E se una volta riparato, il vostro smartphone o tablet non fosse più "sicuro" come prima? Se rappresentasse una porta d'ingresso per malintenzionati interessati ad appropriarsi dei vostri dati sensibili e forse anche dei vostri soldi? Sembra un'ipotesi irreale, ma a leggere lo studio dell'Università israeliana Ben Gurion non lo è affatto.
I touchscreen di smartphone e altri componenti hardware come sensori di orientamento, controller per la ricarica wireless e lettori NFC possono rappresentare altrettante minacce per la sicurezza e contenere software malevolo, in grado di agire indisturbato. Secondo la ricerca infatti spesso questi componenti sono prodotti da terze parti ma il codice sorgente di supporto per i loro driver è integrato in quello del produttore.
A differenza di quanto accade per dispositivi plug-in USB o di rete, tali componenti sono quindi ritenuti sicuri e affidabili a priori. Il risultato è che il sistema svolgerà pochissimi controlli di integrità sulle comunicazioni in atto tra il componente stesso e il processore principale, consentendo l'esecuzione di codice malevolo a insaputa dell'utente e spesso anche dei tecnici.
Anche per loro infatti è impossibile distinguere un componente affidabile da uno compromesso, ma quest'ultimo potrà essere sfruttato da malintenzionati per registrare le attività da tastiera, rubare schermate, scattare foto e inviare mail, bypassando tutte le misure di sicurezza presenti.
Non si tratta di supposizioni o di discorsi in astratto, perché lo studio cita alcuni casi concreti come quelli che hanno visto coinvolti un Nexus 6P e un LG G Pad 7.0 a cui era stato sostituito in entrambi i casi lo schermo. "La minaccia di una periferica pericolosa all'interno dell'elettronica di consumo non dovrebbe essere presa alla leggera", hanno spiegato i ricercatori della Ben-Gurion, "Gli attacchi possono essere fattibili, di massa e invisibili alla maggior parte delle tecniche di rilevamento. Un avversario ben motivato può essere pienamente in grado di sferrare attacchi su larga scala o contro obiettivi specifici".
Come ha spiegato a Repubblica.it l'esperto di cybercrimine Andrea Zapparoli Manzoni, "La questione chiave è che non ci sono controlli sulla catena dei fornitori. A causa della globalizzazione, le componenti vengono prodotte per la maggior parte in Estremo Oriente e non esistono norme di certificazione alle quali attenersi. Per non parlare delle migliaia di app scaricate e di cui non sappiamo nulla".
Per Zapparoli Manzoni i rischi sono destinati ad aumentare perché per gli utenti "l'importante è avere un dispositivo che funzioni e a prezzi accessibili, anche se non è chiaro da chi viene sviluppato e assemblato [...] Gli attacchi informatici, anche quelli più gravi, non hanno un impatto tale da produrre reazioni forti o azioni politiche incisive. La notizia non viene percepita nella sua gravità. Servirà tempo e dure battaglie per introdurre un sistema di certificazione sicuro anche in questo campo".
In attesa di un cambio di rotta nel settore, che in realtà non sappiamo quando e se avverrà mai, l'unica difesa dunque è il buon senso da parte degli utenti, che dovrebbero stare attenti ad adottare quel minimo di procedure che potrebbero metterli almeno parzialmente al sicuro, come separare gli account, utilizzare password diverse e non scaricare e installare qualsiasi cosa sul proprio smartphone senza conoscerne provenienza e affidabilità. Ma temiamo che siano raccomandazioni al vento.
In cerca di uno smartophone Android economico ma valido? Date un'occhiata allo Huawei P8 Lite.