MOBILE SECURITY

Mobile App, il Cloud è l’archivio più facile e immediato, ma attenti ai dati

Molte soluzioni usate anche per lavoro permettono di salvare le informazioni, sincronizzarle e fare backup tramite servizi Cloud proposti dalle piattaforme più diffuse. Sono procedure semplici, e i dati sono recuperabili ovunque ci si trovi, ma non sempre gli sviluppatori delle App sono consapevoli dei rischi che fanno correre agli utenti

Pubblicato il 24 Nov 2015

sicurezza-delle-151023100200-151109112133

Molte Mobile App permettono di salvare i dati, sincronizzarli e fare backup attraverso servizi Cloud messi a disposizione da colossi come Amazon Web Services (AWS) e Facebook. Sono procedure molto semplici, e si hanno sempre a disposizione i propri dati ovunque ci si trovi, ma c’è anche un rovescio della medaglia.

Un’analisi di due enti tedeschi, il Technical University di Darmstadt e il Fraunhofer Institute for Secure Information Technology hanno evidenziato come gli sviluppatori non siano abbastanza attenti a collegare le Mobile App a servizi di supporto sicuri e inattaccabili. È così possibile accedere abbastanza semplicemente a una moltitudine di dati sensibili e credenziali d’accesso che possono essere usate per azioni fraudolente. I ricercatori hanno esaminato i database su Cloud di Facebook Parse e Amazon AWS, individuando 56 milioni di dati non protetti presenti in Mobile App.

Servizi Backend-as-a-service, maneggiare con cautela

Molte delle vulnerabilità in questo caso nascono dal backend-as-a-service (BaaS), un tipo di servizio utilizzato dagli sviluppatori di app che consente di sincronizzare e fare il backup dei dati su cloud. Da quanto emerge dalla ricerca, gli sviluppatori a volte non inseriscono le righe di codice che consentono un backup sicuro dei dati come raccomandano le disposizioni di sicurezza che ogni provider cloud raccomanda agli sviluppatori che usano tali servizi. Alcune applicazioni usano BaaS per condividere dati pubblici.

Questo di per sé non sarebbe un problema, se viene configurata la modalità di approccio a tali dati in sola lettura. Purtroppo però, diverse applicazioni usano BaaS per memorizzare dati riservati quali nomi utente, indirizzi email, informazioni di contatto, password, fotografie. Secondo la ricerca, l’implementazione di base di BaaS prevede l’utilizzo di una semplice API token, ovvero il codice che consente a due software di comunicare tra loro. Questo codice può essere rubato dai malintenzionati e utilizzato sia per leggere i dati memorizzati sui servizi cloud sia per manipolarli. Questo problema di sicurezza sarebbe facilmente risolvibile se gli sviluppatori dedicassero più tempo nell’implementare un backup su cloud più sicuro, Il problema, in generale, è che non tutti gli sviluppatori sono consapevoli dei rischi che fanno correre agli utilizzatori delle proprie applicazioni.

Uno sviluppatore attento e pratico non ha difficoltà a proteggere i dati memorizzati sul cloud generati dalla propria app. Infatti i fornitori di spazio cloud offrono diversi buoni strumenti per tenere al sicuro i dati. Un esempio è il servizio Cognito di AWS.

Tornando alla ricerca, il team degli analisti ha effettuato una scansione di 750 mila applicazioni su iOS e Android, scoprendo che solo poche di queste App utilizzano un sistema di controllo degli accessi, operazione che renderebbe di base queste App molto più sicure. La restrizioni a livello legale e l’enorme quantità di applicazioni sospette non ha consentito ai ricercatori di effettuare un controllo massivo: nel dettaglio, dunque, è stato verificato solo un piccolo numero di app.

Nonostante questo, in base al campione di Mobile App esaminate, i risultati ottenuti indicano che una quantità enorme di informazioni contenute e generate dalle App sono esposte al rischio di furto o di manipolazione. Il team ha inoltre contattato gli sviluppatori delle App controllate e risultate non sicure per avvertirli dei problemi rilevati e sensibilizzarli sul tema della protezione delle loro App.

Le aziende possono mitigare questi problemi di sicurezza delle App implementando un software di Mobile Device Management (MDM) che consente di installare sui dispositivi mobile dei dipendenti solo applicazioni di cui si è sicuri, soprattutto per quanto riguarda la presenza di funzioni di protezione dei dati.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 4