computer pc hacker

OCCHIO, CHE I PIRATI INFORMATICI VI "BUCANO" L'APP - GLI "HACKER ETICI" DI MOBISEC HANNO CONDOTTO DEI TEST DI SICUREZZA SULLE APP ITALIANE IN DIVERSI SETTORI (SANITÀ, FINANZA, ENERGIA, GRANDE DISTRIBUZIONE E TELECOMUNICAZIONI) E I RISULTATI NON SONO PER NIENTE RASSICURANTI: NESSUNA E' STATA VALUTATA SICURA AL 100% - "QUOTIDIANAMENTE ESCONO PATCH CHE RISOLVONO PROBLEMI DI SICUREZZA PERÒ..."

Comunicato stampa

 

cybersicurezza 4

Mobisec ha condotto un’analisi sulle app mobile di alcuni settori: healthcare, finance, energia, Gdo e Telco. Sottoposte a nove diversi test di sicurezza, nessuna è riuscita a superarli completamente

 

Treviso, 17 settembre 2024 – Cinque settori merceologici, ovvero sanità, finance, energia, GDO e telco, nove diversi test di sicurezza eseguiti: i risultati delle dry run (un processo di test di prova utilizzato per assicurarsi che un sistema funzioni correttamente e non provochi guasti gravi) eseguite utilizzando un software proprietario dagli hacker etici di Mobisec, azienda trevigiana specializzata nella cybersecurity delle applicazioni mobile, lasciano scoraggiati. Nessuna delle app testate è infatti riuscita a superare tutti e nove i test ai quali è stata sottoposta.

cybersicurezza 8

 

I TEST

Il team di ethical hacker di Mobisec ha eseguito tutti questi test in locale, ovvero installando l’app su degli smartphone, sia Android che iOS. Non c’è stato alcun tipo di tentativo di intrusione nei server. Le prove sono state condotte eseguendo alcuni dei test previsti dalla lista del MASTG (Mobile Application Security Testing Guide), cioè il manuale che raccoglie tutti i test per valutare se un’app mobile aderisce alle linee guida stabilite dal MASVS (Mobile Application Security Verification Standard).

hacker 1

 

Detto altrimenti, il team di Mobisec si è calato nei panni di un hacker che, nella fase

preliminare all’attacco, mira a una visione rapida e generale dei possibili punti di

accesso a un’applicazione mobile, per identificare la preda perfetta. Tra gli elementi testati la crittografia a protezione dei dati, l’aggiornamento delle librerie e dei certificati di sicurezza, la coerenza tra il servizio offerto dall’app e i permessi che richiede (ad esempio l’accesso alla rubrica o alla fotocamera).

 

hacker

SANITÀ

Per quanto riguarda il settore della salute, l’analisi ha preso in considerazione le app per le prenotazioni e l’accesso ai risultati degli esami diagnostici di diverse regioni italiane. In questo caso, il 27,7% dei test condotti si è concluso con un fallimento. Il principale problema per le versioni Android (tutte hanno fallito questo test) riguarda la verifica dei certificati delle firme digitali, un problema che può aprire le porte all’inserimento di software malevolo. Il 50% delle applicazioni iOS, invece, ha evidenziato la possibilità di inserire nei certificati di sicurezza dei dati fittizi, usati per verifiche automatiche del sistema operativo.

 

GDO

cybersicurezza 5

Le app Android del settore GDO (sono state testate le app di alcune grandi catene della grande distribuzione organizzata sia food che non food) hanno fallito il 54% dei test. In particolare, tutte avevano la keyboard cache abilitata, ovvero compilavano in automatico campi di testo contenenti informazioni potenzialmente sensibili (come ad esempio utente e password, ma anche codice fiscale: informazioni che, se sullo smartphone fosse presente un malware, potrebbero essere facilmente sottratte). Sul fronte iOS il problema principale, riguardante il 75% delle app testate, riguardava la corrispondenza tra i certificati di sicurezza presenti sull’app e sui server.

 

FINANCE

Sono due i principali problemi delle app del settore bancario italiano: la crittografia dei dati e la coerenza tra i servizi offerti e i permessi richiesti. Il 67% delle app testate, sia in ambiente iOS che Android, non ha superato questi test.

 

cybersicurezza 2

ENERGIA

Una delle problematiche emerse maggiormente nelle applicazioni del settore energia riguarda il ricorso a librerie di terze parti, ovvero a pezzi di codice scritti da altri sviluppatori. Una soluzione che permette di risparmiare tempo, ma che espone al rischio che questo codice sia malevolo e offra una via d’accesso a dei malintenzionati. L’86% delle app di questo settore, sia in ambiente iOS che Android, fa ricorso versioni datate e insicure di queste librerie di terze parti.

 

TELCO

cybersicurezza 3

L’80% delle app di aziende che si occupano di telecomunicazioni non ha superato il test che verifica la corrispondenza tra i certificati di sicurezza presenti sull’app e quelli installati sul server. Una circostanza che può esporre ad attacchi di sniffing, per cui un malintenzionato si frappone tra app e server modificando il flusso, o di server spoofing, per cui l’attaccante finge di essere un server trafugando i dati inviati dall’app.

 

«Gli elementi che siamo andati a testare rappresentano delle potenziali debolezze che un hacker malevolo può tentare di sfruttare per aver accesso ai dati, sia quelli custoditi nei singoli smartphone che quelli presenti sui server», sottolinea Riccardo Poffo, Chief Technical Officer di Mobisec.

 

cybersicurezza 6

«Sia Apple che Google investono molto sulla sicurezza dei loro sistemi operativi, così come l’impegno degli sviluppatori che sviluppano le centinaia di librerie che popolano i software è costante», prosegue, «quotidianamente escono patch che risolvono problemi di sicurezza, che però non vengono applicati con la giusta frequenza da chi mantiene le app.

 

cybersicurezza 7

Si tratta di un problema culturale imposto dal mercato e dalle moderne logiche di sviluppo software, con gli sviluppatori a cui vengono imposti ritmi serrati troppo focalizzati sul rilascio continuo, senza andare a garantire le ore necessarie all’applicazione di questi update di sicurezza che sono cruciali per evitare incidenti informatici. Per questo un servizio come Mobisec DSA (Dynamic Security Analysis), che consente di compiere continue e costanti verifiche sulla sicurezza delle app, permette di individuare tempestivamente le potenziali falle di sicurezza e di agire per ripararle».

Ultimi Dagoreport

donald trump giorgia meloni

DAGOREPORT - CERCASI DISPERATAMENTE TALE MELONI GIORGIA, DI PROFESSIONE PREMIER, CHE DEFINIVA “UN’OPPORTUNITÀ” LA MANNAIA DEL DAZISTA TRUMP - DOVE È ANDATA A NASCONDERSI L’’’ANELLO DI CONGIUNZIONE’’ TRA AMERICA FIRST E L’EUROPA DEI "PARASSITI? A CHE È SERVITA LA SUA “SPECIAL RELANTIONSHIP” CON LO PSICO-DEMENTE DELLA CASA BIANCA CHE CINGUETTAVA: “MELONI È UN LEADER E UNA PERSONA FANTASTICA”? - CHE FOSSE TAGLIATA FUORI DAI GIOCHI, LA REGINA DI COATTONIA DOVEVA FICCARSELO IN TESTA QUANDO L’ALTRO GIORNO HA CHIAMATO URSULA PER SCONGIURARLA DI NON RISPONDERE CON I CONTRO-DAZI AL TRUMPONE. LA KAISER DI BRUXELLES LE HA RISPOSTO CON PIGLIO TEUTONICO CHE LA DECISIONE FINALE SULLA POLITICA COMMERCIALE DELL’UNIONE APPARTIENE SOLO A LEI. COME A DIRE: ‘A COSETTA NON T’ALLARGA’, QUI COMANDO IO! - ED ORA “IO SONO GIORGIA” SI TROVA A DOVER AFFRONTARE UNA GUERRA COMMERCIALE CHE TOCCA MOLTO DURAMENTE LA SUA BASE ELETTORALE, E NON SOLO QUELLA CHE VIVE DI EXPORT, COME AGRICOLTURA, LE PICCOLE E MEDIE IMPRESE, I TESSILI. UN BAGNO DI SANGUE E, IN PROSPETTIVA, UNA CATASTROFE POLITICA…

donald trump matteo salvini

FLASH! CHE FINE HA FATTO IL PIÙ TRUMPIANO DEL REAME, OVVERO MATTEO SALVINI? MENTRE I MERCATI CROLLANO PER LA TEMPESTA DEI DAZI SCATENATA DAL CALIGOLA DI MAR-A-LAGO, CON PIAZZA AFFARI CHE PERDE IL 3,6%, IL LEADER DELLA LEGA HA PERSO LA VOCE, DOPO CHE PER SETTIMANE HA DIFESO A SPADA TRATTA LE FOLLI POLITICHE DEL TYCOON. SOLO DUE GIORNI FA AFFERMAVA CHE “IL VERO NEMICO PER LE AZIENDE ITALIANE NON È TRUMP MA LE FOLLI IMPOSIZIONI DI BRUXELLES”. E ORA? – LE PICCOLE E MEDIE IMPRESE DEL NORD, CHE HANNO SEMPRE VOTATO LEGA, COSA FARANNO? DOMENICA AL CONGRESSO DEL CARROCCIO, SENZA SFIDANTI, SALVINI SARÀ CONFERMATO SEGRETARIO. MA PER IL TRUMPUTINIANO MATTEO SONO IN ARRIVO CAZZI AMARI...

pier silvio berlusconi marina giorgia meloni sergio mattarella antonio tajani matteo salvini

AZZ! LA DUCETTA CI STA PENSANDO DAVVERO DI PORTARE L’ITALIA A ELEZIONI ANTICIPATE NEL 2026 - PERCHÉ TANTA URGENZA? NON C’ENTRANO SOLO GLI SCAZZI CON IL TRUMPUTINIANO SALVINI, LA CERTEZZA DI AVER RAGGIUNTO, NELLO STESSO TEMPO, L’APICE DEL CONSENSO E IL MASSIMO DISGREGAMENTO DELL'OPPOSIZIONE: MA ANCHE LA CONSAPEVOLEZZA, TRA DAZI E INFLAZIONE, DI UN PROSSIMO FUTURO ECONOMICO ITALIANO MOLTO INCERTO - E PRIMA CHE SOPRAGGIUNGA UN CROLLO DI CONSENSI, MEJO COGLIERE IL MOMENTO PROPIZIO, DA QUI ALLA PRIMAVERA 2026, PER CONSOLIDARE IL GOVERNO (SEMPRE CHE MATTARELLA DECIDA DI SCIOGLIERE LE CAMERE) – ALTRA ROGNA PER GIORGIA E' IL FUTURO DI FORZA ITALIA: I PARLAMENTARI CHE FANNO CAPO A MARINA BERLUSCONI SCALPITANO DA UN PEZZO PER UN GOVERNO PIU' LIBERAL ED EUROPEISTA. MA UN SOSTITUTO DELL'INETTO TAJANI NON SI TROVA (ANNI FA IL CAV. L'AVEVA INDIVIDUATO IN GUIDO CROSETTO) - L'ULTIMO FORTE STIMOLO CHE SPINGE LA PREMIER AD ANDARE AL VOTO NELLA PRIMAVERA 2026 POTREBBE ESSERE ANCHE QUESTO: SAREBBE UN GOVERNO MELONI NEL 2029 A GESTIRE IN PARLAMENTO L'ELEZIONE DEL NUOVO CAPO DELLO STATO (E L'UNDERDOG GIORGIA FRA DUE ANNI FESTEGGERA' QUEL MEZZO SECOLO NECESSARIO PER SALIRE SUL COLLE PIU' ALTO...) 

donald trump giorgia meloni economia recessione

DAGOREPORT – ASPETTANDO L'OPPOSIZIONE DE' NOANTRI (CIAO CORE!), VUOI VEDERE CHE LA PRIMA BOTTA DURISSIMA AL GOVERNO MELONI ARRIVERA' DOMANI, QUANDO L'ECONOMIA ITALIANA SARÀ FATTA A PEZZI DAI DAZI DI TRUMP? - QUALCUNO HA NOTIZIE DEL FAMOSO VIAGGIO DELLA DUCETTA A WASHINGTON PER FAR CAMBIARE IDEA AL TRUMPONE? SAPETE DOVE E' FINITA LA “MERAVIGLIOSA GIORGIA” (COPY TRUMP), "PONTE" TRA USA E UE? SI E' DOVUTA ACCONTENTARE DI ANDARE DA CALENDA! E GLI ELETTORI INIZIANO AD ACCORGERSI DEL BLUFF DA “CAMALEONTE” DELLA PREMIER: FRATELLI D’ITALIA È SCESO AL 26,6%, E IL GRADIMENTO PER LA STATISTA FROM GARBATELLA È CROLLATO AI MINIMI DAL 2022 – IL PNRR A RISCHIO E LA PREOCCUPAZIONE DEL MONDO ECONOMICO-FINANZIARIO ITALIANO...

ing banca popolare di sondrio carlo cimbri steven van rijswijk andrea orcel - carlo messina

DAGOREPORT: OPA SU OPA, ARRIVEREMO A ROMA! - AVVISO AI NAVIGATI! LE ACQUISIZIONI CHE STANNO INVESTENDO IL MERCATO FINANZIARIO HANNO UN NUOVO PLAYER IN CAMPO: IL COLOSSO OLANDESE ING GROUP È A CACCIA DI BANCHE PER CRESCERE IN GERMANIA, ITALIA E SPAGNA - ED ECCO CHE SULLE SCRIVANIE DEI GRANDI STUDI LEGALI COMINCIANO A FARSI LARGO I DOSSIER SULLE EVENTUALI ‘’PREDE’’. E NEL MIRINO OLANDESE SAREBBE FINITA LA POP DI SONDRIO. SÌ, LA BANCA CHE È OGGETTO DEL DESIDERIO DI BPER DI UNIPOL, CHE HA LANCIATO UN MESE FA UN’OPS DA 4 MILIARDI SULL’ISTITUTO VALTELLINESE - GLI OLANDESI, STORICAMENTE NOTI PER LA LORO AGGRESSIVITÀ COMMERCIALE, APPROFITTERANNO DEI POTERI ECONOMICI DE’ NOANTRI, L’UNO CONTRO L’ALTRO ARMATI? DIFATTI, IL 24 APRILE, CON IL RINNOVO DEI VERTICI DI GENERALI, LA BATTAGLIA SI TRASFORMERÀ IN GUERRA TOTALE CON L’OPA SU MEDIOBANCA DI MPS-MILLERI-CALTAGIRONE, COL SUPPORTO ATTIVO DEL GOVERNO - ALTRA INCOGNITA: COME REAGIRÀ, UNA VOLTA CONFERMATO CARLO MESSINA AL VERTICE DI BANCA INTESA, VEDENDO IL SUO ISTITUTO SORPASSATO NELLA CAPITALIZZAZIONE DAI PIANI DI CONQUISTA DI UNICREDIT GUIDATA DAL DIABOLICO ANDREA ORCEL? LA ‘’BANCA DI SISTEMA’’ IDEATA DA BAZOLI CORRERÀ IL RISCHIO DI METTERSI CONTRO I PIANI DI CALTA-MILLERI CHE STANNO TANTO A CUORE A PALAZZO CHIGI? AH, SAPERLO…

andrea orcel giuseppe castagna anima

DAGOREPORT LA CASTAGNA BOLLENTE! LA BOCCIATURA DELL’EBA E DI BCE DELLO “SCONTO DANESE” PER L’ACQUISIZIONE DI ANIMA NON HA SCALFITO LE INTENZIONI DEL NUMERO UNO DI BANCO BPM, GIUSEPPE CASTAGNA, CHE HA DECISO DI "TIRARE DRITTO", MA COME? PAGANDO UN MILIARDO IN PIÙ PER L'OPERAZIONE E DANDO RAGIONE A ORCEL, CHE SI FREGA LE MANI. COSÌ UNICREDIT FA UN PASSO AVANTI CON LA SUA OPS SU BPM, CHE POTREBBE OTTENERE UN BELLO SCONTO – IL BOTTA E RISPOSTA TRA CASTAGNA E ORCEL: “ANIMA TASSELLO FONDAMENTALE DEL PIANO DEL GRUPPO, ANCHE SENZA SCONTO”; “LA BCE DICE CHE IL NOSTRO PREZZO È GIUSTO...”