La società conferma il proprio impegno in questo ambito e traccia un quadro aggiornato sullo stato dell’arte e sull’evoluzione delle tecnologie recentemente introdotte sul mercato
IKS continua ad investire sul segmento mobile security e pubblica la seconda edizione del report dedicato alla sicurezza delle applicazioni mobile.
Forte delle competenze acquisite negli anni in questo settore, IKS si pone come punto di riferimento per le aziende che abbiano la necessità di sviluppare, gestire e distribuire in sicurezza applicazioni mobile. Anche quest’anno la società rinnova l’iniziativa del report, che si colloca, nello specifico, tra le attività del MOBO Lab, il Centro di Competenza IKS specializzato in ambito Mobile & Security. Il report, avente cadenza annuale, esamina il livello di sicurezza delle applicazioni business in ambito mobile, offrendo un’analisi utile sia ai Clienti sia ai diversi attori del processo di sviluppo di queste applicazioni. Il documento è il risultato di un’intensa attività di assessment effettuata su un campione di mobile app rilasciate non solo da istituti e società di servizi bancari e finanziari ma anche da distributori di contenuti multimediali a pagamento, del panorama italiano e internazionale.
Il report mette in evidenza la crescita esponenziale della diffusione delle applicazioni mobile, con una percentuale di diffusione degli smartphone che in Italia ha raggiunto il 62% nel 2014, con una tendenza di accesso a servizi online da mobile in crescita del 28% da smartphone e del 127% da tablet. Questa realtà non si accompagna, tuttavia, ad una parallela sensibilizzazione verso la sicurezza: da una parte, infatti, l’utente finale sottostima i rischi legati all’utilizzo dei dispositivi mobile dal punto di vista della privacy e della perdita di informazioni sensibili e, dall’altra, le esigenze di time-to-market delle aziende spesso non permettono un’adeguata progettazione delle app in termini di sicurezza aggravando ulteriormente la situazione. Nello specifico, IKS ha preso in esame un campione di applicazioni mobile composto da un 60% di istituti finanziari italiani, da un 20% di istituti finanziari internazionali (USA e Cina) e da un 20% di fornitori di contenuti multimediali a pagamento. App tutte disponibili su store ufficiali Apple e Google nel periodo luglio 2014. L’indagine si è svolta utilizzando dispositivi con jailbreak e rooting per osservare il comportamento delle app e delle informazioni gestite, sulla base di metodologie e best practice di riferimento per il mondo mobile.
I principali criteri di analisi utilizzati riguardano la sicurezza run-time, l’intellegibilità della logica implementativa, la Network Communication Security e la persistenza di file-system. Dal report emerge come la maggior parte delle app non dedichi sufficiente attenzione all’aspetto della sicurezza run-time. In merito al secondo punto, si evidenzia una differenza tra app iOS e Android: in iOS nessuna applicazione ha mostrato contromisure per complicare il reverse engineering, in Android invece sembra esserci maggiore consapevolezza dei rischi. Proseguendo nell’analisi, a livello di robustezza delle comunicazioni verso il back-end le app registrano un corretto utilizzo dell’SDK – Software Development Kit -, ma raramente verificano che l’origine del certificato SSL utilizzato sia effettivamente rilasciato dal distributore dell’app. Entrambe le piattaforme, infine, eseguono cache delle comunicazioni di rete, generando un rischio per la riservatezza dell’utente.
“La seconda edizione di questo report sottolinea la necessità di continuare a sensibilizzare le aziende sull’argomento sicurezza per le applicazioni in ambito mobile, ancora troppo sottovalutato – dichiara Guido Ronchetti, Team Leader del MOBO Lab di IKS -. Le vulnerabilità specifiche dei sistemi operativi mobili sono oggi il terreno di battaglia più fertile per le frodi. Suggeriamo, quindi, di utilizzare linee guida di sviluppo mobile e di verificare in fase di pre-rilascio il livello di sicurezza dell’app con un assessment di sicurezza completo: queste misure sicuramente riducono i rischi, anche nel caso di jailbreak e rooting. Adottare processi di monitoraggio e contromisure complesse, significa intercettare e gestire correttamente situazioni pericolose garantendo sempre una user experience ottimale. In questo contesto, il servizio X4mobile di IKS è in grado di supportare le aziende e gli istituti bancari in tutte le fasi di progettazione, sviluppo, gestione e delivery delle applicazioni, nel rispetto della compliance e delle normative vigenti.”
