Tutto ciò che facciamo con il nostro smartphone può essere facilmente spiato: sopravvalutiamo le difese e la sicurezza dei nostri dispositivi Android, ma, in realtà, siamo molto più esposti di quanto potremmo pensare. Per fare un chiarezza sui rischi per la sicurezza su Android, abbiamo intervistato Simone Margaritelli, il noto hacker italiano che si è occupato dello sviluppo di dSploit.

Per chi non conoscesse dSploit: si tratta di un’app per dispositivi Android che, in pochi e semplici passaggi, è in grado di trasformare qualsiasi persona in un novizio hacker permettendogli di spiare tutto ciò che “viaggia” su una rete Wi-Fi alla quale si ha accesso. Ovviamente, trattandosi di una semplice app, dSploit di per sé non è pericolosa, ma nelle mani di un malintenzionato può diventarlo senza troppi problemi.

Dopo essere diventata celebre, l’applicazione è scomparsa come per magia dal Web, infatti, dsploit.net non porta più al sito ufficiale dell’applicazione, ma viene eseguito un redirect a bettercap.org: il sito ufficiale di un software molto simile a dSploit.

Lasciamo ora la parola a Simone Margaritelli che ci spiegherà quanto poco sicuro è il mondo di Internet e, ancor più, i nostri smartphone.

Perché Dsploit è improvvisamente scomparso dal Web?

Perchè il codice del progetto è stato unito con quello di zANTI, un software analogo a dSploit fatto dalla società per cui lavoro (e da un paio d’anni a questa parte anche da me). Non supportando più dSploit di per sé, ho pensato che lasciare in giro del codice non aggiornato e con dei bug (che invece in zANTI ho risolto) avrebbe causato solo confusione.

BetterCap è il successore spirituale di Dsploit? Si può utilizzare su Android?

Si e no, dopo anni passati a sviluppare soluzioni per il MITM su smartphone, sono giunto alla conclusione che era necessario creare un applicazione con la stessa facilità di utilizzo, ma per computer. Quello che si può fare con un PC e BetterCap è di gran lunga superiore a quel che si può fare con dSploit/zANTI e uno smartphone, sia per una questione di performance che di funzionalità.

So che alcuni utenti sono riusciti a far girare con successo BetterCap su Android tramite un’immagine chroot di Kali Linux, e da quel che so, funziona molto bene! Inoltre sono riusciti a farlo girare su iOS (ovviamente con jailbreak) e anche in quel caso va alla grande.

Ci può descrivere uno o più comportamento/i tipici dell’utente medio, che, così facendo, si espone quotidianamente a seri rischi per la propria privacy?

Ci sono due cose che mi vengono in mente per prime: lasciare sempre il Wi-Fi abilitato e collegarsi a qualsiasi rete Wi-Fi aperta. La gente sottovaluta i pericoli di una rete controllata da qualcun altro, soprattutto se parliamo di reti pubbliche (quelle del McDonald’s, StarBucks, aeroporti, hotel, ecc) dove l’attaccante potrebbe essere il tizio seduto accanto a te che sta sorseggiando il suo caffè.

Inoltre, è sempre bene controllare le impostazioni del proprio client mobile di posta. Ho personalmente riscontrato su diversi dispositivi (principalmente Samsung) che il client email stock non abilita TLS di default, questo significa che le credenziali di accesso ai server SMTP e IMAP vengono inviate in chiaro sulla rete. Collegandoci a quanto detto prima, qualsiasi “osservatore” sulla rete può carpire tali credenziali ed usarle per i suoi scopi.

A quali dati sensibili è possibile accedere, o “rubare”, da uno smartphone Android senza poterlo toccare fisicamente?

Dipende molto dalla tipologia di “attacco” che viene effettuato, mi spiego meglio.

Se l’attaccante sfrutta un exploit di tipologia “RCE” (Remote Code Execution) contro un applicazione vulnerabile (basti pensare a StageFright che come vettore di attacco usa un MMS e attacca il gestore dei media dello smartphone), i dati che è in grado di rubare sono gli stessi che l’applicazione attaccata è in grado di gestire.

Se invece si combinano una serie di exploit per ottenere quello che viene chiamato EOP (elevazione dei privilegi), sostanzialmente non ci sono limiti, si può accedere a qualsiasi cosa: gli account email salvati sul dispositivo, i messaggi, i contatti, la telecamera… Proprio tutto.

È realmente possibile spiare una persona dalla fotocamera del suo smartphone senza che se ne accorga? Quali sono le condizioni in cui si può verificare una situazione simile? E quali sono invece le contromisure?

Assolutamente si, non solo è possibile, ma è anche quello che la maggior parte dei malware per smartphone fanno. Se poi pensiamo che la maggior parte dei dispositivi non sono dotati di un led luminoso che indica l’attività delle telecamere, farlo all’insaputa dell’utente è una passeggiata.

Non ci sono condizioni particolari, basta che il proprio dispositivo venga infettato. In molti casi, questo può accadere scaricando un’applicazione “crackata” da qualche sito “warez” invece che pagarla sul Google Play Store… La maggior parte delle volte sono malware.

L’unica contromisura possibile è installare un antivirus o un sistema di sicurezza che protegga i nostri dati.

Il protocollo HTTPS è completamente sicuro, oppure ci espone a qualche rischio? Potrebbe spiegarci la differenza con un linguaggio comune?

Chiunque lavori nel settore della sicurezza informatica come me sa che l’espressione “completamente sicuro” non ha fondamento alcuno in nessun caso. Tuttavia, assicurarsi di utilizzare connessioni HTTPS invece che HTTP incrementa notevolmente la difficoltà per un eventuale attaccante.

La differenza è semplice: in HTTP, tutti i dati che partono o arrivano al nostro browser (il login di facebook, web mail, i cookie, ecc) vengono inviati in chiaro sulla rete, quindi chiunque potrebbe leggerli usando software come BetterCap.

Con HTTPS invece, i dati vengono criptati prima di essere inviati e solo il browser ed il servizio che sta contattando conoscono la chiave per decifrare quei dati, questo automaticamente li protegge da attacchi Man-In-The-Middle, ecc.

In alcuni casi però, in particolare se il software sullo smartphone è implementato (molto) male, è possibile in qualche modo bypassare questa protezione. Quindi è sempre buona norma, oltre ad assicurarsi che stiamo usando canali di comunicazione sicuri, tenere le app sempre aggiornate e non utilizzare software di compagnie “sconosciute” che potrebbero, per colpa di uno o più bug, mettere a repentaglio la sicurezza di tutto il dispositivo.

Spesso, il Google Play Store e l’App Store sono accusati di ospitare app con codice malevolo. Cosa ne pensa di questi due negozi digitali?

Purtroppo è verissimo, nonostante sia Google che Apple facciano un lavoro eccezionale di controllo e filtraggio della “spazzatura”, data la mole di nuove applicazioni che ricevono ogni giorno, qualcosa “passa” sempre i controlli.

Per esperienza posso dire che l’App Store di Apple è decisamente più controllato, infatti il 90% delle procedure di review di un app sono effettuate manualmente da persone reali. Al contrario, sul Google Play Store i controlli di qualità e sicurezza sono automatizzati e quindi facilmente bypassabili.

È più sicura una connessione Wi-Fi o la sempre più diffusa connessione 4G?

Di per se entrambe le tecnologie sono potenzialmente soggette ad una vasta gamma di attacchi, c’è da dire però che l’equipaggiamento necessario per attaccare una connessione 4G è molto più costoso e complesso da usare rispetto a quello necessario per attaccare una rete WiFi.

Ne consegue che, tranne in rare circostanze in cui si è soggetti ad un cosiddetto “state sponsored attack” dove le risorse dell’attaccante sono pressoché illimitate, si può stare generalmente più tranquilli in 4G.

Un esempio di state sponsored attack potrebbe essere quello del governo russo che recentemente ha sfruttato la connettività mobile del proprio paese per bypassare l’autenticazione a due fattori di un utente Telegram.

Parliamo di WhatsApp e Facebook: sono realmente sicuri, oppure i nostri dati possono essere facilmente spiati?

E’ sbagliato pensare alla sicurezza del proprio dispositivo in conseguenza di una o due applicazioni. Di per sé sia WhatsApp che Facebook sono sicure avendo alle spalle team di sviluppo estremamente preparati.

Ma per “essere spiati” basta una qualsiasi altra app vulnerabile sul nostro device o, a volte, il sistema operativo stesso è attaccabile. Pensiamo nuovamente a StageFright, che non attacca un’app in particolare, ma un componente del sistema operativo stesso. Come ho già detto, nessun sistema è completamente sicuro.

È più sicuro Android Nougat 7.1 o iOS 10.1?

A riguardo c’è una diatriba che va avanti da anni, con qualsiasi nuova versione di Android e iOS… C’è chi dice che Android è più sicuro, chi dice iOS. La mia opinione è che sono sistemi profondamente diversi e molto complessi, pertanto è molto più difficile di quanto effettivamente si pensi compararli in maniera così “binaria”.

La mia personalissima esperienza mi dice che in generale su Android la superficie di attacco (cioè il numero di “cose” che si possono attaccare per intrufolarsi nel dispositivo) è leggermente più alta che su iOS. Ma piano piano, ed in particolare da Android N, Google sta introducendo una serie di misure di sicurezza che renderanno i due sistemi equivalenti dal punto di vista della sicurezza nel giro di un anno al massimo.

Gli antivirus per Android funzionano davvero? Ne consiglierebbe uno in particolare?

Si, funzionano veramente e a volte sono l’unica cosa che ci protegge veramente. Non sarebbe corretto da parte mia consigliarne uno piuttosto che un altro dato che la società per cui lavoro produce un sistema di sicurezza per piattaforme mobile, quindi sta al lettore provarne diversi e decidere in maniera indipendente.

Essendo un telefilm particolarmente amato dagli appassionati di tecnologia, cosa ne pensa di Mr. Robot? Ritiene che sia pura fantascienza, oppure le tecniche adottate dal protagonista sono piuttosto veritiere?

Mr Robot è forse l’unico telefilm realistico al 101%, spesso mi ritrovo a sorridere vedendo Elliot usare tecniche che magari anche io uso quotidianamente per i miei “penetration test”. Da quello che ho letto, la produzione ha affidato gli “hacks” a dei professionisti del settore e questa si è dimostrata essere una scelta vincente dato il grandissimo successo che la serie ha riscontrato specialmente con chi, come me, era stufo di vedere cose completamente campate in aria e senza alcun fondamento reale alla “CSI”.

Tutte utili informazioni quelle di Simone Margaritelli, informazioni che dovrebbero farci riflettere sulla fragilità della tecnologia dove nulla è completamente al sicuro. Infatti, pur seguendo i consigli per la sicurezza dati dal nostro “Mr Robot italiano”, se qualcuno ha intenzione di “hackerare” la vostra rete o qualsiasi vostro dispositivo, con le giuste abilità e con un po’ di tempo, tutto è possibile.

Per concludere, evitiamo di tenere contenuti sensibili sui nostri dispositivi tecnologici che, per quanto sicuri possano essere, avranno sempre qualche falla nella sicurezza che un hacker malintenzionato può sfruttare a suo vantaggio.

E voi cosa ne pensate? Dopo ciò che avete letto cambierete le vostre abitudini?