Molti anni fa, la prima volta che una applicazione per il telefono mi chiese di dare un voto da 1 a 5 mi lanciai volentieri e diedi un voto ma poi questa operazione mi dirottò sulla sezione recensioni di App Store e mi fermai. Non volevo pubblicare qualcosa che fosse associato al mio nome e cognome e alla mia foto. Da allora, ogni volta che qualche app per il telefono mi chiede di lasciare una recensione su App Store mi sento semplicemente infastidito e ignoro la richiesta. Di recente però ho riflettuto su quanto le recensioni, specialmente quelle delle applicazioni per telefono, ma non solo, possano essere sfruttate da malintenzionati per tracciare profili e ottenere dati utili a compiere atti illeciti. Mi sono venuti in mente due scenari.
Il primo scenario riguarda tecniche di ingegneria sociale con le quali si può catturare l’attenzione della vittima dopo aver ricostruito, al di là dei gradimenti piazzati qua e là sui social network, anche i luoghi fisici visitati (principalmente tramite le recensioni di Google) e i negozi virtuali o i singoli prodotti acquistati in tali negozi.
Il secondo scenario che, invece, mi inquieta di più è quello in cui vengono rivelate informazioni ben più sensibili. Ad esempio recensioni date ad applicazioni per la gestione di presìdi di sicurezza (come videosorveglianza, allarme e domotica): in tal caso grazie ai nomi e alle foto ben visibili di chi ha lasciato la recensione si può tentare di sfruttare contro costoro qualche vulnerabilità più o meno nota di un determinato sistema. Ma quello che mi lascia interdetto più di tutti e che ha acceso la lampadina di questa riflessione, è una banca che mi ha chiesto accoratamente di valutare e recensire la sua applicazione per il telefono. Proprio le stesse banche che, invece, dovrebbero mantenere un profilo basso a tutela dei propri clienti. Una banca non può rivelare di avere un certo individuo come cliente ma di contro, a mio avviso, non è corretto che induca un cliente ad auto-rivelare di essere tale solo per ottenere grazie a lui pubblicità. Inoltre, ed è proprio la questione su cui voglio porre l’accento, essendo le banche molto vulnerabili a phishing e suoi derivati, creano occasioni per esporre maggiormente i loro clienti a questi rischi. Se un attaccante trova la recensione dell’applicazione di “Banca X” del signor Mariano Rossini (non il solito Mario Rossi di cui il mondo pullula, sia chiaro) e poi, andando a cercare in uno dei sempre più numerosi archivi di dati personali trafugati, trova anche la sua email e/o il suo numero di telefono, spacciandosi per operatore di quella banca può indurre la vittima a compiere determinate azioni con le quali sottrarle denaro.
Cosa fare allora per mitigare questo problema, quantomeno nell’ambito delle piattaforme di distribuzione di applicazioni? Le applicazioni più sensibili al problema dovrebbero innanzitutto evitare di invitare gli utenti a fare recensioni. Di contro i distributori di applicazioni dovrebbero dare la possibilità di attivare una sorta di semi-anonimato per gli utenti, che permetta di oscurare in tutto o in parte i loro dati pubblicati sulle stesse recensioni (come il nome o l’immagine del profilo).
Il problema trattato dimostra quanto la sicurezza informatica al giorno d’oggi vada ad interessare ambiti tra i più disparati e anche più apparentemente distanti da essa (come quello del marketing nel caso di specie). Mi auguro che questa mia riflessione non rimanga isolata e che sempre più settori a loro volta si facciano permeare dalla consulenza e dal supporto di validi esperti di sicurezza informatica e che non si sottovaluti l’importanza di nessuna decisione quando ci sono in ballo dati sensibili.