In un mondo sempre più digitale, la sicurezza delle applicazioni mobili rappresenta una priorità fondamentale per aziende e utenti. Cinque settori merceologici, tra cui sanità, finance, energia, grande distribuzione organizzata (GDO) e telco, sono stati recentemente oggetto di un’analisi approfondita da parte degli ethical hacker di Mobisec, un’azienda trevigiana all’avanguardia nella cybersecurity. I risultati delle dry run—un processo di test di prova utilizzato per verificare che un sistema funzioni correttamente senza provocare guasti—hanno messo in luce una realtà preoccupante: nessuna delle app testate ha superato con successo tutti e nove i test previsti.
I test condotti da Mobisec
Il team di Mobisec ha eseguito i test in modalità locale, installando le applicazioni su smartphone sia Android che iOS, senza tentare alcuna intrusione nei server. I criteri utilizzati sono stati rigorosi e conformi alle linee guida della Mobile Application Security Testing Guide (MASTG) e del Mobile Application Security Verification Standard (MASVS). Questi strumenti forniscono un quadro completo per valutare la sicurezza delle app mobili, analizzando vari aspetti critici.
I test hanno riguardato elementi fondamentali come la crittografia per la protezione dei dati, l’aggiornamento delle librerie e dei certificati di sicurezza, e la coerenza tra i permessi richiesti dall’app e i servizi offerti. Gli hacker si sono comportati come potenziali attaccanti, cercando punti vulnerabili per identificare le possibili debolezze da sfruttare.
Analisi per settore
Sanità
Nel settore sanità, l’analisi ha riguardato app per la prenotazione di visite e l’accesso ai risultati degli esami diagnostici di diverse regioni italiane. I risultati sono allarmanti: il 27,7% dei test condotti ha mostrato fallimenti significativi. Per le app Android, tutte hanno fallito la verifica dei certificati delle firme digitali, una vulnerabilità che può permettere l’inserimento di software malevolo. Per quanto riguarda le app iOS, il 50% ha dimostrato la possibilità di inserire dati fittizi nei certificati di sicurezza, compromettendo la validità delle verifiche automatiche del sistema operativo.
Grande distribuzione organizzata (GDO)
Il settore della grande distribuzione organizzata ha rivelato risultati altrettanto preoccupanti. Le app Android testate hanno fallito il 54% dei test, e un problema ricorrente è stata l’abilitazione della keyboard cache, che permette di compilare automaticamente campi di testo contenenti informazioni sensibili come password e codici fiscali. Questi dati, se esposti a malware presente sul dispositivo, possono essere facilmente sottratti. Sul fronte iOS, il 75% delle app ha mostrato discrepanze tra i certificati di sicurezza presenti sull’app e quelli installati sui server, aumentando il rischio di attacchi.
Finance
Nel settore finance, sono emersi due problemi principali: la crittografia dei dati e la coerenza tra i servizi offerti e i permessi richiesti. Il 67% delle app testate, sia in ambiente iOS che Android, non ha superato questi controlli, sollevando interrogativi seri sulla protezione delle informazioni sensibili degli utenti. Un fallimento in questo settore potrebbe avere conseguenze devastanti, non solo per gli utenti, ma anche per la reputazione delle istituzioni coinvolte.
Energia
Nel settore energia, è stata riscontrata una problematica significativa relativa all’uso di librerie di terze parti. Questo approccio consente agli sviluppatori di risparmiare tempo, ma espone le app a rischi elevati, specialmente se le librerie utilizzate sono obsolete o vulnerabili. L’86% delle app testate in questo settore si affida a versioni datate e insicure di queste librerie, creando un pericolo imminente per la sicurezza dei dati degli utenti.
Telecomunicazioni (Telco)
Infine, nel settore delle telecomunicazioni, l’80% delle app non ha superato il test sulla corrispondenza dei certificati di sicurezza. Questo può portare a attacchi di sniffing, in cui un malintenzionato si frappone tra app e server, modificando il flusso di dati, e di server spoofing, dove un attaccante finge di essere un server legittimo per rubare informazioni sensibili. Queste vulnerabilità evidenziano l’importanza di una protezione robusta e di controlli rigorosi per le app nel settore delle telecomunicazioni.
La posizione di Mobisec
Riccardo Poffo, Chief Technical Officer di Mobisec, ha commentato i risultati, sottolineando che le vulnerabilità testate rappresentano punti di accesso critici che un hacker malevolo potrebbe tentare di sfruttare per accedere ai dati, sia custoditi sui singoli smartphone che su server remoti. Nonostante Apple e Google investano ingenti risorse nella sicurezza dei loro sistemi operativi, Poffo evidenzia che molti sviluppatori non applicano con la giusta frequenza le patch di sicurezza necessarie.
«Le patch di sicurezza vengono rilasciate quotidianamente», afferma Poffo, «ma il problema culturale imposto dal mercato e dalle logiche moderne di sviluppo software costringe gli sviluppatori a lavorare a ritmi serrati, focalizzandosi sul rilascio continuo delle app piuttosto che sulla loro sicurezza. Questo approccio non solo mette a rischio i dati degli utenti, ma può anche compromettere la fiducia nei servizi offerti».
Per affrontare questa problematica, Mobisec propone il servizio di Dynamic Security Analysis (DSA), che consente di effettuare verifiche continue sulla sicurezza delle app. Questo strumento aiuta a individuare tempestivamente le potenziali falle di sicurezza e permette di intervenire rapidamente per risolverle.
Mobisec, fondata nel 2015, ha collaborato con importanti aziende come Tim, Generali, UniCredit, e ha contribuito alla sicurezza dell’app Immuni, progettata per tracciare i contatti a rischio durante la pandemia di Covid-19. L’azienda non si limita solo alla sicurezza delle applicazioni mobili, ma offre anche servizi per le applicazioni web e servizi di data intelligence, dimostrando un approccio olistico alla cybersecurity.
Conclusioni
I risultati dei test condotti da Mobisec sono un campanello d’allarme per le aziende di diversi settori. La sicurezza delle applicazioni mobili è cruciale non solo per proteggere i dati degli utenti, ma anche per garantire la fiducia del mercato. Con la continua evoluzione delle tecnologie e delle minacce informatiche, è fondamentale che le aziende investano non solo nella creazione di app funzionali, ma anche nella loro sicurezza.
Le aziende devono adottare un approccio proattivo, implementando regolarmente aggiornamenti di sicurezza e formando i loro team su best practices in materia di cybersecurity. Solo così sarà possibile garantire un ambiente digitale più sicuro per tutti.
Rimani sempre aggiornato in tempo reale, iscriviti ai nostri canali Whatsapp e Telegram. Per segnalazioni 327 94 39 574
