel caso di transazioni di questo tipo, adesso Apple richiede sempre l’inserimento della password da parte dell’utente. Gli acquisti In-App sono una delle modalità, le inserzioni sono un’altra.
I banner pubblicitari sono posizionati quasi sempre così vicino al pulsante dell’applicazione che è molto facile cliccarci sopra inavvertitamente, un clic che vale molto per l’agenzia pubblicitaria. A volte vengono anche mostrate presunte informazioni di sistema, come è successo ad aprile con Draw Something. Per l’utente può diventare estremamente caro se cliccandoci sopra attiva un abbonamento, per esempio a suonerie o a un prolungamento della durata della batteria. Tramite piattaforma wap billing, l’utente riceve il numero di telefono univoco (Msisdn) con cui paga l’abbonamento, senza alcuna informazione sull’abbonamento stesso e senza bisogno che l’utente accetti. Nel caso di Draw Something, si trattava di 9,99 dollari al mese. Gli inserzionisti come Airpush adesso hanno deciso di mostrare le inserzioni direttamente nelle informazioni sul dispositivo perché lì hanno più credibilità e quindi gli utenti ci cascano più facilmente.
Le apps gratuite, finanziate tramite le inserzioni pubblicitarie, spesso si impossessano di molti dati. Il motivo è chiaro: più cose si sanno sull’utente e più mirate saranno le inserzioni a lui inviate, quindi maggiori saranno i guadagni. Questi dati servono anche per generare preziosi profili utente. Chi per esempio utilizza applicazioni per la consultazione come Yelp o di riferimento sui prodotti come Barcode scanner, spende parecchio per gestire i propri acquisti. L’utente non ci rimette direttamente in denaro, ma in termini di controllo sui propri dati personali. Le condizioni tipicamente richieste dalle apps sono quelle di poter leggere, inviare o effettuare telefonate e sms, accedere ai dati di protocollo, modificare la impostazioni di sistema oppure l’accesso illimitato a internet. Sui dispostivi Android o Windows Phone l’installazione di queste applicazioni è possibile esclusivamente previa concessione di questi diritti. Lo stesso dicasi per gli update, ottima occasione per le apps di ampliare la gamma dei diritti concessi. Finora non sembra che le apps per iOS accedano ai dati; il sistema chiede conferma all’utente soltanto nel caso della localizzazione Gps. Tuttavia, a partire da iOS 6 si vedranno altri tipi di accessi nell’ambito della privacy. Comunque, annuncio più, annuncio meno l’utente non ha scelta: o si accettano le condizioni o non si può usare l’applicazione. A pag. XX potete leggere come proteggere il vostro denaro e il vostro dispositivo dalle minacce più pericolose.
Proteggersi dalle apps pericolose
Poche mosse per proteggere lo smartphone da addebiti indesiderati e per revocare erronei acquisti costosiChi non è soddisfatto di un’app può sempre “restituirla” e quindi ottenere indietro il denaro. Gli utenti Android, però, devono essere veloci perché hanno a disposizione soltanto 15 minuti. Aprire il menù di Play Store e Le mie applicazioni; selezionare l’app da restituire e l’opzione Rimborso/Disinstalla. Allo scadere dei 15 minuti l’utente deve rivolgersi direttamente agli sviluppatori: i contatti si trovano sulla pagina descrittiva dell’applicazione alla voce Sviluppatore. Nel caso di applicazioni fasulle provenienti dalla Cina è meglio non farsi troppe speranze.Gli utenti Apple hanno più tempo per la restituzione, in compenso il processo è molto più complicato. Andare sulla pagina apple.com/it/support, selezionare iTunes e cliccare su Contatta il supporto. A questo punto si apre una nuova schermata: selezionare iTunesStore/Contatta il supporto di iTunes Store. Nella schermata successiva, selezionare Acquisti, fatturazione e rimborso, specificando Qualità dei contenuti acquistati, infine cliccare sul pulsante Continua” Finalmente sarà possibile scrivere una mail, indicando il titolo dell’articolo, il numero dell’ordine e una nota che spiega che a causa della descrizione non veritiera dell’app ci si ritiene vittime di un inganno. Generalmente in questi casi Apple è accomodante e concede il rimborso. Il servizio clienti di Windows Phone è più corretto; prima dell’acquisto generalmente è possibile provare l’applicazione gratuitamente. Sebbene le funzioni siano parzialmente limitate, è bene sfruttare questo tipo di servizio per escludere a priori eventuali acquisti sbagliati. Le apps del Marketplace possono essere restituite entro 24 ore, ma bisogna contattare l’assistenza spiegando il tipo di problema.
Attivare le misure di sicurezza del sistema
Su iOS, gli acquisti In-App devono essere sempre confermati tramite password. La fattura può diventare cara se i bambini la scoprono. Per bloccare gli acquisti In-App, dal menù iOS selezionare Impostazioni/Generali/Restrizioni, quindi scegliere l’opzione Abilita restrizioni per disattivare gli Acquisti In-App. Su Android, invece, non è possibile disattivare gli acquisti In-App, ma proteggerli con password sì: dal menù di Play Store, selezionare Impostazioni. Alla sezione Imposta o cambia PIN, inserire un numero a quattro cifre. Infine, attivare l’opzione Usa PIN per gli acquisti. Windows Phone dovrebbe supportare gli acquisti In-App a partire dalla versione 8; ovviamente le restrizioni non sono ancora conosciute.
