top
logo
English (United Kingdom)Italian (Italy)


Error
  • Error loading feed data.
Sicurezza sul mobile

La sicurezza sul mobile è molto complessa: non si basa soltanto nella fase di autenticazione ma bensì anche sulla architettura che utilizza, quindi hardware, rete e software.
Si dovranno considerare diversi fattori e decidere quale tipo di soluzione adottare; di seguito verranno illustrati i diversi aspetti.

Browser non sicuri

Opera Mini pre-“3.0 advanced” è un browser non sicuro, tutto il traffico tra il browser e il server risulta essere in chiaro.
Tale circostanza è confermata dal FAQ che si trova sul sito ufficiale di Opera, che riportiamo integralmente di seguito:

Fonte: http://www.operamini.com/help/faq
Does Opera Mini support encrypted connections?
Yes. Information sent between your handset and the website is encrypted in the advanced version of Opera Mini 3.0. In the basic version of Opera Mini 3.0 and older versions, there is no encryption between your handset and the Opera Mini servers.


Attualmente non si è a conoscenza di altri browser non sicuri.

 

Dispositivi che necessitano di un proxy

Diversi sono i dispositivi che necessitano di un proxy di terze parti per poter effettuare delle transazioni sicure.

Opera Mini 3.0 advanced

Necessita di un Opera Server per poter garantire la sicurezza dello scambio dei dati tra browser e server come ben illustrato dal seguente architettura:

 

Fonte: www.operamini.com

 

Blackberry

Anche il blackberry necessita di un suo proxy per poter dialogare e per poter erogare servizi sicuri, e questo è l’unico sistema che hanno i device Blackberry per poter navigare.
Per tali ragioni diverse compagnie hanno deciso di non supportare tale tecnologia.
Inoltre i sistemi Blackberry tengono traccia di qualsiasi transazione, anche questo potrebbe essere un problema per quanto riguarda la sicurezza.

Per saperne di più a riguardo:
http://www.bbhub.com/2006/11/07/dutch-legislators-warned-about-blackberry-security/

iPhone

Anche l’iPhone, come il Blackberry, necessita di una parte server residente presso l’operatore telefonico.
Ancora non è chiaro l’impatto che questo tipo di meccanismo ha sulla sicurezza, anche se è ipotizzabile che tale architettura possa rendere problematica questo aspetto.

Dispositivi che necessitano di un gateway

Il dispositivo mobile utilizza per navigare un operatore telefonico (a meno che non utilizzi una rete intranet Wi-Fi).
Normalmente un dispositivo WAP 1.X utilizza un WAP gateway, e i contenuti che può leggere saranno WML. Per le transazione sicure WAP 1.x utilizza WTLS (Wireless Transport Layer Security) che è uno strato che permette la criptazione tra il dispositivo e il gateway, mentre tra il gateway e il server dialogano in TLS/SSL.
La sicurezza di queste transazioni dipendono dalle policy adottate da ciascun operatore mobile e di conseguenza la valutazione della migliore soluzione dovrà considerare le policy adottate dagli operatori nazionali.
I dispositivi WAP 2.X (che necessitano di contenuti XHTML Mobile Profile) sono progettati per garantire la sicurezza end-to-end, cioè dal dispositivo mobile al server dei servizi.

Dispositivi con cifratura leggera

Non tutti i browser supportano ancora l’SSL (RC4), anche se possiamo affermare che tutti i produttori di apparati mobili ormai implementano nei loro browser questo strato di sicurezza.

Dispositivi che supportano i certificati

Ad oggi ci sono diversi dispositivi mobili che utilizzano i certificati. Gran parte delle aziende adottano i certificati più comuni (Verisign,  Thawte, Entrust). Possiamo affermare che Verisign è la Ceritification Authority più utilizzata dagli operatori telefonici.
Quindi prima di adottare un’altra soluzione bisognerà confrontarsi con i vari operatori e discutere la fattibilità della soluzione.

Roaming

L’utente fuori dal territorio internazionale per usufruire dei vari servizi telefonici utilizzerà il roaming internazionale. Questo aspetto è molto importante, in quanto si dovrà prevedere che tipo di servizi offrire all’utente in roaming internazionale, visto che non si potrà sapere che tipo di policy di sicurezza è adottata dall’operatore telefonico che sta erogando il servizio in quel momento.

Altri aspetti di sicurezza

Qui di seguito elenchiamo altri aspetti sulla sicurezza mobile che si dovranno affrontare in una seconda fase:

  • DNS Poisoning: utenti che fanno finta di essere altre utenti
  • Malicious WiFi Hotspot: che possono fare attività di sniffing
  • Trojan/Virus/Key logger: installati sui telefonini che possono fare attività di traffico di rete
  • Spam/Phishing: tramite SMS si può indurre un utente ad andare su un finto sito per poter catturare le sue credenziali.

Bibliografia

Per chi volesse approfondire sull’argomento:
“WAP Gap”: http://www.google.com/search?hl=en&q=%22wap+gap%22
WAP 2.0 Security:http://www.google.com/search?hl=en&safe=off&q=%22wap+2.0%22+security
In particolare:http://www.sans.org/reading_room/whitepapers/wireless/159.php
SMS Phishing:http://www.google.com/search?hl=en&safe=off&q=sms+phishing
Mobile Malware:http://www.google.com/search?hl=en&safe=off&q=mobile+malware
Paper: “Security and Trust in Mobile World” (sic): http://www.eusea2006.org/workshops/workshopsession.2006-01-10.9152275176/sessionspeaker.2006-04-10.5244001438/file/at_download
(Inoltre: http://www.eusea2006.org/workshops/workshopsession.2006-01-10.9152275176/sessionspeaker.2006-04-10.5244001438/file/at_download )

 

Comments (0)
Only registered users can write comments!
 

Newsletter





bottom
top

Mobility Site

WMLProgramming

Mobile Monday


bottom

IF sas di Idel Fuschini & C. P.IVA: 09659851001
Powered by Joomla!. Designed by: Free Joomla Themes, hosting. Valid XHTML and CSS.