Barracuda full logo

È arrivato il momento di esaminare la sicurezza delle applicazioni di messaggistica

Argomenti:
3 lug 2025
|
Mike Vizard

La maggior parte delle organizzazioni non ha predisposto una politica formale su come le applicazioni di messaggistica possano essere utilizzate, ma a seguito di una recente decisione presa dall'amministratore capo della Camera dei Rappresentanti degli Stati Uniti, potrebbe voler riconsiderare la sua posizione.

Un promemoria inviato la settimana scorsa ha informato il personale del Congresso che il servizio di messaggistica WhatsApp è stato vietato su tutti i dispositivi della Camera dei Rappresentanti degli Stati Uniti. L’avviso diceva che "L’Ufficio of sicurezza informatica ha ritenuto WhatsApp un rischio elevato per gli utenti a causa della mancanza di trasparenza nel modo in cui protegge i dati degli utenti, dell’assenza di crittografia dei dati archiviati e dei potenziali rischi per la sicurezza legati al suo utilizzo."

Il promemoria non chiarisce cosa significhi effettivamente la mancanza di trasparenza, ma all'inizio di quest'anno un funzionario di WhatsApp ha dichiarato che la società israeliana di spyware Paragon Solutions aveva preso di mira la sua base di utenti, che include molti funzionari governativi. Invece, il promemoria raccomanda di utilizzare altre app di messaggistica, tra cui Microsoft Teams, Apple FaceTime e Signal.

Non è chiaro quanto ampiamente queste e altre applicazioni come Discord vengano utilizzate all'interno degli ambienti aziendali, ma molti utenti finali presumono che esista un livello di sicurezza che potrebbe non essere così robusto come credono.

Potenziali preoccupazioni di sicurezza e vulnerabilità

Lo spyware su un telefono cellulare può monitorare e raccogliere segretamente informazioni sulle attività dell'utente a sua insaputa, inclusi il tracciamento della cronologia delle chiamate, dei messaggi di testo, della posizione e dell'attività di navigazione, oltre alla registrazione di audio e video. Può essere installato tramite app dannose, link di phishing o sfruttando le vulnerabilità del sistema operativo di un dispositivo mobile.

Ora è persino possibile sfruttare i componenti integrati del browser e i meccanismi di analisi degli URL per eseguire codice remoto senza richiedere alcuna interazione da parte dell'utente oltre alla ricezione del messaggio, secondo una recente ricerca condivisa dall'istituto DARKNAVY.

Altrettanto preoccupante è il fatto che sia relativamente facile per gli utenti finali di queste applicazioni divulgare inavvertitamente dati sensibili, come l'ormai famigerato invito a una chat di Signal che è stato erroneamente inviato a un giornalista dai funzionari del Dipartimento della Difesa (DoD).

Educare i leader aziendali sui rischi

Naturalmente, i team di sicurezza informatica hanno avvertito dei pericoli dell'IT ombra da tempo immemorabile. Al giorno d'oggi, tuttavia, non è mai stato così semplice per gli utenti finali configurare chat di gruppo su un numero qualsiasi di servizi, alcuni dei quali non sono neppure crittografati.

Oltre a vietare l'uso di queste applicazioni per parlare di qualsiasi argomento legato al business, non sembra esserci molto che i leader della sicurezza informatica possano fare per ridurre il rischio che comportano queste applicazioni. Molti degli utenti più assidui di queste applicazioni sono i dirigenti senior dell'organizzazione. Ciò non significa che i team di sicurezza informatica debbano arrendersi e ignorare il problema.

La formazione può ancora essere uno strumento efficace. I professionisti della sicurezza informatica dovrebbero assicurarsi di informare i dirigenti aziendali ogni volta che si verifica un incidente importante di sicurezza informatica che coinvolge un’applicazione di messaggistica. La verità è che molte di queste conversazioni che si verificano sulle applicazioni di messaggistica sarebbero un po' più sicure nelle piattaforme di posta elettronica che i team di sicurezza informatica hanno investito una notevole quantità di tempo e sforzi per proteggere.

In definitiva, i professionisti della sicurezza informatica possono fare solo un certo numero di cose per proteggere gli utenti finali da se stessi. Tuttavia, l'unica cosa di cui dovrebbero assicurarsi è dare l'esempio. Dopotutto, molti utenti finali dei servizi di messaggistica sono anche professionisti della sicurezza informatica che dovrebbero saperne di più.

Iscriviti al blog di Barracuda
Mike Vizard

Mike Vizard ha coperto l'IT per più di 25 anni e ha curato o contribuito a numerose pubblicazioni tecnologiche, tra cui InfoWorld, eWeek, CRN, Baseline, ComputerWorld, TMCNet e Digital Review. Attualmente scrive sul blog di IT Business Edge e contribuisce a CIOinsight, The Channel Insider, Programmableweb e Slashdot. Mike scrive anche su un blog riguardante la tecnologia cloud emergente per SmarterMSP.

Connettiti con Mike su LinkedIn o Twitter.

Post correlati:
La controversia CVE crea l'opportunità per migliorare
La controversia CVE crea l'opportunità per migliorare
 Crisi di finanziamento del programma CVE: Implicazioni e risposta strategica
Crisi di finanziamento del programma CVE: Implicazioni e risposta strategica
 Difendere le infrastrutture critiche da attacchi informatici e altre minacce
Difendere le infrastrutture critiche da attacchi informatici e altre minacce
 Navigazione dell'emendamento sulla protezione dei dati personali in Malesia 2024
Navigazione dell'emendamento sulla protezione dei dati personali in Malesia 2024
Cerca nel blog

The Ransomware Insights Report 2025

Risultati chiave sull'esperienza e l'impatto del ransomware sulle organizzazioni a livello mondiale

Scarica il report

Iscriviti al blog di Barracuda.

Iscriviti per ricevere i Threat Spotlight, commenti del settore e altro ancora.

Sicurezza della vulnerabilità gestita: correzione più rapida, meno rischi, conformità più semplice

Scopri quanto può essere facile individuare le vulnerabilità che i criminali informatici vogliono sfruttare

GUARDA IL WEBINAR

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.