La minaccia dei dispositivi contraffatti: la risposta di Afilias si chiama DeviceAssure

Al Mobile World Congress 2019 mi è stato dato un Samsung Galaxy Note 8: l'ho guardato e l'ho utilizzato, senza però trovare niente che non andasse. C'erano tutte le classiche applicazioni Samsung e il dispositivo appariva perfetto. Peccato che fosse un falso, un prodotto contraffatto dal costo di circa 50€.

Una delle cose più impressionanti del Mobile World Congress 2019 non è stato vedere i nuovi dispositivi pieghevoli o sentir parlare di applicazioni pratiche del 5G, ma sentire Afilias parlare di dispositivi contraffatti, degli effetti sul mercato e sulle aziende e sui rischi che questo settore nascente comporta.

Quando pensiamo alle copie dei dispositivi famosi pensiamo al fatto che molte aziende si "ispirano", ad esempio, al design di Apple nel proporre i propri prodotti. Qui, però, parliamo proprio di dispositivi esattamente identici agli originali, con anche il logo del produttore. In questi casi si parla di contraffazione: quando viene utilizzato non solo l'aspetto estetico del prodotto, ma anche quando viene usato il logo (o una sua versione verosimile) del produttore.

Nel mondo parliamo di 45,3 miliardi di euro persi, ovvero il 13% delle vendite legittime. Il mercato dei prodotti contraffatti in Europa vale circa 4,2 miliardi di euro, l'8% delle vendite di dispositivi legittimi. Una cifra che aumenta costantemente, nonostante i tentativi degli Stati nazionali e dell'Unione Europea di contenere il fenomeno della contraffazione. A essere maggiormente coinvolti sono i Paesi in via di sviluppo, ma il ricco mercato occidentale nasconde in realtà opportunità che sempre più contraffattori (e importatori senza scrupoli) cercano di cogliere.

La diffusione sul mercato avviene prevalentemente tramite Internet: i prodotti vengono spesso venduti esplicitamente come copie di smartphone famosi da siti Internet asiatici ed entrano nei Paesi occidentali grazie a dichiarazioni fraudolente sui pacchi - tipicamente come "lettori MP3" da 30€ o poco più, aggirando dunque anche i controlli doganali.

Questi dispositivi sono in tutto e per tutto identici agli originali, spesso utilizzando anche software originali o imitazioni molto ben riuscite. In questo secondo caso rientrano gli iPhone, per i quali sono stati sviluppati anche software che imitano iOS pur essendo basati su Android - con i casi più eclatanti che possiedono imitazioni perfettamente funzionanti dell'App Store. A livello hardware sono presenti ovvie differenze, con le copie che utilizzano componenti di basso livello, inclusi lettori di impronte fasulli.

Quali sono i rischi dei dispositivi contraffatti?

In tutti questi casi il problema, dunque, è identificare questi dispositivi a causa del loro stato di potenziali minacce. I dispositivi contraffatti sono infatti potenzialmente pericolosi su più livelli:

• Livello fisico: i dispositivi sono spesso costruiti senza alcuna attenzione alla sicurezza, con materiali potenzialmente tossici, componenti di bassa qualità con rischi di cortocircuiti e con batterie che possono esplodere facilmente;
• Fiducia del consumatore: un dispositivo che sembra in tutto e per tutto un prodotto originale ma che non funziona può rappresentare un problema sia per il produttore originale che per gli sviluppatori delle app. Basti pensare ai casi di malfunzionamento: un utente che si trovi un prodotto malfunzionante può incolpare il produttore originale, il cui marchio è presente sul prodotto, o lo sviluppatore di un'applicazione anche se questi non hanno alcuna responsabilità, colpendo però la loro reputazione;
• Sicurezza: molti dei prodotti contraffatti hanno installate applicazioni di provenienza dubbia e che spesso possono essere in realtà malware.

L'ultimo punto è quello più preoccupante, soprattutto in ambito aziendale o pubblico con le pratiche BYOD (Bring Your Own Device). Tra i malware trovati da Afilias, infatti, non sono presenti solo i classici keylogger. Anche software che inviano attivamente informazioni presenti sul dispositivo - screenshot, testi di email, APK di applicazioni, pacchetti intercettati per ricostruire i protocolli di comunicazione utilizzati - fanno parte del corredo di possibili malware preinstallati e costituiscono una seria minaccia alla sicurezza delle aziende. Basti pensare alle informazioni potenzialmente sensibili presenti nelle email, o alle applicazioni sviluppate ad hoc per uso interno, o alle credenziali per accedere a risorse di rete private: di fatto i dispositivi contraffatti rappresentano un cavallo di Troia per fare spionaggio senza essere notati.

Come proteggersi dai dispositivi contraffatti?

Ma come risolvere il problema? Afilias ha sviluppato un servizio che permette di rilevare le caratteristiche del dispositivo e confrontarle con quelle presenti nel database creato dall'azienda riguardo le specifiche ufficiali. Tale confronto viene effettuato includendo una libreria nel software - un'applicazione o una pagina Web - e richiede meno di un secondo ed è pertanto trasparente all'utente, che non si accorge che tale controllo avviene. Una volta rilevati i dati, la libreria comunica l'esito e a quel punto sta allo sviluppatore gestire la situazione: ad esempio, è possibile far chiudere l'applicazione così da impedire che venga utilizzata nel caso il dispositivo sia contraffatto.

Il servizio proposto da Afilias è prettamente di tipo B2B: l'azienda intende mettere a disposizione delle aziende partner gli strumenti per identificare i dispositivi contraffatti, lasciando a queste ultime la libertà di scegliere come implementare all'interno dei propri servizi il controllo e le contromisure nel caso il dispositivo controllato non sia originale. Ulteriori informazioni sono disponibili sul sito di DeviceAssure.

I mezzi per contrastare i prodotti contraffatti e i loro effetti nefasti esistono. Tenere conto della loro presenza sul mercato non è più un'opzione ed è necessario tutelarsi, che si sia un'organizzazione pubblica o privata o uno sviluppatore.