Se nei corridoi della tua azienda o davanti al distributore di caffè senti parlare di Lapras, Snorlax, Onix, Articuno o Mewtwo, se vedi colleghi errare freneticamente per i locali aziendali fissando lo schermo del proprio smartphone, contatta immediatamente la funzione di sicurezza: applicazioni e giochi come Pokémon GO e Ingress costituiscono un elevato rischio per la riservatezza e la protezione delle informazioni e la salvaguardia del business aziendale. Vediamo insieme quali rischi comportano le applicazioni che sfruttano la realtà aumentata e quali sono le principali contromisure da adottare per ridurne al minimo le potenziali conseguenze.

In principio (era il 2012) nacquero applicazioni malevole come PlaceRaider, un malware di origine militare che usa la fotocamera dello smartphone per la rilevazione ambientale e la ricostruzione di un modello 3D dell’abitazione o dell’ufficio della vittima. Queste semplicissime applicazioni possono scattare dozzine di foto al minuto da un dispositivo mobile e contemporaneamente rilevare altri dati utili sfruttando i numerosi sensori, ad esempio l’accelerometro e il giroscopio, di cui sono dotati smartphone e tablet moderni, per poi selezionare le più utili e inviarle ad un server remoto per l’elaborazione. Spesso insieme al furto di dati personali sensibili come password, conti bancari e altre informazioni private. Il tutto all’insaputa dell’ignaro utente.

Oggi non serve più sviluppare malware per lo stesso scopo, è sufficiente un’applicazione legittima dotata di sufficiente appeal da catturare milioni di utenti in tutto il mondo in pochi giorni e che, incidentalmente, sia in grado di svolgere le medesime invasive funzioni e magari qualcosa in più. Ovviamente mi riferisco a Pokémon GO, il gioco che da metà luglio è salito agli onori della cronaca e all’attenzione del pubblico, ma non solo. In pochi sanno che il progenitore di Pokémon GO è stato Ingress, altro gioco mobile sviluppato in precedenza dallo stesso produttore, Niantic Labs, con funzionalità analoghe ma dotato di molto meno appeal, quindi troppo limitato in termini di diffusione sul territorio. Ingress è stato però un ottimo test in vista del successivo lancio di Pokémon GO su scala planetaria e c’è da aspettarsi che le due applicazioni verranno molto presto seguite da altre analoghe.

Il grande successo di Pokémon GO

Qual è il segreto di cotanto successo? Principalmente la realtà aumentata, un’esperienza giudicata incredibile da molti utenti, basata sulle mappe geografiche di Google, unita all’ingenuità di bambini e adolescenti ma, purtroppo, anche all’impreparazione e alla stoltezza di tanti adulti. Per realtà aumentata si intende l’arricchimento della percezione sensoriale umana mediante informazioni generate da sistemi informatici, in genere manipolate e presentate elettronicamente in tempo reale, che altrimenti non sarebbero percepibili dai cinque sensi o dalla cognizione umana. La realtà aumentata è alla base di numerosi sviluppi tecnologici che aggrediranno il mercato nei prossimi anni, così come già fatto con Ingress e gli ormai famosi Google Glass.

Oggi l’applicazione Pokémon GO è già stata scaricata ed installata da oltre 100 milioni di persone, arrivando a coprire oltre il 10% dell’intero volume di dispositivi Android nel mondo che, a loro volta, costituiscono quasi il 90% del mercato mondiale. Oltre la metà degli utenti vi giocano quotidianamente per un tempo medio pari a circa 30 minuti. Il suo lancio ha consentito a Niantic guadagni per oltre 200 milioni di dollari (35 dei quali nelle prime due settimane dal lancio) che crescono al ritmo di 10 milioni al giorno, mantenendolo in cima alle classifiche di remunerazione nonostante un recente netto calo degli utenti paganti. La riconquista della ribalta da parte dei famosi mostriciattoli ha altresì generato un aumento del 233% nella vendita di prodotti con il marchio Pokémon nel 2016 rispetto al 2015. Infine, dopo soli 5 giorni dal lancio, si è verificato un aumento di ben 9 miliardi di dollari sul valore delle azioni di Nintendo, società di gaming che ha una partecipazione in Niantic e possiede un terzo del marchio Pokémon.

Quali rischi per gli utenti?

L’estrema e rapida diffusione di Pokémon GO ha portato all’attenzione pubblica una serie di rischi per l’incolumità, la privacy e la sicurezza personale. Una prima versione del gioco, distribuita sotto forma di pacchetto Android (APK) al di fuori del Google Play Store, conteneva il malware SandroRAT che abilitava il controllo remoto del dispositivo della vittima. Successivamente l’attenzione si è spostata sugli eccessivi permessi d’accesso richiesti dalle prime versioni del gioco all’atto dell’installazione (a detta di Niantic a causa di un “bug”), fra i quali l’accesso completo all’account Google dell’utente, con conseguente possibilità di accesso a tutte le informazioni tramite esso scambiate: contatti, messaggi, calendario, utilizzo dei social media, contenuti di Gmail, documenti su Google Drive, localizzazione geografica, opzioni di sicurezza e tutte le preferenze della vittima. Pare che poi il bug sia stato sistemato nelle successive versioni dell’applicazione, ma rimane invariato l’accesso completo ai dati di geolocalizzazione, all’indirizzo Gmail e alla fotocamera che, come vi spiegherò più avanti, costituiscono comunque un elevato rischio per la privacy e la sicurezza.

Altri rischi inerenti sono correlati all’uso ossessivo e compulsivo degli smartphone da parte degli utenti, spesso così concentrati sullo schermo digitale da ignorare completamente la realtà circostante. Ciò può ripercuotersi sia sulla produttività personale che, soprattutto, sull’incolumità fisica, tanto che esiste già in rete un’ampia letteratura di utenti vittima di incidenti vari connessi all’uso di Pokémon GO: c’è chi ha avuto incidenti alla guida per distrazione, chi è stato investito mentre attraversava distrattamente la strada, chi è caduto in fossi e dirupi e chi ha subìto fratture o escoriazioni varie.

Inutile disquisire qui dell’uso corretto dello smartphone alla guida o mentre ci si sposta, visto che nel 2016, a più di 20 anni dalla diffusione di massa dei cellulari, sono ancora rarissime le persone che usano regolarmente auricolari o vivavoce alla guida per la sicurezza propria e altrui. Prova ne sia che, lungo le strade di tutto il mondo, i cartelloni digitali recitano moniti come “NO POKEMON AND DRIVING” e il gioco stesso presenta adesso all’avvio un messaggio di avviso invitando i giocatori a fare attenzione agli spazi circostanti per evitare incidenti.

Un altro rischio inerente consiste nel fatto che tutti gli utenti che usano l’applicazione vedono la medesima ubicazione in cui si nascondono i vari mostriciattoli digitali da catturare, tanto che diversi criminali hanno prontamente intravisto svariate opportunità di sfruttamento. Diversi utenti hanno infatti denunciato agguati da parte di gang criminali, mentre gli hacker hanno pensato di stazionare fiduciosi nelle vicinanze dei luoghi incriminati in attesa che appaiano gruppi di utenti ignari cui violare i dispositivi via Wi-Fi o bluetooth. Per avere un’idea del fenomeno, vi consiglio di guardare su YouTube il video “Pokemon Go: There was a wild Charizard in central park”.

Ma forse il rischio maggiore per la privacy personale (e non solo) è rappresentato dal tracciamento continuo della posizione geografica via GPS e il costante accesso alla fotocamera dei dispositivi.

In poche parole, mentre il gioco è attivo “qualcuno” sa sempre dove sei e cosa fai, in tempo reale. Anche chi non usa il gioco è potenzialmente affetto dal problema, dato che può essere ripreso in qualsiasi momento, per strada o in luoghi ad accesso pubblico, dai giocatori erranti alla ricerca di Pokémon e, grazie all’ormai più che matura tecnologia di facial recognition e all’incrocio con le immagini pubblicate sui social media come Facebook e Instagram, può essere identificato e posizionato nel tempo e nello spazio.

Per i più informati sul tema, mi riferisco ovviamente alla sorveglianza globale in stile orwelliano.

L’intreccio sospetto con Google e la CIA

Un altro importante aspetto da non sottovalutare né deridere stupidamente (Bradley Manning, Julian Assange e Edward Snowden lo insegnano) è l’intreccio quantomeno sospetto di relazioni della Niantic con il colosso di Mountain View, da sempre particolarmente incline alla raccolta e alla collezione del maggior volume possibile di informazioni sensibili sugli ignari utenti, e organizzazioni direttamente connesse con agenzie governative statunitensi, prima fra tutte l’immancabile Central Intelligence Agency (CIA).

Niantic fu fondata nel 2010 come una startup interna a Google da John Hanke, che aveva già beneficiato di ingenti finanziamenti dalla venture capitalist In-Q-Tel allorquando fondò Keyhole, un’azienda specializzata in sistemi militari di riconoscimento che fu più tardi acquistata da Google (2004) e venne quindi tramutata in Google Earth e diede vita all’app Google Viewer e a Google Maps. Come dichiarato da In-Q-Tel stessa, la sua missione aziendale è “identificare, adattare e fornire soluzioni tecnologiche innovative per supportare le missioni della Central Intelligence Agency e, più in generale, della comunità di intelligence statunitense”.

Il cofondatore e primo CEO di In-Q-Tel, Gilman Louie, siede oggi nel consiglio di amministrazione di Pokémon GO (di cui Niantic è proprietaria) ed è anche proprietario dell’altra venture capitalist Alop Louie, società che ha fornito ingenti finanziamenti per lo sviluppo della famosa applicazione di gioco e nel cui consiglio di amministrazione siede Bill Crowell, ex presidente del Director of National Intelligence (DNI) statunitense. Sappiamo inoltre, grazie a Snowden, che la National Security Agency (NSA) degli Stati Uniti ha accesso diretto e costante alla base dati collezionata e gentilmente offerta da Google, molto probabilmente come “risarcimento” per gli ingenti finanziamenti ricevuti proprio dall’NSA e dalla CIA.

Ricapitolando, la CIA, l’NSA e l’intera comunità di intelligence U.S.A., per il tramite di In-Q-Tel, investono nello sviluppo di Pokémon GO che ha (avuto) accesso ai dati personali degli utenti, alla loro localizzazione geografica e alle immagini di ambiente circostante, abitazioni private, istituti scolastici, locali aziendali e altri luoghi ad accesso privato inclusi (esattamente come il malware PlaceRaider e il predecessore Ingress). Ovvero buona parte di ciò che non è direttamente raggiungibile e, quindi, mappabile dalle tecnologie di rilevazione satellitare e di mappatura ambientale come le Google Car.

Ha tutto l’aspetto dell’ultimo tassello che va a completare il puzzle della ricognizione e della sorveglianza globale. A quanto pare, infatti, le agenzie governative statunitensi hanno trovato un modo semplice ed efficace per poter mappare e ricostruire in 3D, senza alcuna fatica, anche gli ambienti privati cui, almeno ufficialmente, non hanno accesso.

Alla luce delle importanti rivelazioni dei già citati whistleblower, non credo assolutamente che l’elargizione di ingenti finanziamenti, la grande propaganda mediatica volta alla massima diffusione del gioco e il conseguimento di questo eccezionale obiettivo non abbiano alcuna connessione. Senza contare la raccolta di tutte le altre informazioni personali degli utenti a scopo di profilatura commerciale, di rivendita ad organizzazioni criminali per furto d’identità o di condivisione con la rete di intelligence statunitense per spionaggio su vasta scala.

Il gioco è scaricabile gratuitamente ma, come spesso avviene, tutto ha un prezzo e quasi sempre questo è rappresentato dai preziosissimi dati privati degli utenti che fra l’altro, accettando i termini di utilizzo dell’applicazione, rinunciano formalmente al diritto di procedere in sede giudiziaria contro la Niantic, anche fosse sotto forma di class action.

Quali rischi per le aziende?

Il fornitore di soluzioni di sicurezza mobile CloudLock ha già rilevato che oltre 8.000 utenti hanno abilitato il gioco Pokémon GO sui dispositivi aziendali in oltre 260 aziende, spesso adottando le credenziali d’accesso dell’azienda. Non ho scovato altre statistiche analoghe, ma penso sia sufficiente guardarsi intorno e ascoltare i discorsi della gente per apprezzare la dimensione del fenomeno.

L’ormai diffuso ricorso, soprattutto nelle aziende medio-piccole, a soluzioni Bring-Your-Own-Device (BYOD) o Corporate-Owned-Personally-Enabled (COPE) va ad aggravare ulteriormente la situazione e costituisce un ulteriore rischio per la sicurezza e la confidenzialità dei dati aziendali. Basti pensare all’accesso al contenuto dei messaggi di posta elettronica e di instant messaging, ai calendari aziendali e ai servizi di virtual storage come Google Drive attraverso i quali possono essere scambiati documenti anche riservati.

Ho già illustrato il rischio di mappatura tridimensionale e localizzazione geografica dei locali interni all’azienda, inclusi i locali protetti da accesso strettamente controllato e riservato. Sono certo che qualsiasi azienda negherebbe fermamente a terze parti la possibilità di accedere ai propri locali senza alcuna autorizzazione e senza un’adeguata supervisione, men che meno di mapparne con accuratezza gli spazi e collocarli geograficamente in mappe sulle quali non c’è alcuna possibilità di controllo o intervento.

Non va sottovalutato nemmeno il rischio di introduzione di pericolosi malware nella rete aziendale attraverso l’installazione di applicazioni provenienti da fonti diverse dagli app store ufficiali, ad esempio attraverso il download di file di installazione APK da siti non verificati. Infine non vanno trascurati i fenomeni di dipendenza ossessiva, perdita di tempo e distrazione sul lavoro, già sperimentati ad esempio da Boeing che ha rilevato la presenza di Pokémon GO su oltre 100 smartphone aziendali e in cui un dipendente ha riportato danni fisici a causa della distrazione indotta dal gioco.

Quali contromisure adottare in azienda?

Per minimizzare il più possibile il rischio rappresentato da questi software, piuttosto invasivi per la sicurezza delle informazioni aziendali, è indispensabile agire su più fronti.

La prima contromisura deve essere l’allestimento e la pubblicazione di una precisa politica di sicurezza che regolamenti l’uso di software mobile su dispositivi smartphone e tablet aziendali, nonché l’uso di dispositivi privati in ambito lavorativo. Un preciso focus va sviluppato per la regolamentazione di soluzioni BYOD o COPE qualora l’azienda vi faccia ricorso.

Le principali raccomandazioni in tal senso sono:

• Individuare i rischi cui l’azienda è soggetta ed esplicitarli chiaramente nella politica di sicurezza;
• Definire chiaramente in cosa consiste l’uso accettabile di dispositivi mobili aziendali e personali in azienda, senza lasciare pericolosi spazi all’interpretazione;
• Consentire l’installazione sui dispositivi mobili aziendali delle sole applicazioni espressamente autorizzate dalla direzione;
• Diffondere la consapevolezza sulle nuove misure di sicurezza fra il personale aziendale con apposite iniziative di comunicazione e informazione, addestrando in particolare i manager a riconoscere situazioni riconducibili all’uso di dispositivi, applicazioni o giochi non autorizzati e, se necessario, ad informare tempestivamente la funzione aziendale di sicurezza delle informazioni;
• Adottare, con opportuna gradualità, provvedimenti disciplinari verso i soggetti inosservanti delle politiche aziendali pizzicati a vagare per i locali aziendali armati di Poké Ball virtuali.

Dal punto di vista tecnico, le contromisure devono contrastare il più possibile eventuali minacce di intrusione informatica e di prelievo non autorizzato di informazioni aziendali. Diverse aziende hanno già optato per il blocco dell’accesso ai server di Pokémon GO dalla rete aziendale, sia sull’accesso ad Internet che sui vari access point wireless. A livello di singoli dispositivi mobili è raccomandabile l’adozione di efficaci soluzioni antimalware per arginare gli effetti di eventuali installazioni di software non autorizzato e malevolo.

In caso di ricorso a soluzioni BYOD o COPE in azienda, è consigliabile adottare strumenti centralizzati di gestione e controllo dei dispositivi mobili, come Mobile Device Management (MDM) e Mobile Application Management (MAM), già presenti da tempo sul mercato con soluzioni ormai piuttosto mature. Particolare attenzione va posta alla segmentazione degli ambienti operativi sui dispositivi BYOD e COPE, al fine di separare completamente l’uso di informazioni aziendali dall’uso di dati personali degli utenti e, di conseguenza, i rispettivi rischi. Inoltre è bene monitorare con regolarità i trend di utilizzo della banda trasmissiva dei dispositivi mobili, con l’obiettivo di rilevare tempestivamente situazioni eccezionali di picco che potrebbero indicare la comparsa di fenomeni massivi di utilizzo da sottoporre ad opportuna verifica.

Consigliabile anche l’attivazione di un app store aziendale in sostituzione di quelli ad accesso pubblico come Google Play e Apple Store, con l’obiettivo di consentire l’installazione di un set limitato di applicazioni preventivamente verificate ed approvate dall’azienda e, quindi, di garantire un adeguato livello di sicurezza delle rete e delle informazioni aziendali. Altrettanto consigliabile è impedire l’installazione di applicazioni mobili da altre fonti, in particolare mediante l’uso di file di installazione (es. APK) da schede di memoria o da download non autorizzati. Anche queste misure possono essere attivate mediante soluzioni di MDM e MAM.

In termini più generali, le funzioni aziendali di sicurezza delle informazioni devono monitorare costantemente la nascita e l’adozione di massa di applicazioni e giochi analoghi a Ingress e Pokémon GO, in particolare quelli che prevedono funzionalità particolarmente invasive per la riservatezza e la protezione delle informazioni aziendali, con l’obiettivo di valutarne i rischi connessi, quindi definire ed adottare tempestivamente le opportune contromisure a salvaguardia del business della propria azienda.

Ettore Guarnaccia