L’app della movida che «spia» i telefonini
Un codice Qr segnala i party segreti. «Così sveliamo la vulnerabilità della tecnologia»
Scopri dov’è il party segreto. Scopri chi è il dj. Basta avvicinare lo smartphone al Qr code, l’evoluzione del tradizionale codice a barre, e vieni rimandato a un link che ti chiede di scaricare una app. Dici di sì e a quel punto, oltre a scoprire dove si terrà il party, hai dentro al tuo telefonino un potenziale rivelatore di informazioni sensibili. Ecco l’esperimento che si terrà oggi al convegno sulla sicurezza informatica.
Scopri dov’è il party segreto. Scopri chi è il dj. Basta avvicinare lo smartphone al Qr code, l’evoluzione digitale del tradizionale codice a barre, e vieni rimandato a un link che a sua volta ti chiede di scaricare una app. Dici di sì e a quel punto, oltre a scoprire dove si terrà il Secret Party Milan 2015, hai dentro al tuo telefonino un potenziale rivelatore di dati sensibili che se usato in modo fraudolento può scaricare documenti, numeri di telefono, immagini e in qualche caso «geolocalizzarti» seguendo ogni tuo spostamento. Ecco l’esca, l’esperimento in vitro, che sarà fatto oggi, a Palazzo Lombardia, dove si terrà la sesta conferenza nazionale sulla Cyber Warfare, sotto l’alto patronato della presidenza del Consiglio dei ministri, e gli esperti della Maglan Europe, società italo-israeliana specializzata nella protezione delle informazioni nel settore civile e della difesa. La diffusione di Qr code tra i ragazzi — soprattutto per eventi e rave party — si sta allargando sempre di più, e oggi i tecnici mostreranno con esempi pratici come sia «semplice» per un hacker impossessarsi dei dati contenuti nell’oggetto che portiamo quotidianamente con noi e utilizziamo sempre meno per telefonare e sempre più per altri scopi. Come difendersi? «Se posso dare un consiglio — attacca Paolo Lezzi, ceo di Maglan Europe — è quello di non pensare che gli attacchi arrivino solo in modo straordinario, ma dalle operazioni più abituali che facciamo con il nostro smartphone e quindi porre la massima attenzione perché le insidie nel mondo digitale sono dappertutto». Sfogliando le pagine Internet dedicate alle intrusioni degli hacker, la preoccupazione non sembra di poco conto. «Una volta inoltrato il codice Qr — si legge nella pagina di un esperto della redazione di Bitmap — l’hacker ha a disposizione numerose opzioni di truffa tra cui scegliere. A livello base, il codice potrebbe semplicemente reindirizzare gli utenti verso siti fasulli a scopi di phishing come negozi online o siti di pagamento falsi. Exploit più sofisticati vengono perpetrati dagli hacker utilizzando il codice per indirizzare gli utenti a siti web che automaticamente effettueranno un accesso non autorizzato al loro dispositivo mobile installando malware... che consente di installare ulteriori software o applicazioni come key logger e localizzatori Gps, all’insaputa dell’utente».
Ma non sono solo i Qr code a preoccupare gli esperti. Adesso ci sono le carte «contactless» che permettono di effettuare pagamenti senza inserirle nella macchinetta. È sufficiente avvicinarle allo scanner per effettuare il pagamento. Ebbene, anche in questo caso le dimostrazioni pratiche di oggi dovrebbero dimostrare che basta essere a 40 centimetri di distanza da chi paga e avere uno scanner in mano per recuperare i dati della carta, oltre alle ultime 50 transazioni effettuate.
Le insidie hi-tech Con uno scanner è possibile leggere da poca distanza le carte di credito contactless