Security Notes

Le app che utilizziamo sono davvero sicure?

App

Il mercato mobile è da anni in continua ascesa, in alcuni paesi il numero di dispositivi mobili ha raggiunto, se non superato, quello dei tradizionali computer da scrivania. In questo scenario in continua evoluzione gli aspetti di stanno assumendo una rilevanza cruciale: è in crescita il numero delle minacce informatiche e la relativa complessità, proprio mentre il mondo mobile propone nuovi servizi che utilizzano un crescente volume di dati sensibili.

Oggi ci focalizzeremo sul reale livello di sicurezza delle principali applicazioni che “girano” sui nostri smartphone e tablet.

Security app

Vulnerabilità presenti in queste applicazioni, oppure l’esecuzione di codici malevoli, potrebbero causare seri problemi ai possessori di dispositivi mobili, si pensi al furto di identità oppure a frodi informatiche. Va subito detto che la quasi totalità delle che utilizziamo ogni giorno è manchevole nell’implementazione di misure idonee alla protezione dei dati dell’utente ma, cosa ancor più grave, è che esse sono vulnerabili a comuni attacchi che possono alterarne il funzionamento.

Un interessante studio condotto dalla HP Fortify alla fine del 2013 su circa 2107 app per Apple iOS, sviluppate da 601 diverse aziende, ha rivelato che circa il 90% di esse è risultato essere affetto da  almeno una vulnerabilità.

A preoccupare maggiormente è che circa il 75% delle app non adotta meccanismi di cifratura per archiviare i dati dell’utente, ciò significa che password, conversazioni su chat ed altri dati considerati importanti per l’utenza, sono memorizzati “in chiaro”.

Circa il 18% delle applicazioni trasmette informazioni sulla rete senza utilizzare canali protetti mediante protocolli crittografici come l’SSL, ed un altro 18% delle app utilizza i protocolli di cifratura in maniera scorretta. In entrambi i casi un attaccante potrebbe quindi accedere alle informazioni trasferite e, in alcuni contesti, impersonare l’utente con spiacevoli conseguenze. Gli attacchi contro i dispositivi mobili sono estremamente frequenti, a rischio soprattutto gli utenti che accedono a reti Wi-Fi aperte in aree pubbliche.

Il problema diventa ancor più grave se consideriamo che i dispositivi mobili sono sempre più spesso utilizzati in ambito lavorativo, dove una crescente platea utilizza smarphone e tablet non solo per scopi privati ma anche per accedere a dati e documenti di lavoro.

Se siete utenti Android, come il sottoscritto, non c’è da stare più allegri. La situazione, anche con questo sistema operativo, non è molto diversa: la scorsa settimana in un post sul mio blog abbiamo parlato di una vulnerabilità scoperta di recente nella popolare applicazione WhatsApp che consente ad un attaccante di accedere alle conversazioni private delle vittime.

Cosa possiamo imparare da questi dati? Come sostengo sempre, la presenza di vulnerabilità è “fisiologica” nel software, tuttavia un’approccio allo sviluppo in cui si tenga presente il requisito “sicurezza” è necessario, quanto auspicabile. E’ giunto il momento in cui anche per la progettazione delle applicazioni per dispositivi mobili siano definite e seguite “best practices”.

Diversamente il mondo mobile potrebbe diventare il paradiso dei criminali informatici.

Pierluigi Paganini

Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security.
La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog
Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.”
E’ membro dei gruppi di lavoro del portale “The Hacker News” e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste.
E’ membro del gruppo Threat Landscape Stakeholder Group dell’agenzia ENISA (European Union Agency for Network and Information Security).
Ha pubblicato due libri “The Deep Dark Web” e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

Facebook Twitter Google+ 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This