Quando il panico è ormai un ricordo, i veri problemi restano. E riguardano, in fondo, solo gli utenti smartphone che hanno più di due anni. Saranno questi infatti, secondo gli esperti, i bersagli dei cybercriminali che vorranno sfruttare i bug Spectre e Meltdown (http://nova.ilsole24ore.com/nova24-tech/meltdown-e-spectre-come-difendersi-dalle-nuove-minacce-digitali/).

È quanto risulta se mettiamo insieme due elementi emersi nei giorni scorsi. Primo: si è ormai appreso quali saranno i modelli che riceveranno le patch dei produttori e quali resteranno vulnerabili. Secondo: l’exploit dei bug ancora non c’è stato, quindi arriverà presumibilmente già dopo che tutti i computer e gli smartphone non vecchi avranno ricevuto le patch. Conseguenza: a restare allo scoperto – modello tiro al piccione digitale – saranno appunto coloro che hanno un cellulare “anzianotto”. Qui compresi non solo gli utenti residenziali che non si possono permettere di comprarne uno nuovo; ma anche quelli business, dipendenti di aziende che limitano parecchio il ricambio dei dispositivi in dotazione.

 

I modelli a rischio

Tra quelli che non saranno “patchati” ci sono l’iPhone 5 e il 5C, i Samsung Galaxy S4 e S5, i Note 4 e i Huawei il P7 e P8 (per citare alcuni dei marchi più venduti). Secondo una stima di riCompro (https://www.ricompro.it/verifica-sicurezza-smartphone-android-iphone/), addirittura un cellulare in uso in Italia su due resterà senza patch.

“Dal momento che ormai i nostri dispositivi mobili hanno prestazioni molto elevate, le CPU utilizzate (principalmente processori ARM, anche se nei dispositivi Apple sono varianti proprietarie) adottano meccanismi di accelerazione analoghi a quelli usati sui sistemi desktop e server”, spiega Stefano Zanero, esperto di cybersecurity e docente al Politecnico di Milano. “In sostanza, tutti i dispositivi mobili recenti si sono dimostrati vulnerabili a questi attacchi ed è ampiamente prevedibile che lo siano per nuove scoperte di bug dello stesso tipo (che tutti ci aspettiamo avvengano)”, aggiunge.

“La principale problematica nel mondo mobile è la disponibilità degli aggiornamenti: molti dispositivi (in particolare nel mondo Android) sono troppo vecchi per ricevere le ultime versioni del software ed è pertanto prevedibile che rimarrà un’ampia popolazione non protetta”, continua.

Aggiunge Alessio Pennasilico Information & Cyber Security Advisor di P4I e Presidente di Aip, Associazione Informatici Professionisti (più informalmente noto nell’hacker underground come -=mayhem=): “gli aggiornamenti è possibile installarli solo se il produttore li fornisce. Se Apple è abbastanza solerte sul tema, il mercato Android è nel caos più completo”. “Migliaia di varianti, personalizzazioni, meccanismi di aggiornamento, versioni per hardware e vendor estremamente diversi tra loro- spiega Pennasilico. In molti casi il telefono è obsoleto e gli aggiornamenti non verranno pubblicati. In altri casi il produttore non supporta più quel modello per ragioni commerciali. Quindi l’insieme dei telefoni non aggiornati si compone di chi l’aggiornamento non lo può avere (e deve cambiare telefono) e di chi l’aggiornamento lo potrebbe applicare ma ignora il problema”.

Risultato: “questo scenario, unito dalla ridottissima capacità di individuare l’attacco, dalla facilità di veicolarlo, soprattutto sui dispositivi mobili e dall’impossibilità di accorgersi che l’attacco è avvenuto, delinea i contorni di una situazione gravissima, irrimediabile, che solo in Italia riguarda decine di milioni di dispositivi”, dice Pennasilico.

 

Cosa si rischia

Un problema grave, quindi. Secondo gli esperti, i principali bersagli sono le informazioni per accedere all’online banking, che i cybercriminali possono rubare dal cellulare grazie a q            uesti bug. “A rischio anche tutti i dati che sono sul cloud, poiché i cellulari ne contengono le chiavi di accesso”, dice Zanero. “Idem le credenziali per accedere alle VPN aziendali”. Ne derivano insomma pericoli per l’intera azienda.

“Bisogna anche tenere conto che per alcune di queste vulnerabilità e per alcuni tipi di hardware potrebbe bastare visitare una pagina web maligna per essere infettati dal malware che ruba i dati personali”, dice Zanero. “E l’antivirus non ci aiuterà, dato che quelli su mobile perlopiù proteggono dall’installazione di app maligne”, continua.

 

 

 

 

 

 

 

La perdita di prestazioni

Infine, un problema aggiuntivo riguarda i modelli che hanno ottenuto per un soffio la patch. Come l’iPhone6, che secondo alcune stime (https://melv1n.com/iphone-performance-benchmarks-after-spectre-update) perde il 40 per cento della velocità dopo l’aggiornamento. Più è vecchio il dispositivo (questo vale anche per i computer), maggiore è l’impatto. I nuovi processori (smartphone e pc) hanno invece un impatto irrisorio dalla patch, secondo stime Apple e Microsoft.