La geolocalizzazione una volta era un modo glorioso per sapere con chi ha a che fare la tua attività (e talvolta cosa fanno). Poi le VPN hanno iniziato a indebolirlo. E ora le cose sono peggiorate così tanto che l'App Store di Apple e Google Play hanno app che affermano sfacciatamente di poter falsificare le posizioni e nessuno dei fornitori di sistemi operativi mobili sta facendo nulla per fermarlo.
Come mai? Sembra che Apple e Google abbiano creato i buchi che stanno usando questi sviluppatori.
In poche parole, Apple e Google, per testare le loro app in aree geografiche diverse, dovevano essere in grado di indurre il sistema a pensare che i loro sviluppatori fossero dove volevano che fossero. Buono solo per l'oca mobile, come si suol dire.
I servizi di consegna di cibo utilizzano la geolocalizzazione per tracciare i corrieri e vedere se hanno consegnato all'indirizzo di un cliente. Le banche utilizzano la posizione per vedere se un richiedente di un conto bancario si trova effettivamente dove afferma il richiedente o per vedere se più domande fasulle provengono dalla stessa area. E AirBNB utilizza la geolocalizzazione per cercare di individuare annunci e recensioni falsi, secondo André Ferraz, CEO della società di sicurezza della posizione mobile Incognia.
"Per i truffatori, oltre a sfruttare la modalità sviluppatore per modificare le coordinate GPS, ci sono molti altri strumenti che consentono lo spoofing della posizione, sia per la geolocalizzazione basata su IP che per la geolocalizzazione basata su GPS", ha affermato Ferraz. , tunnel. Per il GPS, le più accessibili sono le app GPS false. Tuttavia, ci sono anche strumenti di manomissione e strumentazione, dispositivi rootati o jailbroken, emulatori, manomissione dei dati sulla posizione in movimento e molti altri.
Ferraz ha purtroppo ragione. Qualunque di queste numerose opzioni un truffatore sceglie di utilizzare, la linea di fondo è che l'IT semplicemente non può più fare affidamento sulla geolocalizzazione per la maggior parte delle cose. Ci sono alcune applicazioni in cui il rischio di danni significativi causati da frodi sulla posizione è così basso che l'utilizzo della posizione è probabilmente una buona idea; ad esempio, un'app di gioco in cui qualcuno finge di essere a Central Park quando non lo è. Se ottengono solo punti o accedono a uno speciale trattamento visivo, probabilmente è innocuo.
Fiducia qui è la parola chiave. Se la tua azienda ha bisogno di fare affidamento sui dati sulla posizione, è necessaria un'alternativa.
È possibile rilevare questa frode sulla posizione? Diventa complicato. Alcuni metodi fraudolenti possono essere rilevati, ma non tutti e certamente non sempre. Ancora più importante, il solo rilevamento di un'anomalia di geolocalizzazione non dovrebbe determinare positivamente la frode.
La VPN ne è un meraviglioso esempio. Molti utenti si sono così abituati a navigare in Internet in modalità VPN che lo fanno sempre. Ciò significa che potrebbero non pensarci nemmeno quando provano, ad esempio, ad aprire un conto bancario. Invece di presumere una frode e bloccare l'accesso e negare l'app, le banche potrebbero offrire un semplice avviso pop-up: "Sembra che tu stia utilizzando una VPN. Mentre applaudiamo al tuo intento di sicurezza e privacy, quella che sembra essere una VPN sta interferendo con il nostro rilevamento della posizione. Disattiva la tua VPN, chiudi il browser, riavvia il browser e torna indietro.
Il problema con il rilevamento del phishing è che alcune aziende reagiranno in modo eccessivo e presumeranno una frode intenzionale. Non è così semplice.
Ferraz sceglie di non incolpare né Google né Apple perché hanno davvero bisogno di emulare località in tutto il mondo.
"Questa funzionalità che consente agli sviluppatori di testare le proprie app come se fossero da qualche altra parte è stata deliberatamente progettata dai fornitori di sistemi operativi, Android e iOS. Pertanto, non è una falla di sicurezza del sistema operativo. In caso contrario, gli sviluppatori non sarebbero in grado per lavorare in remoto, ad esempio, perché dovrebbero recarsi di persona nei luoghi in cui l'app offre un servizio basato sulla posizione a scopo di test", ha affermato Ferraz. Il sistema operativo fornisce anche API agli sviluppatori per identificare se il dispositivo è in modalità sviluppatore e ha lo strumento abilitato che consente di modificare le coordinate GPS. Sfortunatamente, molti sviluppatori non utilizzano questo e altri segnali del dispositivo per identificare lo spoofing della posizione. »
Ferraz cita il servizio di consegna di cibo come un classico esempio di come alcune aziende cercano di utilizzare il rilevamento della posizione, ma possono bruciarsi. Esistono diversi modi in cui i truffatori possono provare a truffare i servizi di consegna di cibo; alcuni prenderanno una consegna e semplicemente non andranno da nessuna parte. Invece, ingannano il sistema di consegna del cibo facendogli credere di aver ritirato l'ordine e poi averlo consegnato.
Il problema con alcuni di questi servizi è che pagano immediatamente una volta che il sistema pensa che il cibo sia stato consegnato. Se scegliessero di aspettare, diciamo un'ora o giù di lì, potrebbero evitare le frodi. Questo tempo lascia abbastanza tempo al cliente per telefonare e lamentarsi del fatto che il cibo non è mai stato consegnato. (A volte la società di consegna di cibo "controlla" se il cibo è stato consegnato guardando il tracciamento della geolocalizzazione. Ops, non consegnano e possono chiamare bugiardo un cliente.)
A volte le frodi a domicilio non riguardano i soldi, ma il cibo stesso. Ferraz ha affermato che alcuni autisti hanno effettivamente preso l'ordine e l'hanno mangiato da soli, ingannando l'app facendogli "vedere" l'autista consegnarlo al cliente.
Ciò solleva la questione di cosa dovrebbe fare il reparto IT di fronte a questo problema. C'è una grande differenza tra "non usare la geolocalizzazione" e "non fidarti della geolocalizzazione". È simile a come un giornalista tratta una fonte inaffidabile; Non devi necessariamente ignorare quello che dicono, ma controlla tutto tre volte.
Prendi l'autenticazione della sicurezza informatica, ad esempio. Se stai facendo tutto bene, specialmente in un ambiente zero-trust, probabilmente ti stai fidando di dozzine di punti dati o più. In questo scenario, è bene utilizzare i dati di geolocalizzazione. Dopotutto, la maggior parte di questi dati è probabilmente corretta. Proprio come nell'esempio della banca, non rifiutare qualcuno basandosi esclusivamente su una posizione incompatibile. Ma è perfettamente appropriato utilizzare qualsiasi discrepanza per generare più domande.
Non c'è motivo per cui non puoi avere processi diversi; in alcuni casi, ci affidiamo all'accuratezza della geolocalizzazione; in altri è semplicemente complementare; in altri poco importa (forse giochi). Insomma, usa la geolocalizzazione ma non pensare nemmeno a fidarti.
Copyright © 2022 IDG Communications, Inc.