IKS, azienda di
consulenza specializzata nello sviluppo di soluzioni per l’IT in ambito
sicurezza, continua ad investire sul segmento mobile security e pubblica
la seconda edizione del report dedicato alla sicurezza delle
applicazioni mobile.
Forte delle competenze acquisite negli
anni in questo settore, IKS si pone come punto di riferimento per le
aziende che abbiano la necessità di sviluppare, gestire e distribuire in
sicurezza applicazioni mobile. Anche quest’anno la società rinnova
l’iniziativa del report, che si colloca, nello specifico, tra le
attività del MOBO Lab, il Centro di Competenza IKS specializzato in
ambito Mobile & Security. Il report, avente cadenza annuale, esamina
il livello di sicurezza delle applicazioni business in ambito mobile,
offrendo un’analisi utile sia ai Clienti sia ai diversi attori del
processo di sviluppo di queste applicazioni. Il documento è il risultato
di un’intensa attività di assessment effettuata su un campione di
mobile app rilasciate non solo da istituti e società di servizi bancari e
finanziari ma anche da distributori di contenuti multimediali a
pagamento, del panorama italiano e internazionale.
Il report mette in evidenza la crescita
esponenziale della diffusione delle applicazioni mobile, con una
percentuale di diffusione degli smartphone che in Italia ha raggiunto il
62% nel 2014, con una tendenza di accesso a servizi online da mobile in
crescita del 28% da smartphone e del 127% da tablet. Questa realtà non
si accompagna, tuttavia, ad una parallela sensibilizzazione verso la
sicurezza: da una parte, infatti, l’utente finale sottostima i rischi
legati all’utilizzo dei dispositivi mobile dal punto di vista della
privacy e della perdita di informazioni sensibili e, dall’altra, le
esigenze di time-to-market delle aziende spesso non permettono
un’adeguata progettazione delle app in termini di sicurezza aggravando
ulteriormente la situazione. Nello specifico, IKS ha preso in esame un
campione di applicazioni mobile composto da un 60% di istituti
finanziari italiani, da un 20% di istituti finanziari internazionali
(USA e Cina) e da un 20% di fornitori di contenuti multimediali a
pagamento. App tutte disponibili su store ufficiali Apple e Google nel
periodo luglio 2014. L’indagine si è svolta utilizzando dispositivi con
jailbreak e rooting per osservare il comportamento delle app e delle
informazioni gestite, sulla base di metodologie e best practice di
riferimento per il mondo mobile.
I principali criteri di analisi utilizzati riguardano la sicurezza run-time, l’intellegibilità della logica implementativa, la Network Communication Security e la persistenza di file-system.
Dal report emerge come la maggior parte delle app non dedichi
sufficiente attenzione all’aspetto della sicurezza run-time. In merito
al secondo punto, si evidenzia una differenza tra app iOS e Android: in
iOS nessuna applicazione ha mostrato contromisure per complicare il
reverse engineering, in Android invece sembra esserci maggiore
consapevolezza dei rischi. Proseguendo nell’analisi, a livello di
robustezza delle comunicazioni verso il back-end le app registrano un
corretto utilizzo dell’SDK – Software Development Kit -, ma raramente
verificano che l’origine del certificato SSL utilizzato sia
effettivamente rilasciato dal distributore dell’app. Entrambe le
piattaforme, infine, eseguono cache delle comunicazioni di rete,
generando un rischio per la riservatezza dell’utente.
“La seconda edizione di questo report
sottolinea la necessità di continuare a sensibilizzare le aziende
sull’argomento sicurezza per le applicazioni in ambito mobile, ancora
troppo sottovalutato - dichiara Guido Ronchetti, Team Leader del MOBO Lab di IKS
-. Le vulnerabilità specifiche dei sistemi operativi mobili sono oggi
il terreno di battaglia più fertile per le frodi. Suggeriamo, quindi, di
utilizzare linee guida di sviluppo mobile e di verificare in fase di
pre-rilascio il livello di sicurezza dell’app con un assessment di
sicurezza completo: queste misure sicuramente riducono i rischi, anche
nel caso di jailbreak e rooting. Adottare processi di monitoraggio e
contromisure complesse, significa intercettare e gestire correttamente
situazioni pericolose garantendo sempre una user experience ottimale. In
questo contesto, il servizio X4mobile di IKS è in grado di supportare
le aziende e gli istituti bancari in tutte le fasi di progettazione,
sviluppo, gestione e delivery delle applicazioni, nel rispetto della
compliance e delle normative vigenti.”
Per approfondimenti, è disponibile il report completo al seguente link: http://www.iks.it/security-report-app-mobile-2014.html
Post
Nessun commento:
Posta un commento