Dall’e-mail al banking, i nostri smartphone sono il fulcro della nostra vita online. Non c’è da stupirsi che gli smartphone rivaleggiano con i computer come obiettivi comuni per gli hacker online. E nonostante gli sforzi di Google e Apple, il malware mobile continua ad arrivare negli app store ufficiali e queste app dannose stanno diventando più subdole. Secondo il McAfee 2020 Mobile Threat Report, oltre la metà delle app malware per dispositivi mobili “si nasconde” su un dispositivo, senza un’icona della schermata Home, dirottando il dispositivo per pubblicare annunci indesiderati, pubblicare recensioni fasulle o rubare informazioni che possono essere vendute o utilizzate per trattenere vittime da riscattare.
E mentre gli iPhone possono essere violati, più malware prende di mira i dispositivi Android. Nel suo rapporto sullo stato del malware del 2020, MalwareBytes ha segnalato un aumento di adware aggressivi e malware preinstallati su dispositivi Android progettati per rubare dati – o semplicemente l’attenzione delle vittime.
Il malware può anche includere spyware che monitora il contenuto di un dispositivo, programmi che sfruttano la larghezza di banda Internet di un dispositivo da utilizzare in una botnet per inviare spam o schermate di phishing che rubano gli accessi di un utente quando vengono inseriti in un’app compromessa e legittima.
Viene spesso scaricato da fonti non ufficiali, inclusi collegamenti di phishing inviati tramite e-mail o messaggio, nonché da siti Web dannosi (sebbene gli esperti di sicurezza consigliano di scaricare sempre da app ufficiali tores, come l’Apple App Store o Google Play, alcuni paesi non sono in grado di accedere a determinate app da queste fonti, ad esempio, app di messaggistica sicure che consentirebbero alle persone di comunicare in segreto.
Poi ci sono le pubblicità app spia che richiedono l’accesso fisico per essere scaricate su un telefono, spesso eseguite da persone ben note alla vittima, come un partner o un genitore, e che possono monitorare tutto ciò che accade sul dispositivo.
Non sono sicuro se potresti essere stato violato? Abbiamo parlato con Josh Galindo, direttore della formazione di uBreakiFix, su come dire che uno smartphone potrebbe essere stato compromesso. Inoltre, esploriamo i dodici modi in cui il tuo telefono può essere violato e le misure che puoi adottare per proteggerti.
6 Segni che il tuo telefono potrebbe essere stato violato
Notevole diminuzione della durata della batteria
Mentre la durata della batteria di un telefono diminuisce inevitabilmente nel tempo, uno smartphone che è stato compromesso da malware potrebbe iniziare a mostrare una durata notevolmente ridotta. Questo perché il malware, o l’app spia, potrebbe utilizzare le risorse del telefono per eseguire la scansione del dispositivo e ritrasmettere le informazioni a un server criminale.
(Detto questo, il semplice utilizzo quotidiano può ugualmente ridurre la durata di vita di un telefono . Controlla se è così eseguendo questi passaggi per migliorare la durata della batteria del tuo Android o iPhone.)
Prestazioni lente
Il tuo telefono si blocca spesso o alcune applicazioni si bloccano? Ciò potrebbe essere dovuto al malware che sovraccarica le risorse del telefono o che si scontra con altre applicazioni.
È possibile che le applicazioni continuino a funzionare nonostante gli sforzi per chiuderle o che il telefono stesso si blocchi e / o si riavvii. ripetutamente.
(Come con la durata della batteria ridotta, molti fattori potrebbero contribuire a un telefono più lento, essenzialmente, al suo utilizzo quotidiano, quindi prova prima a pulire a fondo il tuo Android o iPhone.)
Alta utilizzo dei dati
Un altro segno di un telefono compromesso è una bolletta dati insolitamente alta alla fine del mese, che può provenire da malware o app spia in esecuzione in background, che inviano informazioni al suo server.
Chiamate in uscita o SMS che non hai inviato
Se vedi elenchi di chiamate o SMS a numeri che non conosci, fai attenzione: potrebbero essere numeri a tariffa maggiorata che il malware sta costringendo il tuo telefono a contattare; i cui proventi finiscono nel portafoglio del criminale informatico. In questo caso, controlla sulla bolletta del telefono eventuali costi che non riconosci.
Popup misteriosi
Anche se non tutti i popup indicano che il tuo telefono è stato violato, -up avvisi potrebbero indicare che il tuo telefono è stato infettato da adware, una forma di malware che costringe i dispositivi a visualizzare determinate pagine che generano entrate tramite i clic. Anche se un pop-up non è il risultato di un telefono compromesso, molti potrebbero essere collegamenti di phishing che tentano di indurre gli utenti a digitare informazioni sensibili o a scaricare altro malware.
Attività insolite su qualsiasi account collegato al dispositivo
Se un hacker ha accesso al tuo telefono, ha accesso anche ai suoi account: dai social media alle e-mail a varie app di lifestyle o di produttività. Questo potrebbe rivelarsi in attività sui tuoi account, come la reimpostazione di una password, l’invio di e-mail, il contrassegno di e-mail non lette che non ricordi di aver letto o la registrazione di nuovi account le cui e-mail di verifica arrivano nella tua casella di posta.
In questo caso, potresti essere a rischio di frode di identità, in cui i criminali aprono nuovi account o linee di credito a tuo nome, utilizzando le informazioni prese dai tuoi account violati.È una buona idea cambiare le password, senza aggiornarle sul telefono, prima di eseguire un controllo di sicurezza sul telefono stesso.
Cosa fare se il telefono viene violato
Se tu se hai riscontrato uno qualsiasi di questi sintomi di uno smartphone violato, il primo passo migliore è scaricare un’app di sicurezza mobile.
Per Android, ci piacciono Bitdefender o McAfee per i loro robusti set di funzionalità e le valutazioni elevate da malware indipendenti laboratori di analisi.
E sebbene gli iPhone possano essere meno inclini agli hack, non sono totalmente immuni. Lookout for iOS segnala le app che agiscono in modo dannoso, reti Wi-Fi potenzialmente pericolose e se l’iPhone è stato jailbroken (il che aumenta il rischio di hacking). È gratuito, con $ 2,99 al mese per la protezione dell’identità, inclusi gli avvisi di accessi esposti.
Chi potrebbe hackerare il tuo telefono?
Ormai, lo spionaggio del governo è un ritornello così comune che noi potrebbe essere diventato insensibile all’idea che la NSA intercetta le nostre telefonate o che l’FBI possa hackerare i nostri computer ogni volta che vuole. Eppure ci sono altri mezzi tecnologici – e motivazioni – per hacker, criminali e persino le persone che conosciamo, come un coniuge o un datore di lavoro, per hackerare i nostri telefoni e invadere la nostra privacy. E a meno che tu non sia un obiettivo di alto profilo – giornalista, politico, dissidente politico, dirigente d’azienda, criminale – che merita un interesse speciale, è molto più probabile che tu sia qualcuno vicino a te che un ente governativo che fa lo spionaggio.
12 modi in cui il tuo telefono può essere violato
Da violazioni mirate e spionaggio alimentato dalla vendetta a appropriazioni di terra opportunistiche per i dati degli ignari, ecco dodici modi in cui qualcuno potrebbe spiare il tuo cellulare – e cosa puoi fare al riguardo.
App spia
C’è un eccesso di app di monitoraggio del telefono progettate per tracciare di nascosto la posizione di qualcuno e curiosare nelle sue comunicazioni. Molti vengono pubblicizzati a partner sospetti o datori di lavoro diffidenti, ma ancora di più sono commercializzati come uno strumento legittimo per i genitori preoccupati per la sicurezza per tenere sotto controllo i propri figli. Tali app possono essere utilizzate per visualizzare in remoto messaggi di testo, e-mail, cronologia Internet e foto; registrare telefonate e posizioni GPS; alcuni potrebbero persino dirottare il microfono del telefono per registrare le conversazioni fatte di persona. Fondamentalmente, quasi tutto ciò che un hacker potrebbe voler fare con il tuo telefono, queste app lo consentirebbero.
E questa non è solo vuota retorica. Quando abbiamo studiato le app di spionaggio dei cellulari nel 2013, abbiamo scoperto che potevano fare tutto ciò che avevano promesso. Peggio ancora, erano facili da installare per chiunque e la persona che veniva spiata non sarebbe stata più saggia che lì ogni mossa fosse monitorata.
“Non ci sono troppi indicatori di una spia nascosta app: potresti vedere più traffico Internet sulla bolletta o la durata della batteria potrebbe essere più breve del solito perché l’app sta segnalando a una terza parte “, afferma Chester Wisniewski, ricercatore principale presso l’azienda di sicurezza Sophos.
Probabilità
Le app spia sono disponibili su Google Play, così come negli store non ufficiali per app iOS e Android, rendendo il download abbastanza facile per chiunque abbia accesso al tuo telefono (e un motivo) uno.
Come proteggersi
- Poiché l’installazione di app spia richiede l’accesso fisico al tuo dispositivo, l’inserimento di un passcode sul tuo telefono riduce notevolmente le possibilità che qualcuno possa accedervi il tuo telefono in primo luogo. E poiché le app spia sono spesso installate da qualcuno vicino a te (pensa al tuo coniuge o a un’altra persona significativa), scegli un codice at non sarà indovinato da nessun altro.
- Scorri il tuo elenco di app per quelle che non riconosci.
- Non eseguire il jailbreak del tuo iPhone. “Se un dispositivo non è jailbroken, vengono visualizzate tutte le app”, afferma Wisniewski. “Se è jailbreak, le app spia sono in grado di nascondersi in profondità nel dispositivo e se il software di sicurezza può trovarlo dipende dalla sofisticazione dell’app spia . “
- Per gli iPhone, assicurarsi che il telefono non sia jailbroken impedisce anche a chiunque di scaricare un’app spia sul telefono, poiché tale software, che manomette le funzioni a livello di sistema, non lo fa sul App Store.
- Scarica un’app di sicurezza mobile. Per Android, ci piace Bitdefender o McAfee, e per iOS, consigliamo Lookout per iOS.
Messaggi di phishing
Che si tratti di un testo che afferma di provenire da un contatto del coronavirus tracer, o un amico che ti esorta a dare un’occhiata a questa tua foto la scorsa notte, i testi SMS contenenti collegamenti ingannevoli che mirano a racimolare informazioni sensibili (altrimenti noto come phishing o “smishing”) continuano a fare il giro.
E poiché le persone controllano spesso le loro app di posta elettronica durante il giorno, le email di phishing sono altrettanto redditizie per gli aggressori.
Periodi come la stagione delle tasse tendono ad attirare un picco nei messaggi di phishing, sfruttando la preoccupazione delle persone per le loro tasse ritorno, mentre il periodo di pagamento dello stimolo governativo relativo al coronavirus di quest’anno ha provocato un aumento delle e-mail di phishing che si presume provengano dall’IRS.
I telefoni Android possono anche cadere preda di messaggi con collegamenti per scaricare app dannose (la stessa truffa non è prevalente per gli iPhone, che comunemente non sono jailbroken e quindi non possono scaricare app da nessun luogo tranne che dall’App Negozio.). Tuttavia, Android ti avviserà quando proverai a scaricare un’app non ufficiale e chiederai il permesso di installarla: non ignorare questo avviso.
Tali app dannose potrebbero esporre i dati del telefono di un utente o contenere un phishing overlay progettato per rubare le informazioni di accesso da app mirate, ad esempio la banca o l’app di posta elettronica di un utente.
Probabilità
Molto probabile. Sebbene le persone abbiano imparato a essere scettiche nei confronti delle e-mail che chiedono loro di “fare clic per vedere questo video divertente!”, Il laboratorio di sicurezza Kaspersky osserva che tendono a essere meno diffidenti sui loro telefoni.
Come proteggersi
- Tieni presente come di solito verifichi la tua identità con vari account: ad esempio, la tua banca non ti chiederà mai di inserire la password o il PIN completo.
- Controlla la sezione phishing dell’IRS per familiarizzare con il modo in cui l’agenzia delle entrate comunica con le persone e verificare tutte le comunicazioni che ricevi
- Evita di fare clic su link da numeri che non conosci o in messaggi curiosamente vaghi di amici, soprattutto se non puoi vedere l’URL completo.
- Se fai clic sul link e provi a scaricare un’app non ufficiale, il tuo telefono Android dovrebbe avvisarti prima di installarla. Se hai ignorato l’avviso o l’app ha in qualche modo aggirato la sicurezza di Android , elimina l’app e / o esegui una scansione della sicurezza del dispositivo mobile.
Accesso non autorizzato a iCloud o Googl account
Gli account iCloud e Google compromessi offrono l’accesso a una quantità incredibile di informazioni di cui è stato eseguito il backup dallo smartphone: foto, rubriche, posizione corrente, messaggi, registri delle chiamate e, nel caso del portachiavi iCloud, password salvate ad account di posta elettronica, browser e altre app. E ci sono venditori di spyware là fuori che commercializzano specificamente i loro prodotti contro queste vulnerabilità.
I criminali online potrebbero non trovare molto valore nelle foto di gente normale, a differenza delle immagini nude di celebrità che trapelano rapidamente, ma lo sanno i proprietari delle foto lo fanno, dice Wisniewski, il che può portare ad account e ai loro contenuti tenuti in ostaggio digitale a meno che le vittime non paghino un riscatto.
Inoltre, un account Google crackato significa un Gmail crackato, l’email principale per molti utenti.
Avere accesso a un’e-mail principale può portare all’hacking con effetto domino di tutti gli account a cui l’email è collegata, dal tuo account Facebook all’account del tuo operatore di telefonia mobile, aprendo la strada a una profondità di furto di identità che comprometterebbe seriamente il tuo credito.
Probabilità
“Questo è un grosso rischio. Tutto ciò di cui ha bisogno un aggressore è un indirizzo email; non l’accesso al telefono, né al numero di telefono “, Dice Wisniewski. Se ti capita di usare il tuo nome nel tuo indirizzo email, il tuo indirizzo email principale per iscriversi a iCloud / Google e una password debole che incorpora informazioni di identificazione personale, non sarebbe difficile per un hacker che può facilmente raccogliere tali informazioni dai social network o dai motori di ricerca.
Come proteggersi
- Crea una password complessa per questi account chiave (e come sempre, la tua email).
- Abilita le notifiche di accesso in modo da essere a conoscenza degli accessi da nuovi computer o posizioni.
- Abilita l’autenticazione a due fattori in modo che, anche se qualcuno scopre la tua password, non può accedere al tuo account senza accedere al tuo telefono.
- Per impedire a qualcuno di reimpostare la tua password, mente quando imposti le domande di sicurezza della password. Saresti stupito di quante domande di sicurezza si basano su informazioni facilmente disponibili su Internet o ampiamente conosciute da familiari e amici.
Hackeraggio Bluetooth
Qualsiasi wireless la connessione potrebbe essere vulnerabile ai cyber-ficcanaso e all’inizio di quest’anno, i ricercatori di sicurezza hanno scoperto una vulnerabilità in dispositivi Android 9 e precedenti che consentirebbe agli hacker di connettersi segretamente tramite Bluetooth, quindi di raschiare i dati sul dispositivo. (Nei dispositivi Android 10, l’attacco avrebbe causato un arresto anomalo del Bluetooth, rendendo impossibile la connessione.)
Sebbene la vulnerabilità sia stata corretta con aggiornamenti di sicurezza subito dopo, gli aggressori potrebbero essere in grado di violare la tua connessione Bluetooth tramite altri vulnerabilità o inducendoti ad accoppiarti con il loro dispositivo dandogli un altro nome (come “AirPods” o un altro nome universale). E una volta connesso, le tue informazioni personali sarebbero a rischio.
Probabilità
“Piuttosto bassa, a meno che non si tratti di un attacco mirato”, afferma Dmitry Galov, ricercatore di sicurezza di Kaspersky. ” quindi, molti fattori devono unirsi per renderlo possibile. “
Come proteggersi
- Attiva il Bluetooth solo quando lo stai effettivamente utilizzando
- Non accoppiare un dispositivo in pubblico per evitare di cadere preda di richieste di accoppiamento dannose.
- Scarica sempre gli aggiornamenti di sicurezza per correggere le vulnerabilità non appena vengono scoperte
Sostituzione della SIM
Un altro motivo per essere rigorosi su ciò che pubblichi online: i criminali informatici possono chiamare i gestori di telefonia mobile per spacciarsi per clienti legittimi che sono stati bloccati dai loro account. Fornendo informazioni personali rubate, sono in grado di trasferire il numero di telefono sul proprio dispositivo e di utilizzarlo per rilevare gli account online di una persona. In un battibecco di Instagram per gestire i furti, ad esempio, gli hacker hanno utilizzato nomi di accesso noti per richiedere modifiche alla password e intercettare i testi di autenticazione a più fattori inviati al numero di telefono rubato. La proposta? Per trattenere le vittime per un riscatto o, nel caso di nomi di alto valore, vendere su mercati sotterranei. Alcune persone hanno anche avuto account di criptovaluta dirottati e prosciugati.
Inoltre, i ricercatori hanno scoperto http://www.bitdefender.com/solutions/ che c’erano rappresentanti in tutti e cinque i principali operatori che hanno autenticato gli utenti che davano il informazioni errate (come indirizzo di fatturazione o codice postale), chiedendo invece le ultime tre cifre degli ultimi due numeri composti. I ricercatori sono stati in grado di fornire questi dettagli inviando prima un messaggio di testo in cui chiedeva agli utenti di chiamare un determinato numero, che riproduceva un messaggio vocale che diceva loro di chiamare un secondo numero.
Probabilità
“Attualmente, Lo scambio di SIM è particolarmente popolare in Africa e America Latina “, afferma Galov.” Ma conosciamo casi moderni di diversi paesi in tutto il mondo “.
Come proteggersi
- Don Non utilizzare numeri indovinabili per il PIN del tuo operatore, come il tuo compleanno o i compleanni della tua famiglia, che possono essere trovati tutti sui social media.
- Scegli un’app di autenticazione come Authy o Google Authenticator invece di SMS per 2FA. “Questa misura ti proteggerà nella maggior parte dei casi”, afferma Galov.
- Utilizza password complesse e autenticazione a più fattori per tutti i tuoi account online per ridurre al minimo il rischio di un hack che può rivelare le informazioni personali utilizzate per dirottare il tuo SIM.
Fotocamera del telefono compromessa
Man mano che le videochiamate diventano sempre più diffuse per il lavoro e i contatti familiari, è stata evidenziata l’importanza di proteggere le webcam dei computer dagli hacker, ma questo fronte Anche la telecamera di fronte al telefono potrebbe essere a rischio. Un problema tecnico risolto da allora nell’app Fotocamera integrata di Android, ad esempio, avrebbe consentito agli aggressori di registrare video, rubare foto e dati di geolocalizzazione delle immagini, mentre le app dannose con accesso all’app della fotocamera ( vedi sotto) potrebbe anche consentire ai criminali informatici di dirottare la tua videocamera.
Probabilità
Meno prevalente degli attacchi da webcam del computer.
Come proteggerti
- Scarica sempre gli aggiornamenti di sicurezza per tutte le app e il tuo dispositivo.
App che richiedono autorizzazioni in eccesso
Sebbene molte app richiedano eccessivamente le autorizzazioni allo scopo di raccogliere dati, alcune potrebbero essere più dannose, in particolare se scaricate da negozi non ufficiali, e richiedere l’accesso invadente a qualsiasi cosa, dai dati sulla posizione al rullino fotografico.
Secondo una ricerca di Kaspersky, molte app dannose nel 2020 traggono vantaggio dall’accesso al Servizio di accessibilità, una modalità pensata per facilitare l’uso degli smartphone per le persone con disabilità. “Con il permesso di utilizzarlo, un’applicazione dannosa ha possibilità quasi illimitate di interagire con l’interfaccia di sistema e le app”, afferma Galov. Alcune app stalkerware, ad esempio, sfruttano questa autorizzazione.
App VPN gratuite sono anche probabili colpevoli di richieste eccessive di autorizzazioni. Nel 2019, i ricercatori hanno scoperto che due terzi delle prime 150 app VPN gratuite più scaricate su Android hanno richiesto dati sensibili come le posizioni degli utenti.
Probabilità
La richiesta eccessiva di autorizzazioni accade comunemente, afferma Galov.
Come proteggersi
- Leggi le autorizzazioni delle app ed evita di scaricare app che richiedono più accesso di dovrebbero funzionare.
- Anche se le autorizzazioni di un’app sembrano essere in linea con la sua funzione, controlla le recensioni online.
- Per Android, scarica un’app antivirus come Bitdefender o McAfee che eseguirà la scansione delle app prima del download, oltre a segnalare attività sospette sulle app che possiedi.
Snoop tramite W aperto Reti i-Fi
La prossima volta che ti imbatti in una rete Wi-Fi priva di password in pubblico, è meglio non andare online. Gli intercettatori su una rete Wi-Fi non protetta possono visualizzare tutto il suo traffico non crittografato. E nefasti hotspot pubblici possono reindirizzarti a siti bancari o di posta elettronica simili progettati per acquisire il tuo nome utente e password. Né è necessariamente un losco manager dello stabilimento che stai frequentando. Ad esempio, qualcuno fisicamente dall’altra parte della strada rispetto a un bar potrebbe creare una rete Wi-Fi senza accesso che prende il nome dal bar, nella speranza di ottenere utili dettagli di accesso per la vendita o il furto di identità.
Probabilità
Qualsiasi persona esperta di tecnologia potrebbe potenzialmente scaricare il software necessario per intercettare e analizzare il traffico Wi-Fi.
Come proteggersi
- Utilizza solo reti Wi-Fi pubbliche protette da password e con WPA2 / 3 abilitato (lo vedrai nella schermata di accesso che richiede la password), dove il traffico è crittografato per impostazione predefinita durante la trasmissione.
- Scarica un’app VPN per crittografare il traffico del tuo smartphone. NordVPN (Android / iOS da $ 3,49 / mese) è un’ottima scelta a tutto tondo che offre protezione multi-dispositivo, ad esempio per tablet e laptop.
- Se devi connetterti a una rete pubblica e non farlo. Non disponi di un’app VPN, evita di inserire i dettagli di accesso per i siti bancari o le e-mail. Se non puoi evitarlo, assicurati che l’URL nella barra degli indirizzi del browser sia quello corretto. Non inserire mai informazioni private a meno che tu non abbia una connessione sicura all’altro sito (cerca “https” nell’URL e un’icona di lucchetto verde nella barra degli indirizzi).
- Attivazione dell’autenticazione a due fattori per online ti aiuteranno anche a proteggere la tua privacy sulle reti Wi-Fi pubbliche.
App con crittografia debole
Anche le app non dannose possono lasciare il tuo dispositivo mobile vulnerabile. a InfoSec Institute, le app che utilizzano algoritmi di crittografia deboli possono far trapelare i tuoi dati a qualcuno che li cerca. Oppure, quelle con algoritmi potenti implementati in modo improprio possono creare altre backdoor che gli hacker possono sfruttare, consentendo l’accesso a tutti i dati personali sul tuo telefono.
Probabilità
“Un rischio potenziale, ma una minaccia meno probabile rispetto ad altri come Wi-Fi non protetto o phishing”, afferma Galov.
Come proteggersi
- Controlla le recensioni delle app online prima di scaricarle, non solo negli app store (che sono spesso soggetti a revisioni di spam), ma nella ricerca Google, per comportamento impreciso che altri utenti potrebbero aver segnalato.
- Se possibile, scarica solo app da sviluppatori affidabili, ad esempio, che si presentano su Google con recensioni positive e risultati di feedback o su siti di recensioni degli utenti come Trustpilot. Secondo Kaspersky, “spetta agli sviluppatori e alle organizzazioni applicare standard di crittografia prima che le app vengano distribuite”.
Vulnerabilità della rete telefonica globale SS7
Un protocollo di comunicazione per dispositivi mobili reti in tutto il mondo, il sistema di segnalazione n. 7 (SS7), presenta una vulnerabilità che consente agli hacker di spiare messaggi di testo, telefonate e posizioni, armati solo del numero di cellulare di qualcuno.
I problemi di sicurezza sono stati risolti -conosciuto da anni, e gli hacker hanno sfruttato questo buco per intercettare i codici di autenticazione a due fattori (2FA) inviati tramite SMS dalle banche, con i criminali informatici in Germania che prosciugano i conti bancari delle vittime. La Metro Bank del Regno Unito è stata vittima di un attacco simile.
Questo metodo potrebbe essere utilizzato anche per hackerare altri account online, dall’email ai social media, distruggendo il caos finanziario e personale.
Secondo il ricercatore di sicurezza Karsten Nohl, le forze dell’ordine e le agenzie di intelligence usano l’exploit per intercettare i dati del telefono cellulare, e quindi don hanno necessariamente un grande incentivo a vedere che viene applicata la patch.
Probabilità
La probabilità è in aumento, poiché le risorse minime necessarie per sfruttare questa vulnerabilità l’hanno resa disponibile ai criminali informatici con un profilo molto più piccolo che sta cercando di rubare codici 2FA per account online, piuttosto che toccare i telefoni di leader politici, CEO o altre persone le cui comunicazioni potrebbero avere un valore elevato nei mercati clandestini.
Come proteggersi
- Scegli l’email o (ancora più sicura) un’app di autenticazione come metodo 2FA, invece di SMS.
- Utilizza un servizio di messaggi crittografati end-to-end che funziona su Internet ( bypassando così il protocollo SS7), afferma Wisniewski. WhatsApp (gratuito, iOS / Android), Signal (gratuito, iOS / Android) e Wickr Me (gratuito, iOS / Android) crittografano tutti i messaggi e le chiamate, impedendo a chiunque di intercettare o interferire con le tue comunicazioni.
- Tieni presente che se fai parte di un gruppo potenzialmente mirato le tue conversazioni telefoniche potrebbero essere monitorate e agisci di conseguenza.
Stazioni di ricarica dannose
Anche se viaggi e turismo potrebbero non essere attivi l’orizzonte in qualsiasi momento presto, l’anno scorso l’ufficio del procuratore distrettuale della contea di Los Angeles ha rilasciato un avviso di sicurezza sul rischio di dirottamento di stazioni di ricarica USB pubbliche in luoghi come aeroporti e hotel.
Stazioni di ricarica dannose, inclusi malware, computer caricati: approfittate del fatto che i cavi USB standard trasferiscono i dati e caricano la batteria. I vecchi telefoni Android possono persino montare automaticamente il disco rigido al momento della connessione a qualsiasi computer, esponendo i suoi dati a un proprietario senza scrupoli.
I ricercatori di sicurezza hanno anche dimostrato che è possibile dirottare la funzione di uscita video in modo che una volta collegati un hub di addebito dannoso, un hacker può monitorare ogni battitura, comprese password e dati sensibili.
Probabilità
Bassa.Non ci sono casi ampiamente conosciuti di punti di ricarica dirottati, mentre i telefoni Android più recenti chiedono il permesso di caricare il proprio disco rigido quando vengono collegati a un nuovo computer; Gli iPhone richiedono un PIN. Tuttavia, potrebbero essere scoperte nuove vulnerabilità.
Come proteggersi
- Non collegare a dispositivi sconosciuti; portare un caricatore da muro. Potresti voler investire in un cavo USB di sola ricarica come PortaPow ($ 9,99 per confezione da due su Amazon)
- Se un computer pubblico è la tua unica opzione per rianimare una batteria scarica, seleziona “Solo carica” opzione (telefoni Android) se viene visualizzato un popup quando si collega la spina o si nega l’accesso dall’altro computer (iPhone).
Torri cellulari fasulle, come Stingray dell’FBI
L’FBI, l’IRS, l’ICE, la DEA, la guardia nazionale degli Stati Uniti, l’esercito e la marina sono tra gli enti governativi noti per l’utilizzo di dispositivi di sorveglianza cellulare (l’omonimo StingRays) che imitano le torri di rete in buona fede.
StingRays e similari ripetitori wireless carrier tower, costringono i telefoni cellulari nelle vicinanze a interrompere la loro connessione operatore esistente per connettersi invece allo StingRay, consentendo agli operatori del dispositivo di monitorare le chiamate e i messaggi effettuati da questi telefoni, i loro movimenti e il numero di chi scrivono e chiamata.
Poiché StingRays ha un raggio di circa 1 km, un tentativo di monitorare il telefono di un sospetto in un centro cittadino affollato potrebbe fino a decine di migliaia di telefoni intercettati.
Fino alla fine del 2015, i mandati non erano richiesti per il monitoraggio dei cellulari abilitati per StingRay. L’American Civil Liberties Union ha identificato oltre 75 agenzie federali in oltre 27 stati che possiedono StingRays, ma osserva che questo numero è probabilmente una drastica sottostima. Sebbene alcuni stati vietino l’uso della tecnologia di intercettazione a meno che non si tratti di indagini penali, molte agenzie non ottengono mandati per il loro utilizzo.
Probabilità
Anche se il cittadino medio non è l’obiettivo di un’operazione StingRay, è impossibile sapere cosa viene fatto con dati estranei acquisiti da non target, grazie a agenzie federali a bocca chiusa.
Come proteggersi
- Usa messaggistica crittografata e app per chiamate vocali, in particolare se entri in una situazione che potrebbe essere di interesse del governo, come una protesta. Signal (gratuito, iOS / Android) e Wickr Me (gratuito, iOS / Android) crittografano entrambi i messaggi e le chiamate, impedendo a chiunque di intercettare o interferire con le tue comunicazioni. La maggior parte della crittografia in uso oggi non è divisibile, afferma Wisniewski, e una singola telefonata richiederebbe 10-15 anni per decrittografare.
“La cosa difficile è che la polizia ha potere legale per farlo, gli hacker possono fare lo stesso “, afferma Wisniewski.” Non siamo più nel regno della tecnologia che costa milioni e alla quale hanno accesso solo i militari. Gli individui che intendono interferire con le comunicazioni hanno la capacità di farlo. “
Dagli addetti ai lavori alla sicurezza alle persone meno esperte di tecnologia, molti si stanno già allontanando dalle comunicazioni tradizionali non crittografate e forse in diversi anni, sarà impensabile che abbiamo mai permesso alle nostre conversazioni private e alle nostre informazioni di volare attraverso l’etere senza protezione.
Aggiornato il 28/5/2020 con nuovi modi in cui il tuo telefono può essere violato e cosa puoi fare per proteggerti.
Natasha Stokes è una scrittrice di tecnologia da più di 7 anni che si occupa di questioni tecnologiche dei consumatori, privacy digitale e sicurezza informatica. In qualità di editor di funzionalità di TOP10VPN, ha coperto la censura e la sorveglianza online che hanno un impatto sulla vita delle persone in tutto il mondo. Il suo lavoro è apparso anche su BBC Worldwide, CNN, Time and Travel + Leisure.