Treviso, 17 settembre 2024 – Cinque settori merceologici di fondamentale importanza – sanità, finance, energia, grande distribuzione organizzata (GDO) e telco – sono stati sottoposti a un rigoroso processo di verifica da parte degli hacker etici di Mobisec, un’azienda trevigiana specializzata nella cybersecurity delle applicazioni mobili. I risultati delle dry run, ovvero dei test di prova finalizzati a garantire il corretto funzionamento dei sistemi e la sicurezza dei dati, rivelano un quadro preoccupante: nessuna delle app testate è riuscita a superare tutti i nove test previsti.
I test condotti da Mobisec
Il team di ethical hacker di Mobisec ha eseguito i test in locale, installando le applicazioni su smartphone sia Android che iOS. Non c’è stato alcun tentativo di intrusione nei server, il che rende i risultati ancora più significativi. I test sono stati eseguiti seguendo i criteri stabiliti dalla Mobile Application Security Testing Guide (MASTG) e dal Mobile Application Security Verification Standard (MASVS), documenti che raccolgono tutte le linee guida per la valutazione della sicurezza delle applicazioni mobili.
Durante i test, il team ha cercato di simulare il comportamento di un hacker in fase di attacco, focalizzandosi su potenziali punti di accesso vulnerabili. Tra gli aspetti analizzati ci sono stati la crittografia a protezione dei dati, l’aggiornamento delle librerie e dei certificati di sicurezza, e la coerenza tra i permessi richiesti dalle app e i servizi offerti. Questo approccio olistico ha permesso di ottenere un quadro chiaro della sicurezza delle applicazioni testate.
Analisi per settore
Sanità
Nel settore sanità, le app per la prenotazione di visite e l’accesso ai risultati diagnostici hanno mostrato una percentuale di fallimento del 27,7%. In particolare, tutte le app Android hanno fallito la verifica dei certificati delle firme digitali. Questo tipo di vulnerabilità rappresenta un serio rischio, poiché potrebbe consentire a un attaccante di inserire software malevolo all’interno dell’app. Per quanto riguarda le app iOS, il 50% ha dimostrato la possibilità di inserire nei certificati di sicurezza dati fittizi, utilizzati per le verifiche automatiche del sistema operativo. Ciò pone una questione cruciale sulla fiducia che gli utenti ripongono nelle app sanitarie, essenziali per il monitoraggio e la gestione della salute pubblica.
Grande distribuzione organizzata (GDO)
Le app Android del settore GDO hanno ottenuto risultati allarmanti, con un tasso di fallimento del 54%. La maggior parte di queste applicazioni presentava la keyboard cache abilitata, una funzionalità che consente la compilazione automatica dei campi di testo. Questo può esporre informazioni potenzialmente sensibili, come credenziali di accesso e codice fiscale, a rischi di furto da parte di malware. Le app iOS, da parte loro, hanno evidenziato un problema significativo: il 75% ha mostrato discrepanze tra i certificati di sicurezza installati sull’app e quelli presenti sui server. Questa incoerenza potrebbe essere sfruttata per condurre attacchi informatici, esponendo i dati degli utenti a furti e abusi.
Finance
Il settore finance ha dimostrato gravi lacune nella sicurezza delle app. Il 67% delle applicazioni testate, sia su iOS che Android, non ha superato i controlli relativi alla crittografia dei dati e alla coerenza tra i servizi offerti e i permessi richiesti. Questo è un campanello d’allarme per le istituzioni finanziarie, che gestiscono informazioni sensibili e che devono garantire la massima protezione dei dati dei clienti. La mancanza di adeguate misure di sicurezza può avere conseguenze devastanti, sia per le aziende che per gli utenti, aumentando il rischio di frodi e furti di identità.
Energia
Nel settore energia, una delle problematiche maggiormente emerse riguarda l’uso di librerie di terze parti, ovvero pezzi di codice sviluppati da terzi. Sebbene questa pratica possa ridurre i tempi di sviluppo, espone le app a rischi significativi. L’86% delle applicazioni testate ha utilizzato versioni obsolete e insicure di queste librerie, che possono contenere vulnerabilità note. Questo comportamento espone gli utenti a potenziali attacchi, dimostrando l’importanza di aggiornare costantemente le dipendenze e monitorare la sicurezza delle librerie utilizzate.
Telecomunicazioni (Telco)
Infine, nel settore delle telecomunicazioni, l’80% delle app non ha superato il test sulla corrispondenza dei certificati di sicurezza. Questo può portare a attacchi di sniffing, in cui un malintenzionato intercetta le comunicazioni tra l’app e il server, o a server spoofing, in cui l’attaccante si finge un server legittimo per rubare dati sensibili. Tali vulnerabilità possono avere un impatto devastante sulla fiducia dei consumatori nei servizi di telecomunicazione, compromettendo la sicurezza dei dati trasmessi.
La posizione di Mobisec
Riccardo Poffo, Chief Technical Officer di Mobisec, ha commentato: «Gli elementi che abbiamo testato rappresentano potenziali debolezze che un hacker malevolo può cercare di sfruttare per accedere ai dati, sia quelli custoditi nei singoli smartphone sia quelli presenti sui server». Nonostante gli investimenti di Apple e Google nella sicurezza dei loro sistemi operativi, molti sviluppatori non applicano le patch di sicurezza con la necessaria regolarità. Questo è un problema culturale, alimentato dalle moderne logiche di sviluppo software che impongono ritmi serrati, focalizzandosi sul rilascio continuo delle applicazioni piuttosto che sulla loro sicurezza.
Poffo sottolinea l’importanza di un servizio come il Mobisec DSA (Dynamic Security Analysis), che consente di effettuare verifiche continue sulla sicurezza delle app. Questo servizio permette di individuare tempestivamente potenziali falle di sicurezza e di intervenire rapidamente per risolverle, contribuendo a garantire un ambiente digitale più sicuro.
Conclusioni
In un’epoca in cui la digitalizzazione permea ogni aspetto della nostra vita quotidiana, la sicurezza delle applicazioni mobili è diventata cruciale. Le aziende devono prestare particolare attenzione alla protezione dei dati dei propri utenti, implementando misure di sicurezza adeguate e garantendo aggiornamenti tempestivi. I risultati dei test condotti da Mobisec evidenziano l’urgenza di un cambiamento nella cultura della sicurezza informatica, promuovendo pratiche che mettano al primo posto la protezione dei dati.
Mobisec, fondata nel 2015, ha collaborato con realtà di grande rilievo come Tim, Generali, UniCredit e ING, oltre ad aver lavorato alla sicurezza dell’app Immuni durante la pandemia di Covid-19. L’azienda continua a essere un punto di riferimento nel settore della sicurezza informatica, offrendo soluzioni innovative per proteggere le applicazioni mobili e garantire un futuro digitale più sicuro.
