Le app per dispositivi mobili sono sicure?

Ci sono app che non compromettono la sicurezza degli utenti che ne effettuano il download; ma per altre si pone la delicata questione della sicurezza dei dati!

Sono più di 80mila gli utenti che hanno scaricato l’applicazione “Giustizia Civile”. Questa app, completamente gratuita, consente ai professionisti del settore ma anche a tutti i cittadini di consultare direttamente dal proprio smartphone o tablet, senza dover andare in cancelleria, i procedimenti civili in corso presso gli uffici di Corte d’Appello, Tribunale Ordinario, Sezione distaccata e Giudice di Pace.

Sicuramente un grande risparmio di tempo, un enorme contenimento dei costi ma soprattutto anche una garanzia di trasparenza offerta ai cittadini; l’app è frutto di un limitato investimento esterno del Ministero della Giustizia, che non ha superato di molto i cento euro, ed è derivato dalla pubblicazione dell’app su Apple store per iPhone e su Google Play per Android.

App e sicurezza: una panoramica

Il proliferare delle app per dispositivi mobili e la relativa semplicità dello sviluppo ha portato il mercato (e di conseguenza le aziende) a puntare fortemente su questo tipo di prodotto, come tutti sappiamo. Alle app più comuni e generiche, la cui sicurezza può essere importante ma non cruciale, si affiancano invece app la cui sicurezza diviene importantissima se non obbligatoria.

Una ricerca condotta dall’operatore di rete statunitense Verizon ha dimostrato che la causa principale di incidenti di sicurezzadall’anno 2000 ad oggi, e che ha coinvolto aziende che offrono servizi finanziari, è riconducibile alle applicazioni esposte nel web.

Ben il 44% del totale degli incidenti è avvenuto a causa di violazioni delle app!

Il dato è davvero sconfortante e dimostra come ad oggi l’approccio alle questioni di sicurezza in ambienti Cloud e Mobile sia davvero tanto lontano dalla standardizzazione e dall’esperienza maturata in altri ambiti. La realtà è che ad oggi sviluppare buone mobile app è facile, renderle davvero sicure è invece molto complesso.

Le questioni inerenti la sicurezza si possono raggruppare in tre categorie:

  • informazioni personali e servizi al cittadino (sicurezza relativa alla Privacy)
    • dati sensibili
    • profilo utente
    • condivisione della posizione tramite GPS
  • pagamenti e transazioni (ad esempio: acquisti on line, Amazon, Ebay etc)
    • gestione dati della carta di credito
    • gestione dei profili dei sistemi di pagamento (es Paypal)
  • servizi finanziari, e bancari (e tutte le app mobile che interagiscono con i nostri risparmi, conti correnti e on line trading)
    • che includono tutti i profili citati, aggiungendo potenziali criticità su quelli che sono i dati “transazionali”, cioè scambiati effettuando un bonifico o anche solo accedendo al proprio conto utilizzando un app.

Da qui si capisce che la gestione delle informazioni deve essere diversa in funzione della complessità e dei diversi livelli dove la sicurezza potrebbe essere compromessa.

I rischi per le app: quali sono?

I rischi di sicurezza a cui sono soggette le app dei dispositivi mobili, oggi si possono raggruppare nelle seguenti aree:

  • il sistema operativo del device mobile
  • il salvataggio dei dati sul dispositivo (es. profilo utente, carta di credito, metodi di pagamento etc)
  • malware installati sul dispositivo che possono leggere informazioni salvate da altre app, tracciare la posizione dell’utente, tracciare i comportamenti dell’utente sul device e infine catturare il traffico di rete in ingresso e in uscita del dispositivo stesso
  • connettività, quindi problemi potenziali quali man-in-the-middle, Wi-Fi pubbliche e insicure, phishing.

La domanda che gli sviluppatori dovrebbero chiedersi è: “Che tipo di precauzioni prendere per garantire la sicurezza degli utenti e delle app?”

La risposta potrebbe essere: l’uso della crittografia e dei certificati SSL, la scrittura di app che rispettino al 100% i dettami imposti dalla casa madre, una verifica funzionale e la ricerca di vulnerabilità prima della diffusione sono sicuramente ottimi passi avanti per la distribuzione di app sicure.

 

Dott.ssa Simona Piovano
Digital Forensics Consultant

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *