Settimana 16: bug o funzionalità – l’utilizzo sicuro di app e social media

25.04.2023 - Ogni app in più rappresenta un potenziale rischio per la sicurezza, perciò le app non più necessarie dovrebbero essere eliminate. Tenere poche app permette di avere una visione d’insieme migliore e ridurre i rischi per la sicurezza. Al primo utilizzo di un’app, talvolta anche dopo un aggiornamento, ci viene chiesto se autorizzare gli accessi. Molte app chiedono di accedere a dati personali. Queste autorizzazioni possono però essere utilizzate in maniera abusiva, lo dimostra un caso poco comune segnalato all’NCSC.

Un’app raccomandata da un collega?

Nel caso in questione, tutto è iniziato con un innocuo Messaggio Diretto via Twitter, che l’autore della segnalazione aveva ricevuto da un collega. A prima vista, l’e-mail non desta alcun sospetto: è stata inviata tramite Twitter e proviene effettivamente dall’account del collega.

A prima vista, l’e-mail non desta alcun sospetto: è stata inviata tramite Twitter e proviene effettivamente dall’account del collega.
A prima vista, l’e-mail non desta alcun sospetto: è stata inviata tramite Twitter e proviene effettivamente dall’account del collega.

Cliccando sul link, tuttavia, il destinatario vede aprirsi una pagina sospetta che gli chiede di accedere a Twitter per installare un’applicazione chiamata «Best Stalk». Quest’applicazione permetterebbe di visualizzare i nomi delle persone che hanno consultato il profilo del destinatario su Twitter, Facebook e Instagram. La procedura è semplice. Il destinatario non deve fare altro che condividere i dati necessari affinché l’applicazione possa effettuare la ricerca all’interno dell’account Twitter.

Cliccando sul link contenuto nel messaggio, si apre la descrizione di un’applicazione che promette di mostrare i nomi delle persone che hanno consultato il profilo del destinatario su Twitter, Facebook o Instagram. Quest’ultimo è invitato a collegarsi a Twitter per attivare l’applicazione.
Cliccando sul link contenuto nel messaggio, si apre la descrizione di un’applicazione che promette di mostrare i nomi delle persone che hanno consultato il profilo del destinatario su Twitter, Facebook o Instagram. Quest’ultimo è invitato a collegarsi a Twitter per attivare l’applicazione.

Nella pagina successiva occorre inserire il nome utente e la password dell’account Twitter. Tutto lascia pensare a un classico sito di phishing, ma un rapido controllo della barra degli indirizzi mostra che l’indirizzo appartiene effettivamente a Twitter. Tuttavia, è chiaro che in questo modo si dà al presunto sviluppatore dell’app pieno accesso al proprio account Twitter. I diritti che dovrebbero essere garantiti alla persona includono:

  • consultare le informazioni sul profilo di Twitter e le impostazioni dell’account;
  • seguire e smettere di seguire gli account;
  • aggiornare le impostazioni del profilo e dell’account;
  • pubblicare ed eliminare tweet nonché interagire con i tweet pubblicati da altri;
  • creare, gestire ed eliminare elenchi e raccolte;
  • inviare Messaggi Diretti nonché leggerli, gestirli ed eliminarli.

In partica la persona beneficia quindi dei diritti e delle possibilità del proprietario dell’account. In questo modo può anche inviare Messaggi Diretti. Questo spiega anche perché l’autore della segnalazione ha ricevuto un messaggio corretto dal suo collega, che è caduto a sua volta nella trappola e ha inserito i propri dati utente. Il suo account è stato successivamente utilizzato per inviare un Messaggio Diretto a tutti i suoi contatti.

Inserendo il nome utente e la password, si permette alla persona di accedere al proprio account. Si tratta di una funzionalità di Twitter di cui si può anche abusare.
Inserendo il nome utente e la password, si permette alla persona di accedere al proprio account. Si tratta di una funzionalità di Twitter di cui si può anche abusare.

Bug o funzionalità?

Ma come è possibile che dietro un indirizzo Twitter ufficiale possa nascondersi un sito sospetto? Alla base di tutto ciò vi sono le cosiddette interfacce di programmazione delle applicazioni (Application Programming Interface, API). Su Twitter, gli sviluppatori di applicazioni possono utilizzare questa interfaccia per accedere ai dati del social network e creare così la propria «app Twitter». Un noto esempio è «Tweetbot», un’applicazione di terze parti per Twitter. Qualsiasi sviluppatore può registrare in modo facile e immediato la propria applicazione e ottenere così l’accesso all’interfaccia di Twitter. Per impostazione predefinita, tuttavia, tali applicazioni possono accedere solo alle informazioni pubbliche. Determinate funzioni, come l’invio di Messaggi Diretti, richiedono un’ulteriore autorizzazione, ed è qui che entra in gioco il sito Internet citato. Fornendo un nome utente e una password, si dà tramite Twitter il permesso allo sviluppatore, in questo caso sospetto, di accedere al proprio account Twitter attraverso l’interfaccia.

Raccomandazioni:

  • Installate solo app affidabili, dopo aver consultato le recensioni.
  • Consentite alle app di accedere unicamente ai contenuti assolutamente necessari.
  • Le app non più necessarie dovrebbero essere eliminate

Promemoria concernente l’uso di app

Per sensibilizzare i collaboratori all’uso delle app e in particolare di quelle relative ai social media, l’Amministrazione federale ha realizzato un promemoria. I consigli e le informazioni utili sono validi anche per gli utenti esterni alla Confederazione.

Avviso:
Il documento contiene link a informazioni disponibili solo su Intranet.
Tuttavia, ulteriori informazioni sono disponibili anche su:

Numeri e statistiche attuali

Segnalazioni della scorsa settimana per categoria:

Numeri attuali

Ultima modifica 25.04.2023

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/2023/wochenrueckblick_16.html