Quanto è sicuro il mobile commerce?

Quanto è sicuro il mobile commerce?

In Italia cresce sensibilmente la pratica del mobile commerce, ovvero dello shopping online usando tablet e smartphone. Ma i fattori di rischio propri dei dispositivi mobile impongono particolare accortezza per evitare spiacevoli sorprese. Ancora una volta, però, si tratta di un problema di cultura e non di mezzi

di pubblicato il nel canale Sicurezza
 

I fattori di rischio

Il mobile-commerce viene per lo più esercitato tramite smartphone e/o tablet: in generale da dispositivi estremamente portatili e di dimensioni contenute e, proprio in virtù di queste caratteristiche, che possono essere rubati o smarriti con facilità. Il rischio, in questi frangenti, diventa ancor più elevato se si pensa che spesso i dispositivi non sono protetti da misure di blocco dello schermo o del dispositivo stesso oppure, se lo sono, vengono bloccati con codici e password facilmente violabili.

La potenza di calcolo dei dispositivi può rappresentare un ulteriore fattore di rischio in varie circostanze: nei dispositivi meno recenti la potenza computazionale è piuttosto limitata, il che scoraggia a priori l'uso di misure antimalware o di sicurezza attiva pena il decadimento delle prestazioni e della reattività del telefono. Nei dispositivi più recenti, all'opposto, si hanno potenze di calcolo piuttosto elevate che possono essere sfruttate dai malintenzionati a loro stesso vantaggio.

I dispositivi recenti sono poi equipaggiati con una serie di funzionalità che agevolano un impiego sempre più versatile, trasformandoli in alternative ad altri oggetti come ad esempio i navigatori satellitari, le agende organizer e i riproduttori musicali e rendendo quindi sempre più frequente il loro impiego in campi d'applicazione e scenari per i quali originariamente non sono stati concepiti. Questo aspetto lascia quindi spazio a tutta una serie di rischi di difficile prevedibilità dovuti propri ad un impiego non "canonico" del dispositivo.

Fattori di rischio Conseguenze concrete
Facilità di smarrimento/sottrazione Impersonificazione dell'utente - Fuga di informazioni
Abbondanza di informazioni e funzionalità Fuga di informazioni
Uso di protocolli di trasmissione radio Intercettazione dei dati in transito - Alterazione dei dati in transito
Limitata potenza di calcolo Intercettazione dei dati in transito - Diffusione di malware
Impiego di app Diffusione di malware - Compromissione del dispositivo
Disomogeneità dei sistemi operativi Compromissione del dispositivo

I dispositivi wireless inoltre, proprio per la loro natura, si poggiano pesantemente su protocolli di trasmissioni radio che non sono riservati e che vengono condivisi in luoghi pubblici con altri utenti, spesso attraverso funzionalità che vengono lasciate attive anche quando non sono necessarie (Bluetooth, ad esempio). Questo crea uno scenario dove è elevato il rischio di una sottrazione di informazioni sensibili all'insaputa dell'utente.

Spostando invece l'attenzione dal dispositivo allo strato software, è opportuno osservare come vari servizi di m-commerce si appoggino ad app proprietarie, il che accresce il rischio di incappare in app contraffatte realizzate allo scopo di ingannare l'utente e di sottrare informazioni e dati di transazione, che possono quindi essere sfruttati dal malintenzionato. In tutto questo non va infine dimenticata la disomogeneità dei sistemi operativi utilizzati sui dispositivi mobile (e pure le numerose varianti di uno stesso sistema operativo, come nel caso di Android) che rendono talvolta difficile per alcuni produttori riuscire a supportare correttamente ciascun prodotto e ciascuna versione di sistema operativo.

Si tratta di un insieme di fattori di rischio che una volta che vengono sfruttati opportunamente da un malintenzionato hanno la possibilità di mettere a repentaglio la sicurezza delle informazioni che vengono impiegate per effettuare la transazione o, in genere, delle informazioni sensibili archiviate sui dispositivi mobile. Vi è tuttavia un'importante precisazione da fare: a differenza di quanto avviene in altri scenari, la vittima principale degli attacchi m-commerce non sono le aziende ma l'utente finale, questo perché all'interno dello smartphone possono risiedere dati direttamente collegati ad un suo conto bancario o ad una carta di credito, rendendo quindi facile per i criminali compiere furti e frodi.

 
^