Security Notes

Quante sono le applicazioni non sicure utilizzate in una grande impresa?

mobile

I dispositivi mobili sono parte integrante dell’infrastruttura di rete di qualunque azienda e, al pari di qualunque altro sistema in uso, devono essere garantiti elevati livelli di sicurezza nonostante la componente “” complichi notevolmente lo scenario operativo.

Attacchi basati sull’uso di malware, campagne di phishing, furti e smarrimenti sono alcune delle possibili minacce che potrebbero dar luogo ad una violazione delle informazioni gestite dall’azienda. Oggi parleremo di applicazioni mobili considerate non sicure e del loro utilizzo all’interno di aziende di grandi dimensioni, cercando di comprendere l’impatto complessivo in termini di sicurezza.

mobileUn recente studio condotto dall’azienda Veracode ha rivelato che in media sono presenti 2400 applicazioni non sicure installate nei dispositivi mobili di una grande azienda, un dato davvero preoccupante se consideriamo le differenti minacce a cui il personale potrebbe risultare esposto. VeraCode ha analizzato centinaia di migliaia di applicazioni mobili in esecuzione sui dispositivi in varie aziende operanti in differenti settori, scoprendo circa 14.000 differenti applicazioni non ritenute sicure dagli esperti. L’indgine ha analizzato di diversi settori, compresi i servizi finanziari, produzione, media e telecomunicazioni. I principali problemi riscontrati sono relativi all’esposizione di dati sensibili, ad operazioni non ritenute sicure, alla gestione sospetta di applicazioni mobili (installazione / disinstallazione all’insaputa dell’utenza) ed al monitoraggio dei dispositivi.

Di seguito un estratto dei risultati dello studio condotto da Veracode sul campione di 14000 applicazioni non sicure identificato dagli esperti.

  • 85% delle applicazioni espone dati sensibili del dispositivo, comprese le informazioni della SIM, la posizione del telefono, la cronologia delle chiamate, i contatti telefonici, i log dei messaggi SMS, l’identificativo del dispositivo ed informazioni sul gestore telefonico.
  • il 37% esegue azioni di sicurezza sospette, come il controllo per vedere se il dispositivo è sottoposto a jailbreak or root (che consente alle applicazioni di eseguire operazioni con diritti di super utente, come la registrazione di conversazioni, la sospensione di software anti-malware, la sostituzione del firmware o la visualizzazione delle credenziali utente memorizzate nella cache) l’installazione o la disinstallazione delle applicazioni, la registrazione delle chiamate telefoniche o l’esecuzione di altri programmi.
  • il 35% colleziona o condivide informazioni personali dell’utente, come la cronologia del browser ed eventi in calendario..

“I risultati dimostrano che le imprese in genere hanno molte applicazioni non sicure installate sui dispositivi mobili dei loro dipendenti. Si considera “non sicura” una applicazione che ha accesso ai dati della carta SIM, ai dati di geo localizzazione, alla cronologia delle chiamate, agli SMS e ed all’ID del dispositivo fisico” sostiene Phil Neray, VP di VeraCode.

Come giustamente Neray evidenzia, la presenza di applicazioni non sicure su dispositivi mobili espone i dati aziendali a grave rischio di violazione. Un attaccante potrebbe approfittare di tali applicazioni per eseguire attacchi mirati nei confronti delle imprese.

“Ci sono molti modi in cui un attaccante può sfruttare le applicazioni non ritenute secure. Ad esempio, possono essere usate per spiare i dipendenti ed accedere ad informazioni aziendali riservate, tracciare la posizione dei lavoratori, registrare conversazioni telefoniche, analizzare la rete sociale dei dipendenti, tutti attività che potrebbero comportare furto di proprietà intellettuale oppure l’accesso di informazioni privilegiate. Applicazioni non sicure potrebbero essere anche utilizzate per rubare le credenziali bancarie delle vittime ed operare frodi finanziarie ai danni delle organizzazioni” ha aggiunto Neray.

Il problema della sicurezza dei dispositivi mobili è molto serio, il numero di attacchi che prendono di mira infrastrutture mobili è in costante aumento, criminali informatici ed hacker che operano per conto dei governi utilizzano tecniche sempre più sofisticate in grado di sfruttare ogni falla all’interno delle applicazioni usate dalle aziende, comprese le per i dispositivi mobili.

“Nel corso del 2015, oltre il 75% delle applicazioni mobili non passerà i test di sicurezza di base” riferisce Gartner.

I dati raccolti da VeraCode forniscono un quadro allarmante sul livello attuale di sicurezza per il settore mobile, nello specifico per le grandi aziende che utilizzano il paradigma per il quotidiano svolgimento di molteplici operazioni. Gli esperti sollecitano un approccio dinamico alla gestione della sicurezza mobile, proprio perché le app evolvono nel tempo e se non aggiornate potrebbe potenzialmente esporre dati aziendali.

I risultati dello studio sulle applicazioni non sicure dimostrano l’inefficacia della gestione delle applicazioni mediante “liste nere”, ovvero elenchi di applicazioni non consentite in ambito aziendale per motivi di sicurezza.

Per ciascuna applicazione andrebbero analizzati i requisiti di sicurezza nel tempo, valutando l’evoluzione dell’applicazione in risposta alle minacce informatiche ed alle mutate esigenze aziendali in termini di operatività.

Pierluigi Paganini

Pierluigi Paganini è Chief Information Security Officer presso Bit4Id, un’azienda leader nella fornitura di soluzioni per l’Identity Management basate su infrastrutture PKI. Ricopre anche il ruolo di capo editore per la nota rivista statunitense Cyber Defense Magazine e vanta una esperienza di oltre venti anni nel settore della cyber security.
La passione per la scrittura e la forte convinzione che la sicurezza sia una materia che la conoscenza sulla Cyber Security vada condivisa lo ha spinto a fondare il blog
Security Affairs, recentemente insignito del titolo di “Top National Security Resource for US.”
E’ membro dei gruppi di lavoro del portale “The Hacker News” e dell’ ICTTF International Cyber Threat Task Force, è inoltre autore di numerosi articoli pubblicati sulle principali testare in materia sicurezza quali Cyber War Zone, ICTTF, Infosec Island, Infosec Institute, The Hacker News Magazine e molte altre riviste.
E’ membro del gruppo Threat Landscape Stakeholder Group dell’agenzia ENISA (European Union Agency for Network and Information Security).
Ha pubblicato due libri “The Deep Dark Web” e “Digital Virtual Currency and Bitcoin” rispettivamente sulla tematiche inerenti Deep Web ed i sistemi di moneta virtuali.

Facebook Twitter Google+ 

Clicca per commentare

Commenti e reazioni su:

Loading Facebook Comments ...

Lascia una replica

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

No Trackbacks.

TechEconomy è il portale di informazione dedicato a manager, imprenditori e professionisti che vogliono approfondire e comprendere l’impatto delle tecnologie nello sviluppo del business nelle PMI come nell’industria, nella finanza, nei servizi.
Si rivolge insomma a tutti coloro che vogliono capire come le nuove realtà dell'Information Technology - Web 2.0, e-Business, net economy - stiano cambiando l’economia, e con essa la società.
Inizio
Shares
Share This