La CISA avverte: evitate VPN personali per la sicurezza del vostro smartphone

La CISA avverte: evitate VPN personali per la sicurezza del vostro smartphone

In nuovi avvisi sulle comunicazioni mobili, la Cybersecurity and Infrastructure Security Agency (CISA) statunitense ha lanciato un severo avvertimento ai possessori di smartphone: evitare di utilizzare servizi VPN personali. Il documento, per gli utenti iPhone e Android, afferma che tali servizi spesso non attenuano i rischi, ma semplicemente modificano il punto in cui si concentrano le minacce.

Secondo la CISA, le VPN personali trasferiscono i rischi residui dal fornitore di servizi Internet al fornitore VPN, aumentando spesso la superficie di attacco. L’utente trasferisce di fatto la fiducia al servizio VPN e molti di questi fornitori, secondo l’agenzia, hanno politiche di sicurezza e privacy discutibili.

L’avviso fa parte di una campagna più ampia contro gli spyware commerciali e gli strumenti di tracciamento degli smartphone. Le agenzie di intelligence stanno registrando un numero crescente di casi in cui gli aggressori si mascherano da legittimi client VPN e li utilizzano come un comodo canale trojan per accedere ai dispositivi. Questi programmi sono in grado di intercettare la corrispondenza, la cronologia di navigazione e le credenziali per servizi bancari e altri servizi sensibili.

Si sottolinea che questi rischi sono aggravati dall’aumento della popolarità delle VPN. Gli utenti installano sempre più spesso queste app per aggirare i blocchi geografici, le restrizioni sui contenuti o in risposta a iniziative legislative come le leggi sulla verifica dell’età sui siti web per adulti. In preda alla mancanza di fiducia e al desiderio di “risolvere rapidamente il problema” della privacy, molti scaricano il primo software che incontrano, il che può rivelarsi inefficace o addirittura dannoso.

La formulazione della CISA sembra un divieto assoluto sulle VPN personali, ma il documento stesso prende di mira specificamente i provider con una reputazione dubbia. L’agenzia avverte efficacemente che il problema sorge in assenza di una struttura proprietaria trasparente, di impegni pubblici in materia di protezione dei dati e di chiare restrizioni sulla raccolta e l’archiviazione delle informazioni degli utenti. In questo caso, una VPN non diventa uno strumento di sicurezza, ma un ulteriore potenziale punto di sorveglianza.

Le raccomandazioni originali delineano anche i criteri che dovrebbero essere presi in considerazione da chi sta valutando l’utilizzo di una VPN. I requisiti chiave includono una politica di no-log rigorosa e verificata, l’utilizzo di protocolli crittografici moderni come OpenVPN e WireGuard, la protezione dalle perdite DNS e un meccanismo “kill switch” che interrompe la connessione di rete in caso di interruzione del tunnel VPN.

Vengono inoltre menzionate misure aggiuntive, come il routing del traffico multi-hop e frequenti modifiche delle chiavi di crittografia, per ridurre al minimo l’impatto di una potenziale compromissione.

L'articolo La CISA avverte: evitate VPN personali per la sicurezza del vostro smartphone proviene da Red Hot Cyber.