Come vedere se il tuo telefono è stato hackato

hackato

Per ora, lo spionaggio del governo è un pensiero comune che potrebbe averci desensibilizzato sul fatto che NSA spii le nostre chiamate o che FBI possa entrare nel nostro computer quando vuole. Però ci sono altre motivazioni per gli hackers, i criminali ed anche persone che conosciamo, come un partner o il datore di lavoro, di entrare nei nostri telefoni ed invadere la nostra privacy.

Dalle violazioni mirate e dai curiosoni in cerca di vendetta fino agli opportunisti in cerca di dati da chi è insospettoso, ecco alcuni modi in cui qualcuno potrebbe spiare il tuo telefono – e cosa puoi fare a riguardo.

1. App spia

C’è una serie di app per controllare il telefono progettate per tracciare la posizione di qualcuno e di spiarne le comunicazioni. Molte sono pubblicizzate ai partner sospettosi o ai datori di lavoro diffidenti, ma anche pubblicizzate come strumenti per genitori preoccupati per i loro bambini. Queste app possono essere usate per vedere remotamente i messaggi, le email, la cronologia e le foto; il registro delle chiamate e la posizione GPS; alcune possono anche attivare il microfono del telefono per registrare le conversazioni della persona. Di base, tutto ciò che un hacker potrebbe voler fare con il tuo telefono, queste app lo permettono.

E questa non è solo una vuota retorica. Quando abbiamo studiato le app spia per telefono nel 2013, abbiamo trovato tutto ciò che promettevano. Peggio ancora, erano facili da installare per chiunque, e la persona che veniva spiata non poteva sapere che ogni sua mossa veniva tracciata.

“Non ci sono molti indicatori di un’app spia installata – potresti vedere più traffico internet, oppure la durata della batteria potrebbe essere minore perchè l’app sta inviando dati a qualcun altro,” dice Chester Wisniewski, ricercatore principale per la sicurezza alla Sophos.

Verosimilmente

Le app spia sono disponibili su Google Play, oltre che su store non ufficiali per iOS ed Android, rendendo molto facile a chiunque accedere al tuo telefono (ed un motivo) per scaricarne una.

Come proteggerti

• Dato che installare app richiede accesso fisico al tuo telefono, inserire una password sul tuo telefono riduce di molto la possibilità che qualcuno riesca ad accedere al tuo telefono. E dato che le app spia sono spesso installate da qualcuno vicino a te(pensa al partner o qualcun altro di significante), scegli un codice che non possa essere indovinato da altri.

• Cerca tra la lista delle app quelle che non riconosci.

• Non fare il jailbreak del tuo iPhone. “Se un dispositivo non è jailbreakkato, tutte le app sono mostrate,” dice Wisniwski. “Se è jailbreakkato, le app spia sono in grado di nascondersi nel dispositivo, e se i software di sicurezza le possono trovare dipende da quanto è complicata l’app spia [perchè i software di sicurezza rilevano i malware conosciuti].”

• Per gli iPhone, assicurarti che il telefono non sia jailbreakkato evita anche che qualcuno scarichi un app spia sul tuo telefono, dato che questi software – che bloccano funzioni a livello di sistema – non si trovano nell’App store.

• Gli utenti Android possono scaricare un’app di sicurezza mobile che segnalerà tutti i software malevoli. Non c’è lo stesso tipo di app di sicurezza mobile per iOS, date le restrizioni dell’App Store, ma Lookout Security e Sophos ti avviseranno se il tuo iPhone è stato jailbreakkato.

2. Phishing tramite messaggio

Se trovi un messaggio che dichiara di essere il tuo istituto finanziario, o un amico che ti esorta a controllare la foto di te la scorsa notte, gli SMS che contengono link puntano a ricavare informazioni sensibili (altrimenti conosciute come phishing o “smishing”) continuano a circolare.

I telefoni Android potrebbero anche essere vittime dei messaggi che portano al download di app malevole. (Lo stesso metodo non prevale su iPhone, che raramente sono jailbreakkati e perciò non possono scaricare app da fuori dell’App Store.)

Queste app malevole possono esporre i dati degli utenti, o contenere un’interfaccia di phishing progettata per rubare informazioni di accesso ad alcune app – per esempio, la banca di un utente o una email.

Verosimilmente

Molto verosimilmente. Anche se la gente ha imparato ad essere scettica delle email che dicono di “Cliccare per vedere questo video divertente!”, il lab di sicurezza Kaspersky fa notare che tendono ad essere meno cauti sui telefoni.

Come proteggerti

• Tieni a mente che spesso verifichi l’identità con vari account – per esempio, la tua banca non ti chiederà mai di inserire la tua password completa o il PIN.

• Evita di cliccare link da numeri che non conosci, o in vaghi messaggi da amici, specialmente se non puoi vedere l’URL completo.

• Se clicchi sul link e finisci per scaricare un app, il tuo telefono Android dovrebbe notificarlo. Elimina l’app e/o esegui una scansione con un’app di sicurezza mobile.

3. SS7 Vulnerabilità globale nella rete cellulare

Circa due anni fa, è stato scoperto che un protocollo di comunicazione per le reti mobili in tutto il mondo, Signalling System No 7(SS7), ha una vulnerabilità che permette agli hacker di spiare i messaggi di testo, le chiamate e la posizione, semplicemente avendo il numero di telefono. Una preoccupazione aggiunta è che i messaggi di testo sono spesso usati per avere codici per l’autenticazione a due fattori, da servizi di email o istituti finanziari – se questi sono intercettati, un hacker intraprendente potrebbe accedere ad account protetti, distruggendo le finanze di una persona.

Secondo il ricercatore Karsten Nohl, le agenzie di intelligence usano questo exploit per intercettare i dati di un telefono, e quindi non sono molto incentivati a patcharle.

Verosimilmente

Molto improbabile, a meno che tu non sia un leader politico, un CEO o qualcun altro le cui comunicazioni potrebbero portare ad un grosso guadagno per i criminali. I giornalisti o coloro che si trovano in nazioni politicamente agitate potrebbero avere un elevato rischio per il proprio telefono.

Come proteggerti

• Usa un servizio di messaggistica criptato end-to-end che funzioni tramite internet(quindi bypassando il protocollo SS7), dice Wisniewski. WhatsApp (gratuita, iOS/Android), Signal (gratuita, iOS/Android) e Wickr Me (gratuita, iOS/Android) tutte criptano messaggi e chiamate, evitando che qualcuno possa intercettare o interferire nelle tue comunicazioni.

• Stai attento perchè se sei in un gruppo potenzialmente preso di mira le tue conversazioni potrebbero essere monitorate ed agisci di conseguenza.

4. L’intercettazione dei dati nei network Wi-Fi aperti

Pensavi che quel Wi-Fi senza password con le tacche del segnale al massimo fosse troppo bello per essere vero? Probabilmente avevi ragione. Una persona “curiosa” può visualizzare tutto il traffico di un network del genere e può portarti ad inserire i tuoi dati bancari in una finta pagina web al fine di rubarteli. Il malintenzionato, comunque, non è necessariamente il gestore dello stabile in cui ti trovi, qualcuno potrebbe infatti creare un network col nome del bar che frequenti ed indurti ad inserire i tuoi dati personali.

Verosimilmente

Inoltre, qualsiasi persona competente potrebbe scaricare i software necessari per intercettare ed analizzare il traffico Wi-Fi – compreso il vicino che si diverte a vedere le tue spese (non stavi cercando quei siti che non dovresti vedere, vero?).

Come proteggersi:

• Utilizza esclusivamente network sicuri al fine di evitare che qualcuno si impicci dei tuoi affari

• Scarica un’app VPN per criptare il traffico del tuo smartphone. SurfEasy VPN (iOS, Android) offre 500MB di traffico gratuitamente e se superi la soglia è tua a $2.99 al mese

• Se devi connetterti ad un network pubblico e non disponi di un’applicazione VPN, evita di inserire informazioni sensibili. Tuttavia, se sei costretto a farlo, assicurati che l’URL sia giusto e che il sito sia protetto (verifica la presenza della dicitura “https” e del lucchetto verde)

5. Accesso non autorizzato a iCloud o all’account di Google

Gli account iCloud e Google hackerati consentono di accedere ad un numero sorprendente di informazioni salvate dal tuo smartphone, come foto, contatti, posizione, messaggi, registro delle chiamate e, nel caso si utilizzi Keychain di iCloud, anche le password degli account di posta elettronica, dei browser e delle altre applicazioni. Ci sono poi dei venditori di spyware che lanciano dei prodotti contro queste vulnerabilità.

I criminali potrebbero non essere interessati alle foto delle persone normali – a differenza di quelle delle celebrità che sono rapidamente rubate – ma, dal momento che le vittime non amano rendere pubbliche le proprie immagini, solitamente i possessori delle foto vengono ricattati e sono costretti a pagare un “riscatto”.

Inoltre, un account di Google hackerato equivale ad un account Gmail hackerato, ovvero il principale servizio di posta elettronica per molti utenti.

Avere accesso ad un indirizzo email principale rende l’hacker in grado di violare tutti gli account ad esso collegati – come per esempio Facebook o l’account del tuo gestore telefonico – portando così a gravi conseguenze per te.

Verosimilmente

“Questo è un grande rischio. Tutto ciò di cui ha bisogno l’hacker è il tuo indirizzo email; non ha bisogno né di avere accesso al telefono né del tuo numero di cellulare” – dice Wisniewski. Se nel tuo indirizzo email primario è presente il tuo nome e se utilizzi una password debole con riferimenti personali, non sarà difficile per un hacker riuscire a penetrare nel tuo account dato che può facilmente reperire le informazioni necessarie facendo una ricerca su internet o guardando i tuoi social network.

Come proteggersi:

• Crea una password complessa per gli account principali

• Abilita le notifiche del login, in questo modo saprai quando una persona entra nel tuo account da nuovi dispositivi o posizioni

• Abilita l’autenticazione a due fattori, così anche se qualcuno dovesse scoprire la tua password egli non sarà in grado di entrare nel tuo account senza avere accesso al tuo telefono

• Per evitare che qualcuno resetti la tua password, menti alle domande di sicurezza. Non hai idea di quanto sia facile recuperare su internet o dai familiari le risposte.

6. Le stazioni di ricarica pericolose

In tempi in cui la batteria degli smartphone dura a malapena un giorno e Google è l’unico modo per non perdersi, questo hack sfrutta il nostro bisogno di spremere al massimo la batteria, maledetti malware. Le stazioni di ricarica malevole – come i computer infettati da un malware – sfruttano il contemporaneo trasferimento dei cavi USB di dati ed energia elettrica. I vecchi telefoni Android esponevano anche i dati dell’hard disk non appena li si collegava ad un computer, mettendo il dispositivo a rischio.

I ricercatori di sicurezza hanno dimostrato che è possibile hackerare l’uscita video presente su molti dispositivi recenti per monitorare quali tasti vengono premuti, in questo modo un malintenzionato può facilmente entrare in possesso di password e di dati sensibili.

Verosimilmente

Fortunatamente non ci sono molti hacker che sfruttano l’uscita video e i nuovi telefoni Android chiedono il permesso per caricare l’hard disk quando vengono collegati ad un PC; gli iPhone richiedono invece il PIN. Comunque, potrebbero essere scoperte nuove vulnerabilità.

Come proteggersi:

• Non collegare il tuo dispositivo a dispositivi sconosciuti, portati piuttosto un caricatore da muro. Altrimenti, puoi acquistare un cavo USB capace di trasferire esclusivamente l’energia elettrica, come PortaPow.

• Se l’unica fonte di elettricità per far accendere il tuo telefono spento dovesse essere un computer pubblico, seleziona l’opzione “Carica solamente” se dovesse comparirti il pop-up su Android, mentre su iPhone nega direttamente l’accesso al computer.

7. StingRay di FBI e altre finte torrette

Un’iniziativa dell’FBI di intercettare i telefoni durante le investigazioni criminali (o in verità, durante le proteste pacifiche), richiede l’utilizzo di dispositivi per la sorveglianza dei cellulari (anche dette StingRay), che imitano le torrette dei network.

Gli StingRay, e le torrette simili, costringono i cellulari vicini a sganciarsi dalla connessione corrente e ad agganciarsi a quella di StingRay, consentendo agli operatori del dispositivo di monitorare le chiamate e i messaggi inviati da questi telefoni, i loro movimenti e i numeri delle persone chiamate o messaggiate.

Dato che gli StingRay hanno un raggio di azione di circa 1km, un tentativo di controllare un telefono sospetto nel centro di una città affollata equivale al monitoraggio di decine di migliaia di dispositivi.

Fino al tardo 2015 non erano necessarie autorizzazioni per il monitoraggio con StingRay; al momento, circa una decina di stati bandiscono l’utilizzo di tali tecnologie al di fuori di indagini criminali, tuttavia molte agenzie non ottengono l’autorizzazione per l’utilizzo di StingRay.

Verosimilmente

Nonostante il cittadino medio non sia il bersaglio di un’operazione StingRay, è impossibile sapere cosa facciano con i dati delle persone normali, visto il silenzio delle agenzie federali.

Come proteggersi:

• Utilizza applicazioni criptate per chiamare e mandare messaggi, specialmente se ti trovi in una situazione che potrebbe diventare di interesse governativo, come una manifestazione. Signal (gratis, iOS/Android) e Wickr Me (gratis, iOS/Android) criptano i messaggi e le chiamate, facendo in modo che nessuno intercetti o interferisca con le tue comunicazioni. La maggior parte delle criptazioni in uso oggi non sono decodificabili, dice Wisniewski, e una singola chiamata di cellulare richiede 10-15 anni per essere decodificata.

“La cosa stimolante è che così come la polizia ha il potere legale per intraprendere diverse azioni, gli hacker possono fare lo stesso” dice Wisniewski. “Non ci troviamo più nel regno della tecnologia che costa milioni di dollari e che è destinata solo ai militari. Persone normali intenzionate ad interferire con le comunicazioni altrui non hanno alcun problema nel farlo.”

Dagli esperti di sicurezza ai meno avvezzi alla tecnologia, molti si stanno già spostando dai sistemi di comunicazione tradizionali a quelli criptati e moderni – e forse in diversi anni, sarà impensabile che abbiamo lasciato “volare” nell’etere, non protette, le nostre informazioni private.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *