Anche quest’anno IKS annuncia l’uscita del suo report annuale dedicato alla sicurezza delle applicazioni business in ambito mobile. La ricerca si colloca tra le attività del MOBO Lab, il Centro di Competenza IKS specializzato in ambito Mobile & Security. Il documento è la conclusione di un’attività di assessment condotta su un campione di mobile app, rilasciate da società di servizi bancari e finanziari e distributori di contenuti multimediali a pagamento, italiani e internazionali.
Il report mette in evidenza la crescente popolarità delle applicazioni, con una percentuale di diffusione degli smartphone che in Italia ha raggiunto il 62% nel 2014. La tendenza di accesso a servizi online da mobile è risultata in crescita del 28% da smartphone e del 127% da tablet. Questa realtà non si accompagna, tuttavia, ad una parallela attenzione per la sicurezza. Se da una parte l’utente sottostima i rischi legati alla privacy e alla perdita di informazioni sensibili, dall’altra le esigenze di time-to-market delle aziende non permettono un’adeguata progettazione delle app in termini di sicurezza.
Nello specifico, IKS ha esaminato un campione di applicazioni mobile composto da un 60% di istituti finanziari italiani, da un 20% di istituti finanziari internazionali (USA e Cina) e da un 20% di fornitori di contenuti multimediali a pagamento, app tutte disponibili su store Apple e Google nel periodo luglio 2014. L’indagine si è svolta utilizzando dispositivi con jailbreak e rooting per osservare il comportamento delle app e delle informazioni gestite.
Dal report emerge come la maggior parte delle app non dedichi sufficiente attenzione all’aspetto della sicurezza run-time. In merito al secondo punto, si evidenzia una differenza tra app iOS e Android: nessuna applicazione iOS ha mostrato contromisure per complicare il reverse engineering, mentre in Android invece sembra esserci maggiore consapevolezza dei rischi. A livello di robustezza delle comunicazioni verso il back-end, le app registrano un corretto utilizzo dell’SDK (Software Development Kit) ma raramente verificano che il certificato SSL usato sia effettivamente rilasciato dal distributore ufficiale. Entrambe le piattaforme, infine, eseguono cache delle comunicazioni di rete, generando un rischio potenziale per la riservatezza dell’utente.
“Le vulnerabilità specifiche dei sistemi operativi mobili sono oggi il terreno di battaglia più fertile per le frodi” ha dichiarato Guido Ronchetti, Team Leader del MOBO Lab di IKS. “In questo contesto, il servizio X4mobile di IKS è in grado di supportare le aziende e gli istituti bancari in tutte le fasi di progettazione, sviluppo, gestione e delivery delle applicazioni”.
