Secondo Trend Micro, società che si occupa di sicurezza e sviluppa software antivirus, Apple guida la classifica delle aziende tecnologiche che hanno riportato maggiori vulnerabilità software nel primo trimestre del 2012. “91 vulnerabilità di Apple nel periodo analizzato, la rende la prima tra i top dieci vendor tecnologici del settore” è riportato nel rapporto “Security in the age of Mobility” (qui in fomrsto PDF). Dopo Apple, abbiamo: Oracle (78 vulnerabilità), Google (73), Microsoft (43), IBM (42), Cisco (36), Mozilla (30), MySQL (28), Adobe (27) e Apache (24).
Trend Micro riporta anche che nel periodo analizzato Apple ha rilasciato un grande numero di patch per Safari. A marzo dell’anno prima, è stato per la casa di Cupertino un mese imponente per il rilascio di patch, risolvendo 93 vulnerabilità, un terzo delle quali identificate come “critical” per Leopard e Snow Leopard.
Nel trimestre analizzato Trend Micro ha scovato anche 5000 app malevole per dispositivi Android: “Il dato non è sorprendente dato il sempre maggiore uso di smarthone per l’accesso a internet e l’enorme base di utenti Android”.
Nel settore mobile e tablet la società in collaborazione con Altimeter Group, Enterprise Mobility Foundation e Bloor Research ha qualche giorno addietro presentato uno studio sull’adeguatezza delle piattaforme mobili nel contesto di utilizzo enterprise, rivelando quali piattaforme sono sufficientemente sicure e gestibili in ambito lavorativo: I risultati premiano BlackBerry 7.0, a seguire Apple iOS5, Windows Phone 7.5 e Google Android 2.3.
Le piattaforme sono state valutate sulla base di più fattori, fra cui sicurezza integrata, sicurezza applicativa, autenticazione, cancellazione sicura dei dati, firewall di dispositivo, virtualizzazione e altri ancora. Il punteggio massimo è stato ottenuto da BlackBerry (2,89), seguito da iOS (1,7), Windows Phone (1,61) e Android (1,37).
- BlackBerry – Secondo i ricercatori, la sicurezza e la gestibilità di livello corporate garantite da questa piattaforma ne fanno una buona scelta per i contesti mobili più esigenti. Ciò nonostante è stato messo in evidenza come molte delle funzioni e delle protezioni generalmente attive o attivabili tramite BlackBerry Enterprise Server (BES), non siano presenti sui dispositivi il cui provisioning sia effettuato direttamente dagli utenti tramite BlackBerry Internet Services (BIS). Questo significa che alcune delle più solide funzioni che limitano le potenziali attività rischiose da parte degli utenti, come ad esempio la disattivazione della protezione del dispositivo via password, possono essere rese inattive qualora il dispositivo non passi attraverso BlackBerry Enterprise Server.
- Apple – L’architettura applicativa di iOS fornisce in maniera nativa una protezione adeguata in quanto tutte le applicazioni girano all’interno di proprie sandbox distinte, in un ambiente di memoria condiviso. La sicurezza di iOS viene estesa anche agli attributi fisici di iPhone e iPad. Non sono previste opzioni per l’aggiunta di supporti storage removibili, caratteristica che in realtà contribuisce a un ulteriore livello di protezione. La differenza tra Apple e BlackBerry consiste nel fatto che l’amministratore IT BlackBerry possiede il controllo completo sul dispositivo, mentre con iOS la divisione IT può eseguire le configurazioni necessarie solo dopo che l’utente abbia fornito il proprio permesso.
- Windows Phone – Facendo tesoro delle esperienze passate, Microsoft ha messo a punto con Windows Phone un sistema operativo per smartphone sufficientemente solido e sicuro. Questo OS utilizza privilegi e tecniche di isolamento per creare processi sandbox. Queste “camere”isolate si basano su una struttura di policy che definisce quali funzioni di sistema possono essere attivate dal processo operativo in ogni camera.
- Android – Sebbene Android sia oggi disponibile in versioni più recenti (4.x), la versione 2.x resta quella più utilizzata sui dispositivi portatili nuovi o già in commercio. Ciò comporta un rischio non indifferente, considerando la mancanza di metodi centralizzati per distribuire gli aggiornamenti del sistema operativo: per questo motivo molti utenti non sono protetti dalle vulnerabilità critiche per periodi protratti nel tempo. Tra i punti di forza, il fatto che si tratta di un sistema operativo indipendente da privilegi e che le applicazioni non possono accedere alla rete senza un consenso preventivo. Le app. funzionano all’interno di un loro ambiente sandbox e le autorizzazioni vengono accordate dall’utente in base all’app. Sfortunatamente, accade di frequente che l’utente finale, per la fretta di usare l’app., non verifichi adeguatamente le richieste di autorizzazioni che vengono proposte prima dell’installazione. Una volta accordate le autorizzazioni, risulta raramente chiaro cosa faccia esattamente un’applicazione.
Nigel Stanley, Practice Leader – Security di Bloor Research e co-autore dello studio, afferma: “I professionisti della sicurezza con cui collaboro si dicono preoccupati per le rapide evoluzioni della consumerizzazione. Al di là delle sfide di natura tecnica, le imprese devono infatti comprendere quanto sia essenziale dotarsi di una strategia di sicurezza solida, affiancata da un programma di sensibilizzazione e informazione degli utenti”.
Per Raimund Genes, CTO di Trend Micro “tutti i dispositivi mobili costituiscono un rischio per le imprese. I risultati mostrano un aspetto interessante: è vero che le piattaforme mobili hanno compiuto progressi di rilievo e in linea con le direttive del mondo business, ma è altrettanto importante notare come in alcuni casi prevalga ancora un forte elemento di ‘consumer marketing’ che azzera i passi in avanti realizzati sul fronte enterprise”.
[A cura di Mauro Notarianni]