Security Issues of Mobile and Smart Wearable Devices

I dispositivi mobili e intelligenti (dai popolari smartphone e tablet ai braccialetti per il fitness indossabili dotati di capacita' di rilevamento, elaborazione e connessione Internet) si sono recentemente diffusi e hanno ridefinito il modo in cui gli utenti svolgono le loro attivita' quotidiane. Questi dispositivi introducono enormi benefici nella societa' e portano a un miglioramento della qualita' della vita degli utenti. Man mano che le tecnologie mobili e intelligenti diventano sempre piu' diffuse, la sicurezza di questi dispositivi diventa pero' piu' urgente e gli utenti devono prendere precauzioni per mantenere le loro informazioni personali al sicuro. Anche la privacy e' stata presa in considerazione dal momento che cosi' tanti dispositivi mobili e intelligenti raccolgono, elaborano e memorizzano sul cloud enormi quantita' di dati. Garantire la riservatezza, l'integrita' e l'autenticita' delle informazioni e' una sfida nell'ambito della sicurezza informatica di non facile soluzione. Sfortunatamente, gli attuali controlli di sicurezza non hanno mantenuto il passo con i rischi introdotti dai dispositivi mobili e intelligenti, e si sono finora rivelati chiaramente insufficienti. Inoltre, la prevenzione di attacchi e' di per se' un'area di ricerca in crescita, ma con una notevole quantita' di problemi ancora irrisolti. La pervasivita' dei dispositivi intelligenti, il crescente numero di vettori di attacco e l'attuale mancanza di sicurezza richiedono un modo efficace ed efficiente di proteggere i dispositivi mobili e intelligenti. Questa tesi affronta i problemi di sicurezza dei dispositivi mobili e intelligenti, fornendo metodi specifici per migliorare le attuali soluzioni di sicurezza. I nostri contributi si raggruppano in due aree correlate, che presentano naturali sovrapposizioni e corrispondono alle due componenti centrali di questo documento: (1) il confronto con i malware mobile e (2) l'analisi della sicurezza per dispositivi indossabili e intelligenti. Nella prima parte di questa tesi, si affrontano metodi e tecniche per aiutare gli analisti della sicurezza ad affrontare i malware mobile e ad automatizzare l'identificazione di applicazioni dannose. Nell'ambito dei malware mobile, forniamo tre contributi. Per prima cosa, introduciamo un protocollo Secure Message Delivery (SMD) per reti Device-to-Device (D2D), con l'obiettivo principale di individuare il percorso piu' sicuro per inviare un messaggio dal mittente al destinatario in una rete D2D multi-hop. In secondo luogo, presentiamo un'indagine condotta col fine di indagare i problemi concreti e rilevanti che riguardano le tecniche di offuscamento e protezione del codice Android, indagine il cui scopo e' esaminare le pratiche di offuscamento e di protezione del codice. Valutiamo l'efficacia degli strumenti di de-offuscamento del codice esistenti per confrontarci con i malware Android offuscati (quelli che permettono agli hacker di sfuggire ai meccanismi di rilevamento). Infine, proponiamo un framework di rilevamento basato sul Machine Learning, che identifica le applicazioni Android maligne attraverso l'introduzione di un sistema per il rilevamento e la classificazione dei malware piu' recentemente scoperti mediante analisi delle applicazioni. Il sistema proposto classifica i malware in differenti tipi e aiuta a capire meglio come i malware possano infettare i dispositivi, il livello di minaccia che rappresentano e come ci si possa proteggere da essi. Il sistema progettato sfrutta in maniera piu' completa le caratteristiche comportamentali delle app rispetto allo stato dell'arte, integra il classificatore piu' performante e utilizza la robustezza delle funzionalita' individuate. La seconda parte di questa tesi illustra un'analisi approfondita degli aspetti di sicurezza per i braccialetti per il fitness indossabili piu' popolari sul mercato. I nostri contributi si raggruppano in quattro parti all'interno di questo contesto: come primo contributo, analizziamo le primitive che regolano la comunicazione tra i braccialetti per il fitness e i servizi sul cloud. Successivamente, esaminiamo i requisiti di comunicazione di questo contesto, quali: (i) Riservatezza dei dati, (ii) Integrita' dei dati e (iii) Autenticita' dei dati. Come secondo contributo, presentiamo delle reali dimostrazioni su come i moderni dispositivi indossabili siano vulnerabili agli attacchi di false data injection. Inoltre, documentiamo il successo di un'injection di dati falsificati all'interno servizi basati su cloud, dati che vengono considerati legittimi dal cloud e permettono di ottenere vantaggi personali. Come terzo contributo, aggiriamo la crittografia del protocollo End-to-End implementato nei piu' avanzati e sicuri braccialetti per il fitness (ad esempio, Fitbit, che e' il leader del mercato) attraverso il reverse engineering dell'hardware. Ultimo ma non meno importante, forniamo linee guida per prevenire vulnerabilita' simili nelle future progettazioni di sistemi.