Solo 1/4 delle applicazioni finanziarie è a prova di compromissione
da Milano – IKS, azienda di consulenza specializzata nello sviluppo di soluzioni per l’IT e in particolare nell’ambito della sicurezza informatica, presenta il Security Report 2015.
Giunto alla terza edizione il documento si inquadra in un’iniziativa del Centro di Competenza IKS specializzato in ambito Mobile & Security e presenta il livello dei rischi di sicurezza legati all’utilizzo dei dispositivi mobili per l’accesso e l’utilizzo delle diverse tipologie di servizi e in particolar modo quelli finanziari.
Le analisi sono state condotte su un campione di applicazioni mobile iOS e Android, tutte disponibili sugli store ufficiali Apple e Google.
Questi i risultati principali dello studio:
· Solo 1/4 delle applicazioni implementa contromisure complete o parziali all’abuso. Gestire questa eventualità è di primaria importanza per garantire la sicurezza dell’ambiente di esecuzione dell’app e quindi evitare utilizzi impropri o l‘accesso alle informazioni dell‘utente
· Solo il 7% delle applicazioni Android gestisce in maniera completa il rischio di reverse engineering, mentre nessuna applicazione iOS affronta adeguatamente questa criticità
· Meno della metà (il 40%) delle applicazioni gestisce in maniera corretta gli aspetti di robustezza delle comunicazioni verso il back-end, non utilizzando la cifratura nella comunicazione
· iOS si dimostra più sensibile di Android per quanto riguarda la presenza di cache e file critici su disco dopo l’esecuzione dell’app, con il 54% delle applicazioni contro il 27% che gestisce completamente il rischio
· 1/3 delle applicazioni si appoggia a sistemi di bug reporting, che se non opportunamente gestiti possono però essere punti di accesso per un attacco ai servizi cloud
· Un dato in positivo, il 60% delle applicazioni è attento al contenuto sensibile all’interno del pacchetto di installazione o dell’eseguibile
“Se da un lato si rileva un’attenzione maggiore alle tematiche di sicurezza legate alla trasmissione dei dati su rete, risulta preoccupante la mancanza di contromisure per altri vettori d’attacco altrettanto pericolosi” – Ha affermato Davide Fania, Business Development Manager Mobile IKS – “Garantire la sicurezza runtime delle app e correggere le situazioni di rischio è oggi primario e siamo soddisfatti che IKS continui a essere un punto di riferimento per le aziende non solo a livello nazionale che hanno la necessità di sviluppare, gestire e distribuire in sicurezza le applicazioni mobile”.
Metodologia e campione
Le analisi sono state effettuata a luglio 2015 su un campione di applicazioni mobile iOS e Android rilasciate da istituti e società di servizi bancari e finanziari, distributori di contenuti multimediali a pagamento, automotive, home automation, social ed enterprise management, del panorama italiano e mondiale. Le applicazioni analizzate sono sia per iOS che per Android e sono disponibili su store ufficiale Apple e Google.
Questo studio nasce da un’iniziativa del Gruppo IKS e in particolare del Centro di Competenza IKS specializzato in ambito Mobile & Security, che per garantire un continuo aggiornamento su questi temi sfrutta anche delle proficue collaborazioni con il mondo della ricerca e della community internazionale.