MOBILE FIRST News

Solo negli ultimi due mesi, sono state scoperte almeno quatto importanti falle nella sicurezza dei principali sistemi opertivi mobili. I moderni sistemi operativi (iOS, Android, Windows 10) sono architetturalmente più sicuri dei sistemi tradizionali (come i precedenti Windows), ma gli hacker sono tanti, abili e determinati; e scopriranno sempre nuove vulnerabilità.

Sfortunatamente, molti fra i device mobili utilizzati in ambito aziendale non sono protetti contro questi attacchi, perché gestiti solo tramite ActiveSync.

ActiveSync è lo standard industriale de facto per quanto riguarda la push mail, ma non comprende un adeguato sistema di sicurezza. Ogni apparato che si basi soltanto su ActiveSync è ad alto rischio contro questo tipo di minacce, perché ActiveSync non è in grado di individuarle né, tanto meno, di annullarne o mitigarne le conseguenze.

Stagefright, 27 luglio Stagefright sfrutta una vulnerabilità nella Android Media Library. L’hacker può inviare un messaggio infetto via MMS; quando l’apparato Android vulnerabile riceve il messaggio, lo scarica automaticamente (comportamento di default) e viene infettato tramite la funzione preview multimedia.  Può rubare dati, prendere il controllo di microfono e telecamera, essenzialmente comportandosi come spyware. Una variante, chiamata Stagefright V2.0, utilizza siti web con MP3 o MP4 maligni per infettare devices non aggiornati con le patch di sicurezza.
Come difendersi: impostare la piattaforma EMM per mettere in quarantena i device non aggiornati, impedendo loro l’accesso alle risorse aziendali.
XcodeGhost, 17 settembre XcodeGhost è stato annunciato da Palo Alto Networks, ma originariamente scoperto da sviluppatori iOS cinesi. Ha consentito la pubblicazione su Apple Store di app infette. Gli sviluppatori, scaricano a volte XCode da server diversi dal sito ufficiale Apple; alcuni di questi siti, contengono una versione infetta di XCode. Quando gli sviluppatori creano le loro app utilizzando quest’ultima, nascondono senza saperlo al loro interno il codice maligno.Oltre 4000 app infette sono state scoperte, e successivamente rimosse, sull’Apple Store. Molti telefoni, per, hanno ancora installate queste app.
Come difendersi: individuare tramite l’EMM i device con installateapp XcodeGhost e metterli in quarantena, impedendo loro l’accesso alle risorse aziendali.
KeyRaider, 1 settembre Il malware KeyRaider ha rubato gli account di oltre 200.000 utenti di iOS jailbroken.
Può rubare nomi utente, password, certificati e perfino chiavi private. Può anche prendere il controllo di iPhone e iPad per accedere a posta, documenti ed altri dati. KeyRaider attacca i device jailbroken perché questa operazione disabilita molte delle funzioni di sicurezza del sistema.
Come difendersi: individuare proattivamente tramite l’EMM i device jailbroken e metterli in quarantena, impedendo loro l’accesso alle risorse aziendali.
YiSpecter, 4 ottobre YiSpecter sfrutta “APIs private” per infettare i device iOS. Le API private non sono supportate da Apple e, normalmente, le app che le utilizzano vengono bloccate durante il processo di pubblicazione sullo Store.
Il malware YiSpecter viene distribuito tramite ISP, un worm Windows che infetta il device durante il pairing, o tramite l’installazione offline delle app.
YiSpecter può installare e lanciare app senza il permesso dell’utente, e raccogliere dati dal device.
Come difendersi: individuare i deviceche montano versioni di iOS precedenti la 8.4 e metterli in quarantena, impedendo loro l’accesso alle risorse aziendali.

Le Possibili Contromisure

Nessuno di questi attacchi può essere individuato e mitigato utilizzando soltanto le policy ActiveSync. Solo una soluzione EMM – Enterprise Mobility Management, come MobileIron, può farlo.

Per l’identificazione delle minacce, MobileIron permette di rilevare:

– apparati che montano specifiche versioni di Sistema Operativo: il modello di identificazione per Stagefright e YiSpecter

– apparati Jailbroken: il modello di identificazione per KeyRaider

– le app installate sui device mobili: il modello di identificazione per XcodeGhost

Per ridurre o annullare l’effetto degli attacchi, MobileIron mette in quarantena i device individuati e permette:

– notifiche agli utenti, per educare la comunità riguardo i problemi di sicurezza e le azioni da intraprendere (o NON intraprendere)

– gestione dell’accesso condizionato per bloccare l’accesso alle risorse aziendali e servizi di back-end

– wipe selettivo, per assicurare la rimozione dei dati aziendali dai device compromessi

Consigliamo a tutti di

Implementare le misure descritte qui sopra per contrastare i nuovi attacchi alla sicurezza

Convogliare TUTTO il traffico ActiveSync attraverso MobileIron Sentry, in modo da identificare e bloccare i device che cercano di accedere alle risorse aziendali in maniera inappropriata

Assicurarsi che TUTTI i device che accedono alle risorse aziendali siano sotto EMM

  Vuoi saperne di più?
Chiamaci allo 02 45487263, o scrivi a mobilefirst@naes.it per organizzare una sessione di approfondimento ed una demo online
Visita il sito di MobileIron Rethink: Security Blog per gli ultimi aggiornamenti sugli attacchi alla sicurezza informatica