Esistono app sicure al 100%, prive di vulnerabilità informatiche? No, e i test effettuati dagli hacker etici di Mobisec ne danno la conferma. Infatti, delle applicazioni per dispositivi mobili analizzate, appartenenti a settori differenti, nessuna è riuscita a superare completamente tutti e nove i test ai quali sono stati sottoposti.
I test imparziali di Mobisec rivelano gravi vulnerabilità informatiche nelle applicazioni di ogni settore
Mobisec ha eseguito i test in modalità dry run, utilizzando un software proprietario, e senza effettuare alcuna intrusione sui server delle organizzazioni che gestiscono le applicazioni prese in esame.
Per garantire l’imparzialità dei risultati, Mobisec ha condotto le prove eseguendo alcuni dei test previsti dalla lista del MASTG (Mobile Application Security Testing Guide), cioè il manuale che raccoglie tutti i test per valutare se un’applicazione mobile aderisce alle linee guida stabilite dal MASVS (Mobile Application Security Verification Standard).
Tra gli elementi testati dall’azienda figurano la crittografia a protezione dei dati, l’aggiornamento delle librerie e dei certificati di sicurezza, la coerenza tra il servizio offerto dall’app e i permessi che richiede (ad esempio l’accesso alla rubrica o alla fotocamera).
“Gli elementi che siamo andati a testare rappresentano delle potenziali debolezze che un hacker malevolo può tentare di sfruttare per aver accesso ai dati, sia quelli custoditi nei singoli smartphone che quelli presenti sui server,” ha dichiarato Riccardo Poffo, Chief Technical Officer di Mobisec.
Ecco le principali vulnerabilità riscontrate da Mobisec, per settore
Vediamo nel dettaglio e per settore come si sono comportate le applicazioni analizzate da Mobisec.
Sanità: quasi un terzo delle applicazioni gravemente bocciate
Per quanto riguarda il settore della salute, l’analisi ha preso in considerazione le app per le prenotazioni e l’accesso ai risultati degli esami diagnostici di diverse regioni italiane. Il 27,7% dei test condotti su queste applicazioni si è concluso con un fallimento.
Il problema principale riscontrato nelle versioni Android, riguarda la verifica dei certificati delle firme digitali, un problema che può aprire le porte all’inserimento di software malevolo. Invece, metà delle applicazioni iOS sono risultate vulnerabili all’iniezione di dati fittizi nei certificati di sicurezza, che vengono utilizzati per verifiche automatiche del sistema operativo.
Naviga in sicurezza con Nord VPN, Ottieni da questo link fino al 70% di Sconto
GDO: attenzione ai dati che inserite!
Mobisec ha verificato che le applicazioni Android del settore GDO sono altamente vulnerabili, fallendo il 54% dei test. In particolare, tutte avevano la keyboard cache abilitata, ovvero compilavano in automatico campi di testo contenenti informazioni potenzialmente sensibili. Ciò può permettere a un malintenzionato di sottrarre nomi utente, password, ma anche dati fiscali e bancari.
Invece, sul fronte iOS il problema principale, riguardante il 75% delle app testate, riguardava la corrispondenza tra i certificati di sicurezza presenti sull’app e sui server.
Finance: troppi permessi e troppa poca sicurezza
I principali problemi delle applicazioni del settore bancario sono due: la crittografia dei dati (estremamente importante vista la natura dei dati trattati) e la coerenza tra i servizi offerti e i permessi richiesti. Infatti, il 67% delle app testate, sia in ambiente iOS che Android, non ha superato questi test.
Energia: le librerie sono porte aperte per i criminali informatici
Mobisec ha constatato che l’86% delle applicazioni del settore dell’energia sono vulnerabili alle iniezioni di codice proveniente da librerie di terze parti. Nonostante l’utilizzo di librerie di codice esterne permetta di risparmiare tempo, espone le applicazioni al rischio di eseguire codice malevolo, oppure datato e vulnerabile.
Telecomunicazioni: applicazioni vulnerabili a sniffing e spoofing
Infine, l’80% delle applicazioni di aziende del settore delle telecomunicazioni risulta vulnerabile ad attacchi di sniffing, per cui un malintenzionato si frappone tra app e server modificando il flusso dei dati, e di server spoofing, per cui l’attaccante finge di essere un server trafugando i dati inviati dall’app. Ciò è causato dalla mancata corrispondenza tra certificati di sicurezza presenti sull’app e quelli installati sul server alla quale essa si connette.
“Sia Apple che Google investono molto sulla sicurezza dei loro sistemi operativi, così come l’impegno degli sviluppatori che sviluppano le centinaia di librerie che popolano i software è costante,” ha aggiunto Poffo. “Quotidianamente escono patch che risolvono problemi di sicurezza, che però chi mantiene le app non applica con la giusta frequenza. Si tratta di un problema culturale imposto dal mercato e dalle moderne logiche di sviluppo software. Le aziende impongono agli sviluppatori ritmi serrati troppo focalizzati sul rilascio continuo, senza andare a garantire le ore necessarie all’applicazione di questi update di sicurezza che sono cruciali per evitare incidenti informatici”.
Per maggiori informazioni sui servizi offerti da Mobisec, vi invitiamo a visitare il sito web ufficiale.
- Thiel, David (Autore)