Pannello: i telefoni aperti sono più vulnerabili

L'apertura del settore mobile è una grande notizia per gli sviluppatori di applicazioni ma non così buona per i professionisti della sicurezza IT che desiderano dormire la notte, hanno detto i dirigenti del settore della sicurezza.

I sistemi operativi dei telefoni cellulari sono stati molto frammentati e le compagnie aeree hanno strettamente controllato il applicazioni che possono essere facilmente utilizzate sui telefoni, ma tale approccio sta lasciando il posto a piattaforme open-software e negozi di applicazioni facili da usare. Oltre all'iPhone SDK (kit di sviluppo software) recentemente introdotto da Apple, la piattaforma Android open source di Google sarà presto disponibile sui telefoni e una versione open source di Symbian è in arrivo.

"Tutti hanno deciso che gli sviluppatori sono molto importante per il futuro di questo business: se uno sviluppatore può caricare software su un dispositivo, un hacker può caricare software su un dispositivo ", ha dichiarato Mark Kominsky, CEO di Bluefire Security Technologies, durante una discussione al CTIA Wireless IT Spettacolo e spettacolo a San Francisco. "Penso che siamo probabilmente tra 12 e 18 mesi da qualcosa di grande successo", ha aggiunto.

[Ulteriori letture: i migliori telefoni Android per ogni budget.]

I dispositivi mobili stanno iniziando ad avere una larghezza di banda elevata, piattaforme aperte e la capacità di caricare nuovi software, ha detto Kominsky. "Quelli sono gli elementi critici che si sono verificati nel notebook quando i virus sono decollati circa 20 anni fa", ha detto.

Symbian, la piattaforma software mobile più diffusa, ha già affrontato i pericoli dell'apertura a terzi sviluppatori, ha detto Khoi Nguyen, responsabile del prodotto di gruppo nella sicurezza mobile di Symantec. Symbian 7 e 8 erano abbastanza aperti e consentivano l'installazione e l'esecuzione di quasi tutte le applicazioni. Ciò ha portato alcune centinaia di virus a essere introdotti entro un paio di anni, quindi Symbian 9 è stato bloccato in modo significativo, ha detto.

Ciò ha reso molto più difficile e costoso sviluppare applicazioni per il sistema operativo, anche per una grande azienda come come ha detto Nguyen.

Symbian e altri fornitori di piattaforme dovranno trovare un equilibrio tra sicurezza e apertura, ha detto.

Per lo stesso motivo, la frammentazione del mondo mobile che ha zoppicato gli sviluppatori software isola ancora i telefoni dall'assalto degli attacchi ai PC.

Symbian ha meno del 70% del mercato, ha detto Nguyen. "Rende molto difficile per un hacker sviluppare una singola minaccia … che possa essere eseguita su tutte queste piattaforme diverse", ha detto.

Tuttavia, ci sono anche alcuni nuovi tipi di malware per le aziende.

"Snoopware" è una forma di spyware che può attivare il microfono o la videocamera senza che l'utente ne sia a conoscenza, ascoltare le chiamate e raccogliere messaggi di testo e registri delle chiamate. Un altro tipo di minaccia, che ha definito "pranking4profit", può indurre l'utente a consentire azioni che costano denaro. In un caso, un hacker pubblicizzato un browser Web gratuito per i telefoni Symbian e convinto molti utenti a scaricare il codice che ha causato i loro telefoni per inviare migliaia di messaggi SMS (Short Message Service) premium al telefono di un hacker. Ognuno costa al mittente US $ 2 o giù di lì, ha detto Nguyen.

Anche se il malware può fare notizia, il maggior pericolo per le aziende con telefoni cellulari è la perdita o il furto di dati, i panelisti hanno concordato.

Le imprese dovrebbero proteggere i propri dipendenti telefoni cellulari proprio come fanno tutti gli altri endpoint, con le stesse politiche di sicurezza e requisiti, nonché software di sicurezza, con un occhio alla conformità, Nguyen ha detto. Le aziende dovrebbero inoltre mantenere un inventario dei propri dispositivi mobili e inviare regolarmente aggiornamenti software. Per proteggere i dati, dovrebbe usare la protezione tramite password, la crittografia dei dati e la funzionalità di cancellazione remota dei dati, ha detto.

Dovrebbero anche disabilitare le funzionalità non richieste per l'uso aziendale, ha detto.