Il 25% delle app mobile non è sicuro
IKS, azienda di consulenza specializzata nello sviluppo di soluzioni per l’IT e in particolare nell’ambito della sicurezza informatica, ha presentato il Security Report 2015, documento giunto alla sua terza edizione che si concentra sul livello dei rischi di sicurezza legati all’utilizzo dei dispositivi mobili, in particolar modo quelli finanziari.
Le analisi sono state effettuata a luglio 2015 su un campione di applicazioni mobile iOS e Android rilasciate da istituti e società di servizi bancari e finanziari, distributori di contenuti multimediali a pagamento, automotive, home automation, social ed enterprise management, del panorama italiano e mondiale. Le applicazioni analizzate sono sia per iOS che per Android e sono disponibili su store ufficiale Apple e Google.
I risultati principali del report indicano che solo il 25% delle applicazioni prese in esame implementa contromisure complete o parziali all’abuso. Gestire questa eventualità è di primaria importanza per garantire la sicurezza dell’ambiente di esecuzione dell’app e quindi evitare utilizzi impropri o l‘accesso alle informazioni dell‘utente
Inoltre solo il 7% delle applicazioni Android gestisce in maniera completa il rischio di reverse engineering, mentre nessuna applicazione iOS affronta adeguatamente questa criticità. Meno della metà (il 40%) delle applicazioni gestisce in maniera corretta gli aspetti di robustezza delle comunicazioni verso il back-end, non utilizzando la cifratura nella comunicazione.
Per cambiare questo scenario, occorrerebbe utilizzare linee guida di sviluppo mobile
In generale iOS si dimostra più sensibile di Android per quanto riguarda la presenza di cache e file critici su disco dopo l’esecuzione dell’app, con il 54% delle applicazioni contro il 27% che gestisce completamente il rischio. Si scopre anche che il 33% delle applicazioni si appoggia a sistemi di bug reporting, che se non opportunamente gestiti possono però essere punti di accesso per un attacco ai servizi cloud. Infine, come dato positivo, il 60% delle applicazioni è attento al contenuto sensibile all’interno del pacchetto di installazione o dell’eseguibile.
Per cambiare questo scenario, occorrerebbe utilizzare linee guida di sviluppo mobile e verificare in fase di pre-rilascio il livello di sicurezza dell’app con un assessment di sicurezza completo. Tuttavia la sicurezza dell’app non può esimersi dal considerare anche l’ambiente di esecuzione (ossia il dispositivo mobile e il suo stato di compromissione).
Oggi la comunità mobile considera accettabile l’impiego di jailbreak e rooting come affermazione della libertà dell’utente di utilizzare come crede il proprio dispositivo. Impedire l’uso di una applicazione su dispositivi compromessi non risulta essere sempre una soluzione valida, perché comporta una percentuale molto alta di utenti insoddisfatti, che riportando il loro disappunto sugli store, anche tramite votazione negativa della app, concorrono a metterla in cattiva luce, avvertendo la mancata esecuzione come un malfunzionamento anziché come una misura di sicurezza.
Garantire la sicurezza runtime delle app comporta mettere in atto processi di monitoraggio e contromisure complesse, capaci sia di permettere una user-experience ottimale che di intercettare e gestire correttamente situazioni pericolose per i servizi esposti. Correggere le situazioni di rischio è primario: la pressione di analisi ed attacchi, cui sono oggetto i principali sistemi operativi mobile, è enorme, ed è solo questione di tempo prima che emergano nuovi modi di sfruttare le vulnerabilità in essere (o forse già avviene a nostra insaputa)
“Se da un lato si rileva un’attenzione maggiore alle tematiche di sicurezza legate alla trasmissione dei dati su rete, risulta preoccupante la mancanza di contromisure per altri vettori d’attacco altrettanto pericolosi. Garantire la sicurezza runtime delle app e correggere le situazioni di rischio è oggi primario e siamo soddisfatti che IKS continui a essere un punto di riferimento per le aziende non solo a livello nazionale che hanno la necessità di sviluppare, gestire e distribuire in sicurezza le applicazioni mobile” ha affermato Davide Fania, Business Development Manager Mobile IKS.