Cinque settori merceologici, ovvero sanità, finance, energia, GDO e telco, nove diversi test di sicurezza eseguiti: i risultati delle dry run (un processo di test di prova utilizzato per assicurarsi che un sistema funzioni correttamente e non provochi guasti gravi) eseguite utilizzando un software proprietario dagli hacker etici di Mobisec, azienda trevigiana specializzata nella cybersecurity delle applicazioni mobile, lasciano scoraggiati. Nessuna delle app testate è infatti riuscita a superare tutti e nove i test ai quali è stata sottoposta.
I test
Il team di ethical hacker di Mobisec ha eseguito tutti questi test in locale, ovvero installando l’app su degli smartphone, sia Android che iOS. Non c’è stato alcun tipo di tentativo di intrusione nei server. Le prove sono state condotte eseguendo alcuni dei test previsti dalla lista del MASTG (Mobile Application Security Testing Guide), cioè il manuale che raccoglie tutti i test per valutare se un’app mobile aderisce alle linee guida stabilite dal MASVS (Mobile Application Security Verification Standard).
Detto altrimenti, il team di Mobisec si è calato nei panni di un hacker che, nella fase preliminare all’attacco, mira a una visione rapida e generale dei possibili punti di accesso a un’applicazione mobile, per identificare la preda perfetta. Tra gli elementi testati la crittografia a protezione dei dati, l’aggiornamento delle librerie e dei certificati di sicurezza, la coerenza tra il servizio offerto dall’app e i permessi che richiede (ad esempio l’accesso alla rubrica o alla fotocamera).
Sanità
Per quanto riguarda il settore della salute, l’analisi ha preso in considerazione le app per le prenotazioni e l’accesso ai risultati degli esami diagnostici di diverse regioni italiane. In questo caso, il 27,7% dei test condotti si è concluso con un fallimento. Il principale problema per le versioni Android (tutte hanno fallito questo test) riguarda la verifica dei certificati delle firme digitali, un problema che può aprire le porte all’inserimento di software malevolo. Il 50% delle applicazioni iOS, invece, ha evidenziato la possibilità di inserire nei certificati di sicurezza dei dati fittizi, usati per verifiche automatiche del sistema operativo.
GDO
Le app Android del settore GDO (sono state testate le app di alcune grandi catene della grande distribuzione organizzata sia food che non food) hanno fallito il 54% dei test. In particolare, tutte avevano la keyboard cache abilitata, ovvero compilavano in automatico campi di testo contenenti informazioni potenzialmente sensibili (come ad esempio utente e password, ma anche codice fiscale: informazioni che, se sullo smartphone fosse presente un malware, potrebbero essere facilmente sottratte). Sul fronte iOS il problema principale, riguardante il 75% delle app testate, riguardava la corrispondenza tra i certificati di sicurezza presenti sull’app e sui server.
Finance
Sono due i principali problemi delle app del settore bancario italiano: la crittografia dei dati e la coerenza tra i servizi offerti e i permessi richiesti. Il 67% delle app testate, sia in ambiente iOS che Android, non ha superato questi test.
Energia
Una delle problematiche emerse maggiormente nelle applicazioni del settore energia riguarda il ricorso a librerie di terze parti, ovvero a pezzi di codice scritti da altri sviluppatori. Una soluzione che permette di risparmiare tempo, ma che espone al rischio che questo codice sia malevolo e offra una via d’accesso a dei malintenzionati. L’86% delle app di questo settore, sia in ambiente iOS che Android, fa ricorso versioni datate e insicure di queste librerie di terze parti.
Telco
L’80% delle app di aziende che si occupano di telecomunicazioni non ha superato il test che verifica la corrispondenza tra i certificati di sicurezza presenti sull’app e quelli installati sul server. Una circostanza che può esporre ad attacchi di sniffing, per cui un malintenzionato si frappone tra app e server modificando il flusso, o di server spoofing, per cui l’attaccante finge di essere un server trafugando i dati inviati dall’app.
«Gli elementi che siamo andati a testare rappresentano delle potenziali debolezze che un hacker malevolo può tentare di sfruttare per aver accesso ai dati, sia quelli custoditi nei singoli smartphone che quelli presenti sui server», sottolinea Riccardo Poffo, Chief Technical Officer di Mobisec. «Sia Apple che Google investono molto sulla sicurezza dei loro sistemi operativi, così come l’impegno degli sviluppatori che sviluppano le centinaia di librerie che popolano i software è costante», prosegue, «quotidianamente escono patch che risolvono problemi di sicurezza, che però non vengono applicati con la giusta frequenza da chi mantiene le app. Si tratta di un problema culturale imposto dal mercato e dalle moderne logiche di sviluppo software, con gli sviluppatori a cui vengono imposti ritmi serrati troppo focalizzati sul rilascio continuo, senza andare a garantire le ore necessarie all’applicazione di questi update di sicurezza che sono cruciali per evitare incidenti informatici. Per questo un servizio come Mobisec DSA (Dynamic Security Analysis), che consente di compiere continue e costanti verifiche sulla sicurezza delle app, permette di individuare tempestivamente le potenziali falle di sicurezza e di agire per ripararle».
