computer pc hacker

OCCHIO, CHE I PIRATI INFORMATICI VI "BUCANO" L'APP - GLI "HACKER ETICI" DI MOBISEC HANNO CONDOTTO DEI TEST DI SICUREZZA SULLE APP ITALIANE IN DIVERSI SETTORI (SANITÀ, FINANZA, ENERGIA, GRANDE DISTRIBUZIONE E TELECOMUNICAZIONI) E I RISULTATI NON SONO PER NIENTE RASSICURANTI: NESSUNA E' STATA VALUTATA SICURA AL 100% - "QUOTIDIANAMENTE ESCONO PATCH CHE RISOLVONO PROBLEMI DI SICUREZZA PERÒ..."

Comunicato stampa

 

cybersicurezza 4

Mobisec ha condotto un’analisi sulle app mobile di alcuni settori: healthcare, finance, energia, Gdo e Telco. Sottoposte a nove diversi test di sicurezza, nessuna è riuscita a superarli completamente

 

Treviso, 17 settembre 2024 – Cinque settori merceologici, ovvero sanità, finance, energia, GDO e telco, nove diversi test di sicurezza eseguiti: i risultati delle dry run (un processo di test di prova utilizzato per assicurarsi che un sistema funzioni correttamente e non provochi guasti gravi) eseguite utilizzando un software proprietario dagli hacker etici di Mobisec, azienda trevigiana specializzata nella cybersecurity delle applicazioni mobile, lasciano scoraggiati. Nessuna delle app testate è infatti riuscita a superare tutti e nove i test ai quali è stata sottoposta.

cybersicurezza 8

 

I TEST

Il team di ethical hacker di Mobisec ha eseguito tutti questi test in locale, ovvero installando l’app su degli smartphone, sia Android che iOS. Non c’è stato alcun tipo di tentativo di intrusione nei server. Le prove sono state condotte eseguendo alcuni dei test previsti dalla lista del MASTG (Mobile Application Security Testing Guide), cioè il manuale che raccoglie tutti i test per valutare se un’app mobile aderisce alle linee guida stabilite dal MASVS (Mobile Application Security Verification Standard).

hacker 1

 

Detto altrimenti, il team di Mobisec si è calato nei panni di un hacker che, nella fase

preliminare all’attacco, mira a una visione rapida e generale dei possibili punti di

accesso a un’applicazione mobile, per identificare la preda perfetta. Tra gli elementi testati la crittografia a protezione dei dati, l’aggiornamento delle librerie e dei certificati di sicurezza, la coerenza tra il servizio offerto dall’app e i permessi che richiede (ad esempio l’accesso alla rubrica o alla fotocamera).

 

hacker

SANITÀ

Per quanto riguarda il settore della salute, l’analisi ha preso in considerazione le app per le prenotazioni e l’accesso ai risultati degli esami diagnostici di diverse regioni italiane. In questo caso, il 27,7% dei test condotti si è concluso con un fallimento. Il principale problema per le versioni Android (tutte hanno fallito questo test) riguarda la verifica dei certificati delle firme digitali, un problema che può aprire le porte all’inserimento di software malevolo. Il 50% delle applicazioni iOS, invece, ha evidenziato la possibilità di inserire nei certificati di sicurezza dei dati fittizi, usati per verifiche automatiche del sistema operativo.

 

GDO

cybersicurezza 5

Le app Android del settore GDO (sono state testate le app di alcune grandi catene della grande distribuzione organizzata sia food che non food) hanno fallito il 54% dei test. In particolare, tutte avevano la keyboard cache abilitata, ovvero compilavano in automatico campi di testo contenenti informazioni potenzialmente sensibili (come ad esempio utente e password, ma anche codice fiscale: informazioni che, se sullo smartphone fosse presente un malware, potrebbero essere facilmente sottratte). Sul fronte iOS il problema principale, riguardante il 75% delle app testate, riguardava la corrispondenza tra i certificati di sicurezza presenti sull’app e sui server.

 

FINANCE

Sono due i principali problemi delle app del settore bancario italiano: la crittografia dei dati e la coerenza tra i servizi offerti e i permessi richiesti. Il 67% delle app testate, sia in ambiente iOS che Android, non ha superato questi test.

 

cybersicurezza 2

ENERGIA

Una delle problematiche emerse maggiormente nelle applicazioni del settore energia riguarda il ricorso a librerie di terze parti, ovvero a pezzi di codice scritti da altri sviluppatori. Una soluzione che permette di risparmiare tempo, ma che espone al rischio che questo codice sia malevolo e offra una via d’accesso a dei malintenzionati. L’86% delle app di questo settore, sia in ambiente iOS che Android, fa ricorso versioni datate e insicure di queste librerie di terze parti.

 

TELCO

cybersicurezza 3

L’80% delle app di aziende che si occupano di telecomunicazioni non ha superato il test che verifica la corrispondenza tra i certificati di sicurezza presenti sull’app e quelli installati sul server. Una circostanza che può esporre ad attacchi di sniffing, per cui un malintenzionato si frappone tra app e server modificando il flusso, o di server spoofing, per cui l’attaccante finge di essere un server trafugando i dati inviati dall’app.

 

«Gli elementi che siamo andati a testare rappresentano delle potenziali debolezze che un hacker malevolo può tentare di sfruttare per aver accesso ai dati, sia quelli custoditi nei singoli smartphone che quelli presenti sui server», sottolinea Riccardo Poffo, Chief Technical Officer di Mobisec.

 

cybersicurezza 6

«Sia Apple che Google investono molto sulla sicurezza dei loro sistemi operativi, così come l’impegno degli sviluppatori che sviluppano le centinaia di librerie che popolano i software è costante», prosegue, «quotidianamente escono patch che risolvono problemi di sicurezza, che però non vengono applicati con la giusta frequenza da chi mantiene le app.

 

cybersicurezza 7

Si tratta di un problema culturale imposto dal mercato e dalle moderne logiche di sviluppo software, con gli sviluppatori a cui vengono imposti ritmi serrati troppo focalizzati sul rilascio continuo, senza andare a garantire le ore necessarie all’applicazione di questi update di sicurezza che sono cruciali per evitare incidenti informatici. Per questo un servizio come Mobisec DSA (Dynamic Security Analysis), che consente di compiere continue e costanti verifiche sulla sicurezza delle app, permette di individuare tempestivamente le potenziali falle di sicurezza e di agire per ripararle».

Ultimi Dagoreport

marina pier silvio berlusconi giorgia meloni antonio tajani quirinale alfredo mantovano

DAGOREPORT - NON CI SARÀ ALCUNA ROTTURA TRA MARINA E PIER SILVIO: NONOSTANTE LA NETTA CONTRARIETÀ ALLA DISCESA IN POLITICA DEL FRATELLINO, SE DECIDESSE, UN GIORNO, DI PRENDERE LE REDINI DI FORZA ITALIA, LEI LO SOSTERRÀ. E L’INCONTRO CON LA CAVALIERA, SOLLECITATO DA UN ANTONIO TAJANI IN STATO DI CHOC PER LE LEGNATE RICEVUTE DA UN PIER SILVIO CARICATO A PALLETTONI, È SALTATO – LA MOLLA CHE FA VENIRE VOGLIA DI EMULARE LE GESTA DI PAPI E DI ‘’LICENZIARE’’ IL VERTICE DI FORZA ITALIA È SALTATA QUANDO IL PRINCIPE DEL BISCIONE HA SCOPERTO IL SEGRETO DI PULCINELLA: TAJANI SOGNA DI DIVENTARE PRESIDENTE DELLA REPUBBLICA NEL 2029, INTORTATO DA GIORGIA MELONI CHE HA PROMESSO I VOTI DI FRATELLI D’ITALIA. UN SOGNO DESTINATO A SVANIRE QUANDO L’EX MONARCHICO SI RITROVERÀ COME CANDIDATO AL QUIRINALE UN ALTRO NOME CHE CIRCOLA NEI PALAZZI DEL POTERE ROMANO, QUELLO DI ALFREDO MANTOVANO…

giorgia meloni alfredo mantovano francesco lollobrigida carlo nordio andrea giambruno

DAGOREPORT - NON SI PUO' DAVVERO MAI STARE TRANQUILLI: MANTOVANO, IL SAVONAROLA DI PALAZZO CHIGI – D'ACCORDO CON GIORGIA MELONI, PRESA LA BACCHETTA DEL FUSTIGATORE DI OGNI FONTE DI ''DISSOLUTEZZA'' E DI ''DEPRAVAZIONE'' SI È MESSO IN TESTA DI DETTARE L’ORTODOSSIA MORALE  NON SOLO NEL PARTITO E NEL GOVERNO, MA ANCHE SCONFINANDO NEL ''DEEP STATE''. E CHI SGARRA, FINISCE INCENERITO SUL "ROGO DELLE VANITÀ" - UN CODICE ETICO CHE NON POTEVA NON SCONTRARSI CON LA VIVACITÀ CAZZONA DI ALCUNI MELONIANI DI COMPLEMENTO: CI SAREBBE LO SGUARDO MORALIZZATORE DI MANTOVANO A FAR PRECIPITARE NEL CONO D’OMBRA PRIMA ANDREA GIAMBRUNO E POI FRANCESCO LOLLOBRIGIDA – IL PIO SOTTOSEGRETARIO PERÒ NON DORME SONNI TRANQUILLI: A TURBARLI, IL CASO ALMASRI E IL TURBOLENTO RAPPORTO CON I MAGISTRATI, MARTELLATI A TUTTA CALLARA DA RIFORME E PROCURE ALLA FIAMMA...

pier silvio berlusconi silvia toffanin

L’IMPRESA PIÙ ARDUA DI PIER SILVIO BERLUSCONI: TRASFORMARE SILVIA TOFFANIN IN UNA STAR DA PRIMA SERATA - ARCHIVIATA LA FAVOLETTA DELLA COMPAGNA RESTIA ALLE GRANDI OCCASIONI, PIER DUDI HA AFFIDATO ALL'EX LETTERINA DELLE SUCCULENTI PRIME SERATE: OLTRE A “THIS IS ME”, CON FASCINO E MARIA DE FILIPPI A MUOVERE I FILI E SALVARE LA BARACCA, C'E' “VERISSIMO” CHE OCCUPERÀ TRE/QUATTRO PRIME SERATE NELLA PRIMAVERA 2026. IL PROGRAMMA SARÀ PRODOTTO DA RTI E VIDEONEWS CON L’OK DELLA FASCINO A USARE LO “STUDIO-SCATOLA" UTILIZZATA DA MAURIZIO COSTANZO NEL FORMAT “L’INTERVISTA” - COSA C'E' DIETRO ALLE MANOVRE DI PIER SILVIO: E' LA TOFFANIN A COLTIVARE L'AMBIZIONE DI DIVENTARE LA NUOVA DIVA DI CANALE 5 (CON I CONSIGLI DELLA REGINA DE FILIPPI) O È LA VOLONTÀ DEL COMPAGNO DI INCORONARLA A TUTTI I COSTI, COME UN MIX DI LILLI GRUBER E MARA VENIER? 

wang

DAGOREPORT - CICLONE WANG SUL FESTIVAL DI RAVELLO! - PERCHÉ NEGARLO? E' COME VEDERE GIORGIA MELONI COL FAZZOLETTO ROSSO AL COLLO E ISCRITTA ALL’ASSOCIAZIONE DEI PARTIGIANI - YUJA WANG, LA STELLA PIU' LUMINOSA DEL PIANISMO CLASSICO, ENTRA IN SCENA STRIZZATA IN UN VESTITINO DI PAILLETTES CHE SCOPRE LE COSCE FINO ALL'INGUINE, TACCHI “ASSASSINI” E LA SCHIENA NUDA FINO ALL’OSSO SACRO. MA NON STIAMO ASSISTENDO ALLE SCIOCCHEZZE DA DISCOTECA DI CERTE “ZOCCOLETTE” DEL POP IN PREDA A SFOGHI DI TETTE, SCARICHI DI SEDERONI, SCONCEZZE DA VESPASIANO; NO, SIAMO NEL MONDO AUSTERO E SEVERO DEI CONCERTI DI “CLASSICA”: RACHMANINOFF, PROKOFIEV, MOZART, CHOPIN, CAJKOVSKIJ. MA ALLA WANG BASTA UN MINUTO PER FAR “SUONARE” LE COSCE DESNUDE METTENDOLE AL SERVIZIO DELLE EMOZIONI E DELL’INTERPRETAZIONE MUSICALE, CONFERMANDO IN PIENO LE PAROLE DI LUDWIG VON BEETHOVEN: “LA MUSICA È LA MEDIATRICE TRA LA VITA SPIRITUALE E LA VITA SENSUALE” - VIDEO