Sembra che ci siano infiniti modi in cui il tuo dispositivo mobile può essere attaccato. Con le spaventose immagini mentali di subdoli hacker che si fanno strada nella sicurezza del nostro dispositivo mobile, è facile dimenticare che il modo più comune per un dispositivo di essere compromesso è attraverso un’azione incauta da parte dell’utente finale. Una di queste azioni è il sideloading di applicazioni rischiose sul dispositivo.

Che cos’è il sideloading?

Sideloading, nel contesto della sicurezza mobile, è il processo di aggiunta di un’applicazione che non è stata approvata dallo sviluppatore del sistema operativo del dispositivo. Tutte le applicazioni su App Store o Google Play Store sono state controllate dalle rispettive organizzazioni. Anche se ci sono stati casi di applicazioni dannose trovate sia nell’App Store che nel Play Store (più spesso il Google Play Store), gli app store ufficiali agiscono come un ulteriore filtro, bloccando la stragrande maggioranza delle applicazioni dannose dal raggiungere l’utente finale.
Sideloading permette l’accesso alle applicazioni che non sono disponibili negli app store ufficiali per una qualsiasi delle numerose ragioni. Le app da altre fonti potrebbero non essere controllate per la sicurezza e potrebbero avere intenti dannosi, ma spesso gli utenti le installeranno sul loro dispositivo, aprendosi alle minacce. Nel caso dei dispositivi Apple, questo spesso (anche se non sempre) richiede che il dispositivo sia jailbroken.

Qual è la differenza tra jailbreak, rooting e sideloading?

Il termine ‘jailbreak’ può essere applicato a qualsiasi tipo di dispositivo mobile, ma generalmente si riferisce ai dispositivi Apple. Apple mantiene un alto livello di sicurezza dei dispositivi limitando tutti i dispositivi per consentire solo le applicazioni scaricate dal suo App Store ufficiale. Il jailbreak è un metodo per aggirare questo limite aumentando i permessi dell’utente sul dispositivo. Gli utenti possono ancora accedere a tutte le normali funzioni del dispositivo, ma sono in grado di installare applicazioni da fonti diverse dall’App Store.
Google non blocca il sistema operativo Android così tanto come Apple – mentre la configurazione di default non consente app sideloaded, è possibile modificare un’impostazione per consentire app da fonti di terze parti. La nostra ricerca mostra che circa il 20% dei dispositivi ha questa impostazione abilitata. Questo metodo sembra meno rischioso del jailbreak, ma apre il dispositivo alle minacce esattamente allo stesso modo.
Il rooting è spesso confuso come la versione Android del jailbreak. Mentre il rooting è simile al jailbreak nel senso che sono entrambi un’escalation di privilegi, il rooting fornisce molta più libertà agli utenti Android. Chiamato così perché fornisce l’accesso root al dispositivo, il rooting consente privilegi molto più ampi, da superutente, in modo che gli utenti possano apportare modifiche drastiche – fino a cambiare il sistema operativo del dispositivo.

Quali sono le applicazioni sideloading dei miei dipendenti?

La nostra ricerca mostra che esiste una grande varietà di app caricate di nascosto sui dispositivi aziendali, ma siamo stati in grado di classificare le cinque app più comunemente caricate di nascosto:

Applicazioni aziendali personalizzate

Le app personalizzate offrono vantaggi significativi per le organizzazioni, consentendo all’IT di creare applicazioni su misura per soddisfare i casi d’uso specifici dei vari reparti aziendali. Per esempio, uno dei nostri clienti ha costruito e distribuito un’app personalizzata in modo che il personale sanitario potesse aggiornare le cartelle dei pazienti e ordinare le prescrizioni dal capezzale, riducendo al minimo l’amministrazione e aumentando il tempo dedicato ai pazienti.
Per distribuire app personalizzate, le aziende di solito hanno bisogno di bypassare gli app store ufficiali poiché non vogliono rendere le loro app ampiamente disponibili al pubblico a causa delle informazioni sensibili che contengono. Per esempio, un’app HR per la directory dei dipendenti contiene informazioni personali sul personale, e le app per le notizie aziendali interne contengono informazioni aziendali sensibili. È comprensibile che l’IT voglia trovare un altro modo per rendere queste app disponibili ai propri utenti senza aggiungere complessità aggiungendo l’autorizzazione dell’utente.

Qual è il rischio?

Il caricamento laterale delle app è in genere una pratica pericolosa, ma in questo caso, è una pratica comune e il metodo di distribuzione preferito. Un’organizzazione può garantire che l’app in questione è stata progettata senza intenti malevoli e può essere conforme ai livelli di sicurezza desiderati. Se l’organizzazione ha jailbreak i dispositivi per consentire l’app, app rischiose potrebbero essere scaricate e installate, quindi è più probabile che vengano utilizzati altri metodi. O preinstallando il profilo del certificato che l’app personalizzata è firmata, o utilizzando uno strumento di Enterprise Mobility Management (EMM).
Le aziende che hanno app personalizzate spesso affidano lo sviluppo a terzi. Il problema con questi sviluppatori terzi è che non applicano un robusto flusso di lavoro di controllo per catturare i problemi di prestazioni e di sicurezza come le connessioni di rete insicure, per esempio. Wandera ha recentemente scoperto un’applicazione di formazione HR personalizzata di un’azienda che non proteggeva i nomi utente e le password degli utenti che vi accedevano, che erano le stesse credenziali utilizzate per accedere ai loro account di posta elettronica aziendali.
Un’altra cosa da considerare: queste app personalizzate saranno ottimizzate per il sistema operativo esistente, quindi quando Apple o Android rilasciano un aggiornamento del sistema operativo, alcune funzionalità dell’app potrebbero essere interrotte. Questo è il motivo per cui l’utilizzo di un servizio per controllare il roll out degli aggiornamenti del sistema operativo è utile per garantire che le app personalizzate continuino a funzionare in modo ottimale.
Rischio – 1/5

Store di app di terze parti

L’App Store di Apple per iOS e il Play Store di Google per Android sono i due maggiori canali di distribuzione per le app mobili. Ma c’è un grande e cattivo mondo di app store e app di terze parti che esistono al di fuori di questi due grandi attori. Infatti, ci sono più di 300 app store in tutto il mondo e quel numero continua a crescere.
Secondo i nostri dati, una delle app di terze parti più popolari per i dispositivi iOS aziendali è Tutuapp, originariamente un app store cinese che ha rilasciato una versione inglese nel 2017. Tutuapp è noto per ospitare versioni modificate o hackerate di giochi popolari, tra cui una versione di Pokemon Go in cui il giocatore non ha bisogno di muoversi per trovare e catturare Pokemon. Le app ospitate su Tutuapp non sono pesantemente controllate allo stesso modo di quelle su Google Play e App Store.
Su Android, l’installazione di app store di terze parti non è così comune perché un utente può semplicemente visitare il sito web dell’app e scaricarla direttamente dal browser, a condizione che l’impostazione sia stata attivata per consentire il download da fonti sconosciute.
Ancora, questi sono i due più popolari app store di terze parti da cui gli utenti Android caricano di nascosto:

1. Aptoide
2. Amazon Appstore

Amazon approva tutte le app prima di pubblicarle sullo store, in modo molto simile a Apple – suggerendo che l’Amazon Appstore stesso è relativamente sicuro. Aptoide, d’altra parte, è meno affidabile.
Aptoide ha una funzione di scansione dei virus (segnalata da un simbolo di scudo vicino all’icona dell’app), ma pubblicherà comunque app che non sono state scansionate, aprendo i clienti a potenziali minacce. Mentre non c’è alcuna indicazione che l’app Aptoide stessa contenga malware, le app che offre potrebbero rappresentare una minaccia.

Qual è il rischio?

Mentre la maggior parte delle app di app store di terze parti può essere priva di malware e relativamente sicura, i comportamenti che abilitano sono molto più una minaccia. Si può tranquillamente presumere che chiunque effettui il sideloading di un app store di terze parti abbia intenzione di installare una o più applicazioni ospitate da loro. Poiché la maggior parte di questi app store non applica un rigoroso controllo di sicurezza delle app che offrono, questo può rendere qualsiasi dispositivo su cui sono state installate particolarmente vulnerabile alle minacce.
Rischio – 5/5

Giochi

Dopo le app personalizzate e gli app store di terze parti, la ragione più comune per il sideloading delle app è l’installazione di giochi che non sono disponibili sugli app store ufficiali. Secondo i nostri dati, il 10% dei dipendenti gioca sui propri dispositivi aziendali su base giornaliera.
L’esempio più notevole di un gioco popolare che deve essere sideloaded è Fortnite per Android. Quando Epic Games ha preso la decisione di bypassare il Google Play store e offrire l’attesissimo gioco solo attraverso il proprio sito web, noi (e altri esperti di sicurezza) siamo stati veloci a comunicare i rischi, che includono la normalizzazione della configurazione rischiosa, la distribuzione di giochi Fortnite fasulli e attacchi di phishing basati su Fortnite.
Poco dopo, il team di sicurezza di Google ha scoperto una vulnerabilità nel programma di installazione di Fortnite. Questo potrebbe essere sfruttato da altre applicazioni sul dispositivo per dirottare la richiesta di scaricare Fortnite da Epic Games per scaricare segretamente qualsiasi altra cosa, compresi malware o spyware. Per merito di Epic, la vulnerabilità è stata patchata rapidamente.

Qual è il rischio?

I datori di lavoro possono ritenere che l’installazione di giochi su dispositivi aziendali sia abbastanza dannosa per la produttività. Tuttavia, la minaccia potenziale che viene con i giochi caricati lateralmente è sostanziale. Senza lo strato di sicurezza aggiuntivo dello screening delle app di Apple o Google, le vulnerabilità e i contenuti dannosi possono passare inosservati, esponendo il dispositivo a una moltitudine di minacce. Persino un grande editore di giochi, Epic Games, non è stato in grado di garantire la sicurezza della sua versione di punta per dispositivi mobili – e con “early release”, versioni moddate e false “guide”, il gioco è un bersaglio maturo per coloro che hanno intenti malevoli.
Rischio – 4/5

Spettatori di film “gratuiti”

Con l’aumento della velocità di trasferimento dati e della copertura internet mobile negli ultimi anni, è aumentato anche l’uso di dispositivi mobili per lo streaming di film e TV. È comune per gli utenti mobili lo streaming di film interamente sui loro dispositivi, e quindi il numero di app per fornire contenuti è aumentato.
A fianco dei servizi legittimi, come Netflix o Amazon Prime Video (un’app che veniva regolarmente sideloaded, fino a quando è stata aggiunta al Google Play Store nel 2017), una serie di applicazioni che offrono la visione gratuita di film sono regolarmente sideloaded sui dispositivi aziendali. Le più popolari di queste per iOS sono MovieBox e CotoMovies (ex Bobby Movie o Bobby HD), con il 50% delle aziende che hanno almeno una delle due app installate. CotoMovies è un esempio di app sideloaded che non richiede che l’iPhone sia jailbroken – ma l’utente deve cambiare le impostazioni del profilo sul dispositivo, il che può renderlo particolarmente vulnerabile agli attacchi.
Purtroppo, ci sono una serie di problemi con queste app – primo fra tutti è che queste app stanno piratando illegalmente i film che pubblicizzano. Le app approvate da Apple o Google non consentono alcuna attività illegale, ma con le app sideloaded non c’è alcuna garanzia.
Lo streaming video è particolarmente intensivo di dati, il che potrebbe portare a potenziali addebiti di dati in eccesso se non monitorato. Questo è un pericolo per tutte le app di streaming, comprese quelle legittime. Tuttavia, alcune app di streaming illecite possono portare un altro problema di dati. Moviebox è un servizio peer-to-peer, il che significa che mentre un utente sta scaricando un file, lo sta anche caricando – probabilmente senza saperlo.

Qual è il rischio? Sono sicuramente rischiosi dal punto di vista della sicurezza mobile, ma presentano anche difficoltà nell’uso dei dati e nella produttività. Ancora peggio, usarli per guardare film significa partecipare alla pirateria – non esattamente il tipo di cosa che vuoi che accada su un dispositivo aziendale.
Rischio – 3/5

Il mercato delle criptovalute

Negli ultimi anni, le criptovalute come bitcoin sono decollate. Con persone che sono diventate milionarie praticamente da un giorno all’altro, tutti sono alla ricerca del prossimo successo. Questo ha creato un mercato pronto per l’abuso – non da ultimo a causa della natura mercuriale delle criptovalute e di come vengono scambiate.
C’è un numero sostanziale di app per il trading di criptovalute, e costituiscono la quinta categoria più comune di app che viene caricata lateralmente sui dispositivi. L’app di criptovaluta più comune caricata di nascosto sui dispositivi iOS è Binance.
Le app di trading finanziario non verificate sono obiettivi incredibilmente preziosi per gli attori malintenzionati – c’è una grande quantità di informazioni finanziarie che vengono trasferite, e c’è il potenziale per un guadagno sostanziale (e una sostanziale perdita personale per un utente disattento). Le minacce per queste app possono assumere la forma di vulnerabilità che vengono mancate da sviluppatori negligenti o versioni false dell’app che rubano tutte le informazioni inserite.
Un’altra app che desta sospetti è Kucoin. Si trova sul Google Play Store, ma non sull’App Store. Per iOS, può essere sideloaded ma richiede un profilo da installare, ed è stato creato da “Meridian Medical Network Corp.” – Richieste insolite come questa possono spesso essere un segnale di avvertimento. C’è stato anche almeno un caso di creazione di una falsa app Kucoin.

Qual è il rischio?

Come per tutte le altre categorie più comuni di app sideloaded, c’è un rischio intrinseco dovuto alla mancanza di supervisione sulla sicurezza delle singole app. Qualsiasi exploit accidentale sarà cacciato ed esposto, e ci saranno app deliberatamente dannose là fuori che l’utente incauto può installare mettendolo a rischio di danni finanziari personali.
Rischio – 2/5 per l’organizzazione – 4/5 per l’utente finale dell’app

Tutto il resto

Abbiamo coperto solo i cinque tipi più comuni di app sideloaded – ce ne sono molti altri che gli utenti possono installare per ottenere accesso extra al loro dispositivo, o per aggirare la politica che Google e Apple sostengono nei loro rispettivi app store. Aiuti per il rooting, contenuti per adulti, persino i lettori pdf hanno dimostrato di contenere contenuti dannosi, e quando vengono caricati di nascosto, c’è ben poca garanzia che un’app sia sicura. Tutto ciò rafforza il punto che una corretta supervisione e visibilità è vitale per garantire la piena sicurezza mobile.

Cosa posso fare?

In primo luogo abbiamo raccolto tutti gli AppID delle app menzionate in questo articolo (che trovate in fondo a questa pagina), così potete tenerli d’occhio sui vostri dispositivi – dovreste essere in grado di visualizzare tutti gli AppID installati se utilizzate una soluzione EMM.
In secondo luogo, dovreste considerare di investire in una soluzione di sicurezza che possa continuamente monitorare e bloccare le minacce emergenti in tutta la vostra flotta, ovunque possano essere innescate sul dispositivo. Per quanto riguarda le app sideloaded, dovreste cercare una soluzione che segnali le impostazioni pericolose sul dispositivo (come consentire i download da fonti sconosciute o essere jailbroken), bloccare le app che avete evidenziato come indesiderabili e notificarvi le applicazioni che mostrano attività pericolose come l’esfiltrazione di dati.
Se vuoi saperne di più su come proteggere la tua organizzazione dalle minacce mobili, contatta oggi stesso uno dei nostri esperti di mobilità.

3rd Party App Stores

Tutuapp

iOS: com.tutuapp.tutuapphwenterprise, com.wjxhw.yhyy
Android: com.feng.droid.tutu
Aptoide
Android: cm.aptoide.pt

Games

Fortnite Installer
Android: Com.epicgames.portal

App per film gratis

Movie Box
iOS: com.sull.videofun, com.vshare.move, com.tweakbox.moviebox
BobbyHD/Cotomovies
iOS: bobb.bcc.com, com.tweakbox.bobbymovie, bobby.bcc.movie, bobby.movie.bcc

Cryptocurrency

Binance
iOS: com.binanceInternational.app, com.bijie.Binance, com.forbnbsignedinternational.app, com.NATELOOO20180329.internalApp, com.InternaluseSignbnbCloud.bnbapp, com.internalUseSign180322.app
Kucoin
iOS: Com.koins.nb, com.kucoin.KuCoin.App