IKS annuncia l’uscita della nuova edizione del report sulla sicurezza delle applicazioni business in ambito mobile e traccia un quadro aggiornato sullo stato dell’arte e sull’evoluzione delle tecnologie recentemente introdotte sul mercato
IKS si pone come punto di riferimento per le aziende che abbiano la necessità di sviluppare, gestire e distribuire in sicurezza applicazioni mobile. Anche quest’anno la società rinnova l’iniziativa del report, che si colloca, nello specifico, tra le attività del MOBO Lab, il Centro di Competenza IKS specializzato in ambito Mobile & Security. Il report esamina il livello di sicurezza delle applicazioni business in ambito mobile, offrendo un’analisi utile sia ai Clienti sia ai diversi attori del processo di sviluppo di queste applicazioni. Questo documento è il risultato di un’intensa attività di assessment effettuata su un campione di mobile app rilasciate non solo da istituti e società di servizi bancari e finanziari ma anche da distributori di contenuti multimediali a pagamento, di tutto il mondo.
Si evidenzia una crescita esponenziale della diffusione delle applicazioni mobile, con una percentuale di diffusione degli smartphone che in Italia ha raggiunto il 62% nel 2014, con una tendenza di accesso a servizi online da mobile in crescita del 28% da smartphone e del 127% da tablet. A questa crescita però non segue una parallela sensibilizzazione verso la sicurezza: l’utente finale, da una parte, sottostima i rischi legati all’utilizzo dei dispositivi mobile dal punto di vista della privacy e della perdita di informazioni sensibili e le esigenze di time-to-market delle aziende, dall’altra parte, spesso non permettono un’adeguata progettazione delle app in termini di sicurezza aggravando ulteriormente la situazione. IKS ha preso in esame un campione di applicazioni mobile composto da un 60% di istituti finanziari italiani, da un 20% di istituti finanziari internazionali (USA e Cina) e da un 20% di fornitori di contenuti multimediali a pagamento. App tutte disponibili su store ufficiali Apple e Google nel periodo luglio 2014. L’indagine si è svolta utilizzando dispositivi con jailbreak e rooting per osservare il comportamento delle app e delle informazioni gestite, sulla base di metodologie e best practice di riferimento per il mondo mobile.
I maggiori criteri di analisi utilizzati riguardano la sicurezza run-time, l’intellegibilità della logica implementativa, la Network Communication Security e la persistenza di file-system. Come emerge dal report la maggior parte delle app non dedica sufficiente attenzione all’aspetto della sicurezza run-time. Relativamente al secondo punto, si evidenzia una differenza tra app iOS e Android: in iOS nessuna applicazione ha mostrato contromisure per complicare il reverse engineering, in Android invece sembra esserci maggiore consapevolezza dei rischi. Dall’analisi emerge che a livello di robustezza delle comunicazioni verso il back-end le app registrano un corretto utilizzo dell’SDK – Software Development Kit -, ma raramente verificano che l’origine del certificato SSL utilizzato sia effettivamente rilasciato dal distributore dell’app. Entrambe le piattaforme eseguono cache delle comunicazioni di rete, generando un rischio per la riservatezza dell’utente.
“La seconda edizione di questo report sottolinea la necessità di continuare a sensibilizzare le aziende sull’argomento sicurezza per le applicazioni in ambito mobile, ancora troppo sottovalutato – dichiara Guido Ronchetti, Team Leader del MOBO Lab di IKS -. Le vulnerabilità specifiche dei sistemi operativi mobili sono oggi il terreno di battaglia più fertile per le frodi. Suggeriamo, quindi, di utilizzare linee guida di sviluppo mobile e di verificare in fase di pre-rilascio il livello di sicurezza dell’app con un assessment di sicurezza completo: queste misure sicuramente riducono i rischi, anche nel caso di jailbreak e rooting. Adottare processi di monitoraggio e contromisure complesse, significa intercettare e gestire correttamente situazioni pericolose garantendo sempre una user experience ottimale. In questo contesto, il servizio X4mobile di IKS è in grado di supportare le aziende e gli istituti bancari in tutte le fasi di progettazione, sviluppo, gestione e delivery delle applicazioni, nel rispetto della compliance e delle normative vigenti.”