computer pc hacker

OCCHIO, CHE I PIRATI INFORMATICI VI "BUCANO" L'APP - GLI "HACKER ETICI" DI MOBISEC HANNO CONDOTTO DEI TEST DI SICUREZZA SULLE APP ITALIANE IN DIVERSI SETTORI (SANITÀ, FINANZA, ENERGIA, GRANDE DISTRIBUZIONE E TELECOMUNICAZIONI) E I RISULTATI NON SONO PER NIENTE RASSICURANTI: NESSUNA E' STATA VALUTATA SICURA AL 100% - "QUOTIDIANAMENTE ESCONO PATCH CHE RISOLVONO PROBLEMI DI SICUREZZA PERÒ..."

Comunicato stampa

 

cybersicurezza 4

Mobisec ha condotto un’analisi sulle app mobile di alcuni settori: healthcare, finance, energia, Gdo e Telco. Sottoposte a nove diversi test di sicurezza, nessuna è riuscita a superarli completamente

 

Treviso, 17 settembre 2024 – Cinque settori merceologici, ovvero sanità, finance, energia, GDO e telco, nove diversi test di sicurezza eseguiti: i risultati delle dry run (un processo di test di prova utilizzato per assicurarsi che un sistema funzioni correttamente e non provochi guasti gravi) eseguite utilizzando un software proprietario dagli hacker etici di Mobisec, azienda trevigiana specializzata nella cybersecurity delle applicazioni mobile, lasciano scoraggiati. Nessuna delle app testate è infatti riuscita a superare tutti e nove i test ai quali è stata sottoposta.

cybersicurezza 8

 

I TEST

Il team di ethical hacker di Mobisec ha eseguito tutti questi test in locale, ovvero installando l’app su degli smartphone, sia Android che iOS. Non c’è stato alcun tipo di tentativo di intrusione nei server. Le prove sono state condotte eseguendo alcuni dei test previsti dalla lista del MASTG (Mobile Application Security Testing Guide), cioè il manuale che raccoglie tutti i test per valutare se un’app mobile aderisce alle linee guida stabilite dal MASVS (Mobile Application Security Verification Standard).

hacker 1

 

Detto altrimenti, il team di Mobisec si è calato nei panni di un hacker che, nella fase

preliminare all’attacco, mira a una visione rapida e generale dei possibili punti di

accesso a un’applicazione mobile, per identificare la preda perfetta. Tra gli elementi testati la crittografia a protezione dei dati, l’aggiornamento delle librerie e dei certificati di sicurezza, la coerenza tra il servizio offerto dall’app e i permessi che richiede (ad esempio l’accesso alla rubrica o alla fotocamera).

 

hacker

SANITÀ

Per quanto riguarda il settore della salute, l’analisi ha preso in considerazione le app per le prenotazioni e l’accesso ai risultati degli esami diagnostici di diverse regioni italiane. In questo caso, il 27,7% dei test condotti si è concluso con un fallimento. Il principale problema per le versioni Android (tutte hanno fallito questo test) riguarda la verifica dei certificati delle firme digitali, un problema che può aprire le porte all’inserimento di software malevolo. Il 50% delle applicazioni iOS, invece, ha evidenziato la possibilità di inserire nei certificati di sicurezza dei dati fittizi, usati per verifiche automatiche del sistema operativo.

 

GDO

cybersicurezza 5

Le app Android del settore GDO (sono state testate le app di alcune grandi catene della grande distribuzione organizzata sia food che non food) hanno fallito il 54% dei test. In particolare, tutte avevano la keyboard cache abilitata, ovvero compilavano in automatico campi di testo contenenti informazioni potenzialmente sensibili (come ad esempio utente e password, ma anche codice fiscale: informazioni che, se sullo smartphone fosse presente un malware, potrebbero essere facilmente sottratte). Sul fronte iOS il problema principale, riguardante il 75% delle app testate, riguardava la corrispondenza tra i certificati di sicurezza presenti sull’app e sui server.

 

FINANCE

Sono due i principali problemi delle app del settore bancario italiano: la crittografia dei dati e la coerenza tra i servizi offerti e i permessi richiesti. Il 67% delle app testate, sia in ambiente iOS che Android, non ha superato questi test.

 

cybersicurezza 2

ENERGIA

Una delle problematiche emerse maggiormente nelle applicazioni del settore energia riguarda il ricorso a librerie di terze parti, ovvero a pezzi di codice scritti da altri sviluppatori. Una soluzione che permette di risparmiare tempo, ma che espone al rischio che questo codice sia malevolo e offra una via d’accesso a dei malintenzionati. L’86% delle app di questo settore, sia in ambiente iOS che Android, fa ricorso versioni datate e insicure di queste librerie di terze parti.

 

TELCO

cybersicurezza 3

L’80% delle app di aziende che si occupano di telecomunicazioni non ha superato il test che verifica la corrispondenza tra i certificati di sicurezza presenti sull’app e quelli installati sul server. Una circostanza che può esporre ad attacchi di sniffing, per cui un malintenzionato si frappone tra app e server modificando il flusso, o di server spoofing, per cui l’attaccante finge di essere un server trafugando i dati inviati dall’app.

 

«Gli elementi che siamo andati a testare rappresentano delle potenziali debolezze che un hacker malevolo può tentare di sfruttare per aver accesso ai dati, sia quelli custoditi nei singoli smartphone che quelli presenti sui server», sottolinea Riccardo Poffo, Chief Technical Officer di Mobisec.

 

cybersicurezza 6

«Sia Apple che Google investono molto sulla sicurezza dei loro sistemi operativi, così come l’impegno degli sviluppatori che sviluppano le centinaia di librerie che popolano i software è costante», prosegue, «quotidianamente escono patch che risolvono problemi di sicurezza, che però non vengono applicati con la giusta frequenza da chi mantiene le app.

 

cybersicurezza 7

Si tratta di un problema culturale imposto dal mercato e dalle moderne logiche di sviluppo software, con gli sviluppatori a cui vengono imposti ritmi serrati troppo focalizzati sul rilascio continuo, senza andare a garantire le ore necessarie all’applicazione di questi update di sicurezza che sono cruciali per evitare incidenti informatici. Per questo un servizio come Mobisec DSA (Dynamic Security Analysis), che consente di compiere continue e costanti verifiche sulla sicurezza delle app, permette di individuare tempestivamente le potenziali falle di sicurezza e di agire per ripararle».

Ultimi Dagoreport

donald trump giorgia meloni economia recessione

DAGOREPORT – ASPETTANDO L'OPPOSIZIONE DE' NOANTRI (CIAO CORE!), VUOI VEDERE CHE LA PRIMA BOTTA DURISSIMA AL GOVERNO MELONI ARRIVERA' DOMANI, QUANDO L'ECONOMIA ITALIANA SARÀ FATTA A PEZZI DAI DAZI DI TRUMP? - QUALCUNO HA NOTIZIE DEL FAMOSO VIAGGIO DELLA DUCETTA A WASHINGTON PER FAR CAMBIARE IDEA AL TRUMPONE? SAPETE DOVE E' FINITA LA “MERAVIGLIOSA GIORGIA” (COPY TRUMP), "PONTE" TRA USA E UE? SI E' DOVUTA ACCONTENTARE DI ANDARE DA CALENDA! E GLI ELETTORI INIZIANO AD ACCORGERSI DEL BLUFF DA “CAMALEONTE” DELLA PREMIER: FRATELLI D’ITALIA È SCESO AL 26,6%, E IL GRADIMENTO PER LA STATISTA FROM GARBATELLA È CROLLATO AI MINIMI DAL 2022 – IL PNRR A RISCHIO E LA PREOCCUPAZIONE DEL MONDO ECONOMICO-FINANZIARIO ITALIANO...

ing banca popolare di sondrio carlo cimbri steven van rijswijk andrea orcel - carlo messina

DAGOREPORT: OPA SU OPA, ARRIVEREMO A ROMA! - AVVISO AI NAVIGATI! LE ACQUISIZIONI CHE STANNO INVESTENDO IL MERCATO FINANZIARIO HANNO UN NUOVO PLAYER IN CAMPO: IL COLOSSO OLANDESE ING GROUP È A CACCIA DI BANCHE PER CRESCERE IN GERMANIA, ITALIA E SPAGNA - ED ECCO CHE SULLE SCRIVANIE DEI GRANDI STUDI LEGALI COMINCIANO A FARSI LARGO I DOSSIER SULLE EVENTUALI ‘’PREDE’’. E NEL MIRINO OLANDESE SAREBBE FINITA LA POP DI SONDRIO. SÌ, LA BANCA CHE È OGGETTO DEL DESIDERIO DI BPER DI UNIPOL, CHE HA LANCIATO UN MESE FA UN’OPS DA 4 MILIARDI SULL’ISTITUTO VALTELLINESE - GLI OLANDESI, STORICAMENTE NOTI PER LA LORO AGGRESSIVITÀ COMMERCIALE, APPROFITTERANNO DEI POTERI ECONOMICI DE’ NOANTRI, L’UNO CONTRO L’ALTRO ARMATI? DIFATTI, IL 24 APRILE, CON IL RINNOVO DEI VERTICI DI GENERALI, LA BATTAGLIA SI TRASFORMERÀ IN GUERRA TOTALE CON L’OPA SU MEDIOBANCA DI MPS-MILLERI-CALTAGIRONE, COL SUPPORTO ATTIVO DEL GOVERNO - ALTRA INCOGNITA: COME REAGIRÀ, UNA VOLTA CONFERMATO CARLO MESSINA AL VERTICE DI BANCA INTESA, VEDENDO IL SUO ISTITUTO SORPASSATO NELLA CAPITALIZZAZIONE DAI PIANI DI CONQUISTA DI UNICREDIT GUIDATA DAL DIABOLICO ANDREA ORCEL? LA ‘’BANCA DI SISTEMA’’ IDEATA DA BAZOLI CORRERÀ IL RISCHIO DI METTERSI CONTRO I PIANI DI CALTA-MILLERI CHE STANNO TANTO A CUORE A PALAZZO CHIGI? AH, SAPERLO…

andrea orcel giuseppe castagna anima

DAGOREPORT LA CASTAGNA BOLLENTE! LA BOCCIATURA DELL’EBA E DI BCE DELLO “SCONTO DANESE” PER L’ACQUISIZIONE DI ANIMA NON HA SCALFITO LE INTENZIONI DEL NUMERO UNO DI BANCO BPM, GIUSEPPE CASTAGNA, CHE HA DECISO DI "TIRARE DRITTO", MA COME? PAGANDO UN MILIARDO IN PIÙ PER L'OPERAZIONE E DANDO RAGIONE A ORCEL, CHE SI FREGA LE MANI. COSÌ UNICREDIT FA UN PASSO AVANTI CON LA SUA OPS SU BPM, CHE POTREBBE OTTENERE UN BELLO SCONTO – IL BOTTA E RISPOSTA TRA CASTAGNA E ORCEL: “ANIMA TASSELLO FONDAMENTALE DEL PIANO DEL GRUPPO, ANCHE SENZA SCONTO”; “LA BCE DICE CHE IL NOSTRO PREZZO È GIUSTO...”

bpm giuseppe castagna - andrea orcel - francesco milleri - paolo savona - gaetano caltagirone

DAGOREPORT – IL GOVERNO RECAPITA UN BEL MESSAGGIO A UNICREDIT: LA VALUTAZIONE DELL’INSOSTENIBILE GOLDEN POWER SULL’OPA SU BPM ARRIVERÀ IL 30 APRILE. COME DIRE: CARO ORCEL, VEDIAMO COME TI COMPORTERAI IL 24 APRILE ALL’ASSEMBLEA PER IL RINNOVO DI GENERALI - E DOPO IL NO DELLA BCE UN’ALTRA SBERLA È ARRIVATA AL DUO FILO-GOVERNATIVO CASTAGNA-CALTAGIRONE: ANCHE L’EBA HA RESPINTO LO “SCONTO DANESE” RICHIESTO DA BPM PER L’OPA SU ANIMA SGR, DESTINATO AD APPESANTIRE DI UN MILIARDO LA CASSA DI CASTAGNA CON LA CONSEGUENZA CHE L’OPA DI UNICREDIT SU BPM VERRÀ CESTINATA O RIBASSATA - ACQUE AGITATE, TANTO PER CAMBIARE, ANCHE TRA GLI 7 EREDI DEL COMPIANTO DEL VECCHIO…

gesmundo meloni lollobrigida prandini

DAGOREPORT - GIORGIA È ARRIVATA ALLA FRUTTA? È SCESO IL GELO TRA LA FIAMMA E COLDIRETTI (GRAN SOSTENITORE COL SUO BACINO DI VOTI DELLA PRESA DI PALAZZO CHIGI) - LA PIU' GRANDE ORGANIZZAZIONE DEGLI IMPRENDITORI AGRICOLI (1,6 MILIONI DI ASSOCIATI), GUIDATA DAL TANDEM PRANDINI-GESMUNDO, SE È TERRORIZZATA PER GLI EFFETTI DEVASTANTI DEI DAZI USA SULLE AZIENDE TRICOLORI, E' PIU' CHE IRRITATA PER L'AMBIVALENZA DI MELONI PER LE MATTANE TRUMPIANE - PRANDINI SU "LA STAMPA" SPARA UN PIZZINO ALLA DUCETTA: “IPOTIZZARE TRATTATIVE BILATERALI È UN GRAVE ERRORE” - A SOSTENERLO, ARRIVA IL MINISTRO AGRICOLO FRANCESCO LOLLOBRIGIDA, UN REIETTO DOPO LA FINE CON ARIANNA: “I DAZI METTONO A RISCHIO L'ALLEANZA CON GLI USA. PUÒ TRATTARE SOLO L'EUROPA” – A BASTONARE COLDIRETTI, PER UN “CONFLITTO D’INTERESSI”, CI HA PENSATO “IL FOGLIO”. UNA STILETTATA CHE ARRIVA ALL'INDOMANI DI RUMORS DI RISERVATI INCONTRI MILANESI DI COLDIRETTI CON RAPPRESENTANTI APICALI DI FORZA ITALIA... - VIDEO

autostrade matteo salvini giorgia meloni giancarlo giorgetti roberto tomasi antonino turicchi

TOMASI SÌ, TOMASI NO – L’AD DI ASPI (AUTOSTRADE PER L’ITALIA) ATTENDE COME UN’ANIMA IN PENA IL PROSSIMO 17 APRILE, QUANDO DECADRÀ TUTTO IL CDA. SE SALVINI LO VUOL FAR FUORI, PERCHÉ REO DI NON AVER PORTARE AVANTI NUOVE OPERE, I SOCI DI ASPI (BLACKSTONE, MACQUARIE E CDP) SONO DIVISI - DA PARTE SUA, GIORGIA MELONI, DAVANTI ALLA FAME DI POTERE DEL SUO VICE PREMIER, PUNTA I PIEDINI, DISPETTOSA: NON INTENDE ACCETTARE L’EVENTUALE NOME PROPOSTO DAL LEADER LEGHISTA. DAJE E RIDAJE, DAL CAPPELLO A CILINDRO DI GIORGETTI SAREBBE SPUNTATO FUORI UN NOME, A LUI CARO, QUELLO DI ANTONINO TURICCHI….