MOBILE SECURITY

M-payment, paesi emergenti rischiano “epidemia” di attacchi hacker

Secondo uno studio dell’Università della Florida in molte app mancano sistemi di crittografia adeguati. Nel mirino anche le condizioni di servizio che svantaggiano gli utenti finali

Pubblicato il 13 Ago 2015

Domenico Aliperto

banking-payment-commerce-120216155734

Sono considerate uno dei più importanti strumenti di emancipazione delle economie in via di sviluppo, perché disintermediano imprese, soggetti pubblici e privati cittadini dai grandi circuiti della finanza internazionale, agevolando i processi di pagamento e money transfer anche in aree poco progredite dal punto di vista commerciale e infrastrutturale. Ma le applicazioni di mobile payment rappresentano anche un potenziale rischio per i milioni di utenti che le usano inconsapevoli delle falle presenti nei sistemi di sicurezza sottostanti.

È stata una ricerca dell’Università della Florida (i cui risultati sono stati presentati oggi alla 24esima edizione dell’Usenix Security Symposium di Washington) a gettare luce su un tema sempre sottovalutato nel generale entusiasmo suscitato da queste piattaforme, che in alcuni casi movimentano oltre il 30% del Pil di Paesi come il Kenya. Ebbene: su sette applicazioni (attive nei mercati di Brasile, India, Indonesia, Tailandia e Filippine) prese in considerazione, sei risultano affette da pesanti vulnerabilità, che esporrebbero gli utenti a frodi e furti di dati sensibili. “Ed è peggio di quanto ci aspettassimo”, conferma Patrick Traynor, autore dello studio e docente di Informatica presso l’Università americana.

Per esempio si è scoperto che MoneyOnMobile, applicazione indiana che dichiara di codificare i dati attraverso processi di crittografia, esegue effettivamente l’operazione, ma solo dopo averli inviati a un server sprovvisto di adeguati firewall. Un portavoce di My Mobile Payments, la società che realizza la app, ha dichiarato che è già disponibile un nuovo software, Mom Wallet, che migliora con soluzioni ad hoc l’attuale proposta, il cui ritiro dal mercato comincerà il 15 agosto .

Non hanno invece voluto commentare i responsabili di Airtel Money (altra applicazione molto usata nel Subcontinente), che secondo il gruppo di ricerca di Traynor utilizza chiavi di crittografia estremamente semplici, basati su sequenze di otto cifre e lettere a cui segue poi il numero di telefono dell’utente, un metodo facilmente eludibile da un hacker professionista. Problema simili affliggono Oxigen Wallet e GCash, piattaforma con grande seguito nelle Filippine.

I ricercatori aggiungono poi che andando a leggere i termini di servizio di queste app, il più delle volte si scopre che, a differenza di quanto accade nel mondo occidentale, la responsabilità per eventuali frodi o furti è ascrivibile a chi si iscrive alla piattaforma, che paga in prima persona le conseguenze di eventuali disservizi o falle nella sicurezza. “I rischi finanziari per l’utente finale sono significativi”, hanno detto gli autori dell’indagine, “e stiamo attraversando un momento convulso perché molti nuovi entranti stanno cercando di imporre i propri standard man mano che gli appartenenti alle classi sociali più vulnerabili provano ad accedere a questi nuovi servizi”.

Per fortuna, sembra ci sia tempo a sufficienza per correggere i problemi. Gli smartphone non sono ancora così diffusi da generare l’interesse di attaccanti e cybercriminali, mentre conoscere le falle dà – specialmente alle associazioni che puntano su queste applicazioni per favorire uno sviluppo sostenibile delle popolazioni disagiate – modo di intervenire, educare e reagire. Del resto, al di là delle potenziali minacce evidenziate dallo studio dell’Università della Florida, “non ci sono state segnalazioni di furti o frodi all’interno dei circuiti dei mobile banking in questione”, spiega Rebecca Mann, che lavora per i servizi finanziari all’interno del Poor program attivato dalla Gates Foundation. “Ma per interrompere il ciclo della povertà”, dice Mann, “è necessario che in futuro questi servizi siano sempre più sicuri”.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!