computer pc hacker

OCCHIO, CHE I PIRATI INFORMATICI VI "BUCANO" L'APP - GLI "HACKER ETICI" DI MOBISEC HANNO CONDOTTO DEI TEST DI SICUREZZA SULLE APP ITALIANE IN DIVERSI SETTORI (SANITÀ, FINANZA, ENERGIA, GRANDE DISTRIBUZIONE E TELECOMUNICAZIONI) E I RISULTATI NON SONO PER NIENTE RASSICURANTI: NESSUNA E' STATA VALUTATA SICURA AL 100% - "QUOTIDIANAMENTE ESCONO PATCH CHE RISOLVONO PROBLEMI DI SICUREZZA PERÒ..."

Comunicato stampa

 

cybersicurezza 4

Mobisec ha condotto un’analisi sulle app mobile di alcuni settori: healthcare, finance, energia, Gdo e Telco. Sottoposte a nove diversi test di sicurezza, nessuna è riuscita a superarli completamente

 

Treviso, 17 settembre 2024 – Cinque settori merceologici, ovvero sanità, finance, energia, GDO e telco, nove diversi test di sicurezza eseguiti: i risultati delle dry run (un processo di test di prova utilizzato per assicurarsi che un sistema funzioni correttamente e non provochi guasti gravi) eseguite utilizzando un software proprietario dagli hacker etici di Mobisec, azienda trevigiana specializzata nella cybersecurity delle applicazioni mobile, lasciano scoraggiati. Nessuna delle app testate è infatti riuscita a superare tutti e nove i test ai quali è stata sottoposta.

cybersicurezza 8

 

I TEST

Il team di ethical hacker di Mobisec ha eseguito tutti questi test in locale, ovvero installando l’app su degli smartphone, sia Android che iOS. Non c’è stato alcun tipo di tentativo di intrusione nei server. Le prove sono state condotte eseguendo alcuni dei test previsti dalla lista del MASTG (Mobile Application Security Testing Guide), cioè il manuale che raccoglie tutti i test per valutare se un’app mobile aderisce alle linee guida stabilite dal MASVS (Mobile Application Security Verification Standard).

hacker 1

 

Detto altrimenti, il team di Mobisec si è calato nei panni di un hacker che, nella fase

preliminare all’attacco, mira a una visione rapida e generale dei possibili punti di

accesso a un’applicazione mobile, per identificare la preda perfetta. Tra gli elementi testati la crittografia a protezione dei dati, l’aggiornamento delle librerie e dei certificati di sicurezza, la coerenza tra il servizio offerto dall’app e i permessi che richiede (ad esempio l’accesso alla rubrica o alla fotocamera).

 

hacker

SANITÀ

Per quanto riguarda il settore della salute, l’analisi ha preso in considerazione le app per le prenotazioni e l’accesso ai risultati degli esami diagnostici di diverse regioni italiane. In questo caso, il 27,7% dei test condotti si è concluso con un fallimento. Il principale problema per le versioni Android (tutte hanno fallito questo test) riguarda la verifica dei certificati delle firme digitali, un problema che può aprire le porte all’inserimento di software malevolo. Il 50% delle applicazioni iOS, invece, ha evidenziato la possibilità di inserire nei certificati di sicurezza dei dati fittizi, usati per verifiche automatiche del sistema operativo.

 

GDO

cybersicurezza 5

Le app Android del settore GDO (sono state testate le app di alcune grandi catene della grande distribuzione organizzata sia food che non food) hanno fallito il 54% dei test. In particolare, tutte avevano la keyboard cache abilitata, ovvero compilavano in automatico campi di testo contenenti informazioni potenzialmente sensibili (come ad esempio utente e password, ma anche codice fiscale: informazioni che, se sullo smartphone fosse presente un malware, potrebbero essere facilmente sottratte). Sul fronte iOS il problema principale, riguardante il 75% delle app testate, riguardava la corrispondenza tra i certificati di sicurezza presenti sull’app e sui server.

 

FINANCE

Sono due i principali problemi delle app del settore bancario italiano: la crittografia dei dati e la coerenza tra i servizi offerti e i permessi richiesti. Il 67% delle app testate, sia in ambiente iOS che Android, non ha superato questi test.

 

cybersicurezza 2

ENERGIA

Una delle problematiche emerse maggiormente nelle applicazioni del settore energia riguarda il ricorso a librerie di terze parti, ovvero a pezzi di codice scritti da altri sviluppatori. Una soluzione che permette di risparmiare tempo, ma che espone al rischio che questo codice sia malevolo e offra una via d’accesso a dei malintenzionati. L’86% delle app di questo settore, sia in ambiente iOS che Android, fa ricorso versioni datate e insicure di queste librerie di terze parti.

 

TELCO

cybersicurezza 3

L’80% delle app di aziende che si occupano di telecomunicazioni non ha superato il test che verifica la corrispondenza tra i certificati di sicurezza presenti sull’app e quelli installati sul server. Una circostanza che può esporre ad attacchi di sniffing, per cui un malintenzionato si frappone tra app e server modificando il flusso, o di server spoofing, per cui l’attaccante finge di essere un server trafugando i dati inviati dall’app.

 

«Gli elementi che siamo andati a testare rappresentano delle potenziali debolezze che un hacker malevolo può tentare di sfruttare per aver accesso ai dati, sia quelli custoditi nei singoli smartphone che quelli presenti sui server», sottolinea Riccardo Poffo, Chief Technical Officer di Mobisec.

 

cybersicurezza 6

«Sia Apple che Google investono molto sulla sicurezza dei loro sistemi operativi, così come l’impegno degli sviluppatori che sviluppano le centinaia di librerie che popolano i software è costante», prosegue, «quotidianamente escono patch che risolvono problemi di sicurezza, che però non vengono applicati con la giusta frequenza da chi mantiene le app.

 

cybersicurezza 7

Si tratta di un problema culturale imposto dal mercato e dalle moderne logiche di sviluppo software, con gli sviluppatori a cui vengono imposti ritmi serrati troppo focalizzati sul rilascio continuo, senza andare a garantire le ore necessarie all’applicazione di questi update di sicurezza che sono cruciali per evitare incidenti informatici. Per questo un servizio come Mobisec DSA (Dynamic Security Analysis), che consente di compiere continue e costanti verifiche sulla sicurezza delle app, permette di individuare tempestivamente le potenziali falle di sicurezza e di agire per ripararle».

Ultimi Dagoreport

andrea orcel gaetano caltagirone carlo messina francesco milleri philippe 
donnet nagel generali

DAGOREPORT - COSA FRULLAVA NELLA TESTA TIRATA A LUCIDO DI ANDREA ORCEL QUANDO STAMATTINA ALL’ASSEMBLEA GENERALI HA DECISO IL VOTO DI UNICREDIT A FAVORE DELLA LISTA CALTAGIRONE? LE MANGANELLATE ROMANE RICEVUTE PER L’OPS SU BPM, L’HANNO PIEGATO AL POTERE DEI PALAZZI ROMANI? NOOO, PIU' PROBABILE CHE SIA ANDATA COSÌ: UNA VOLTA CHE ERA SICURA ANCHE SENZA UNICREDIT, LA VITTORIA DELLA LISTA MEDIOBANCA, ORCEL HA PENSATO BENE CHE ERA DA IDIOTA SPRECARE IL SUO “PACCHETTO”: MEJO GIRARLO ALLA LISTA DI CALTARICCONE E OTTENERE IN CAMBIO UN PROFICUO BONUS PER UNA FUTURA PARTNERSHIP IN GENERALI - UNA VOLTA ESPUGNATA MEDIOBANCA COL SUO 13% DI GENERALI, GIUNTI A TRIESTE L’82ENNE IMPRENDITORE COL SUO "COMPARE" MILLERI AL GUINZAGLIO, DOVE ANDRANNO SENZA UN PARTNER FINANZIARIO-BANCARIO, BEN STIMATO DAI FONDI INTERNAZIONALI? SU, AL DI FUORI DEL RACCORDO ANULARE, CHI LO CONOSCE ‘STO CALTAGIRONE? – UN VASTO PROGRAMMA QUELLO DI ORCEL CHE DOMANI DOVRA' FARE I CONTI CON I PIANI DELLA PRIMA BANCA D'ITALIA, INTESA-SANPAOLO…

donald trump ursula von der leyen giorgia meloni

DAGOREPORT - UN FACCIA A FACCIA INFORMALE TRA URSULA VON DER LEYEN E DONALD TRUMP, AI FUNERALI DI PAPA FRANCESCO, AFFONDEREBBE IL SUPER SUMMIT SOGNATO DA GIORGIA MELONI - LA PREMIER IMMAGINAVA DI TRONEGGIARE COME MATRONA ROMANA, TRA MAGGIO E GIUGNO, AL TAVOLO DEI NEGOZIATI USA-UE CELEBRATA DAI MEDIA DI TUTTO IL MONDO. SE COSÌ NON FOSSE, IL SUO RUOLO INTERNAZIONALE DI “GRANDE TESSITRICE” FINIREBBE NEL CASSETTO, SVELANDO IL NULLA COSMICO DIETRO AL VIAGGIO ALLA CASA BIANCA DELLA SCORSA SETTIMANA (L'UNICO "RISULTATO" È STATA LA PROMESSA DI TRUMP DI UN VERTICE CON URSULA, SENZA DATA) - MACRON-MERZ-TUSK-SANCHEZ NON VOGLIONO ASSOLUTAMENTE LA MELONI NEL RUOLO DI MEDIATRICE, PERCHÉ NON CONSIDERANO ASSOLUTAMENTE EQUIDISTANTE "LA FANTASTICA LEADER CHE HA ASSALTATO L'EUROPA" (COPY TRUMP)...

pasquale striano dossier top secret

FLASH – COM’È STRANO IL CASO STRIANO: È AVVOLTO DA UNA GRANDE PAURA COLLETTIVA. C’È IL TIMORE, NEI PALAZZI E NELLE PROCURE, CHE IL TENENTE DELLA GUARDIA DI FINANZA, AL CENTRO DEL CASO DOSSIER ALLA DIREZIONE NAZIONALE ANTIMAFIA (MAI SOSPESO E ANCORA IN SERVIZIO), POSSA INIZIARE A “CANTARE” – LA PAURA SERPEGGIA E SEMBRA AVER "CONGELATO" LA PROCURA DI ROMA DIRETTA DA FRANCESCO LO VOI, IL COPASIR E PERSINO LE STESSE FIAMME GIALLE. L’UNICA COSA CERTA È CHE FINCHÉ STRIANO TACE, C’È SPERANZA…

andrea orcel francesco milleri giuseppe castagna gaetano caltagirone giancarlo giorgetti matteo salvini giorgia meloni

DAGOREPORT - IL RISIKONE È IN ARRIVO: DOMANI MATTINA INIZIERÀ L’ASSALTO DI CALTA-MILLERI-GOVERNO AL FORZIERE DELLE GENERALI. MA I TRE PARTITI DI GOVERNO NON VIAGGIANO SULLO STESSO BINARIO. L’INTENTO DI SALVINI & GIORGETTI È UNO SOLO: SALVARE LA “LORO” BPM DALLE UNGHIE DI UNICREDIT. E LA VOLONTÀ DEL MEF DI MANTENERE L’11% DI MPS, È UNA SPIA DEL RAPPORTO SALDO DELLA LEGA CON IL CEO LUIGI LOVAGLIO - DIFATTI IL VIOLENTISSIMO GOLDEN POWER DEL GOVERNO SULL’OPERAZIONE DI UNICREDIT SU BPM, NON CONVENIVA CERTO AL DUO CALTA-FAZZO, BENSÌ SOLO ALLA LEGA DI GIORGETTI E SALVINI PER LEGNARE ORCEL – I DUE GRANDI VECCHI DELLA FINANZA MENEGHINA, GUZZETTI E BAZOLI, HANNO PRESO MALISSIMO L’INVASIONE DEI CALTAGIRONESI ALLA FIAMMA E HANNO SUBITO IMPARTITO UNA “MORAL SUASION” A COLUI CHE HANNO POSTO AL VERTICE DI INTESA, CARLO MESSINA: "ROMA DELENDA EST"…