Molte applicazioni mobile utilizzano i servizi cloud messi a disposizione da aziende come Amazon e Facebook per eseguire il backup e la sincronizzazione dei dati mobili.
Un processo molto semplice, che aiuta gli utenti finali ad avere sempre a disposizione i propri dati ovunque si trovino. Purtroppo però, come spesso accade, non è tutto oro quello che luccica.
Una ricerca effettuata da due enti tedeschi, il Technical University di Darmstadt e l’Istituto Fraunhofer for Secure Information Technology hanno evidenziato come gli sviluppatori di app non stiano facendo un buon lavoro per quanto riguarda l’attuazione dei servizi di supporto sicuri e inattaccabili. Questo lascian alla mercé dei malintenzionati una moltitudine di dati sensibili, credenziali d’accesso e quant’altro, che possono essere usate per azioni fraudolente. I ricercatori hanno esaminato i database su cloud di Facebook Parse e Amazon AWS è hanno trovato 56 milioni di dati non protetti presenti in applicazioni mobili.
Backend-as-a-service, da utilizzare ma soprattutto da proteggere
Molte delle applicazioni considerate poco sicure si basano sul backend-as-a-service (BaaS), ovvero un software utilizzato dagli sviluppatori di app che consente di sincronizzare e fare il backup dei dati su cloud. Da quanto emerge dalla ricerca, gli sviluppatori non sono molto inclini a inserire righe di codice che consentono un backup sicuro dei dati come raccomandano invece le disposizioni di sicurezza che ogni provider cloud mette a disposizione degli sviluppatori che usano tali servizi. Alcune applicazioni usano BaaS per condividere dati pubblici.
Questa funzione di per sé non sarebbe un problema, ma se viene configurata la modalità di approccio a tali dati in sola lettura. Purtroppo però, diverse applicazioni usano BaaS per memorizzare dati riservati quali nomi utente, indirizzi email, informazioni di contatto, password, fotografie e, in generale, qualsiasi altra tipologia di dati si possa immaginare. Secondo la ricerca, l’implementazione di base di BaaS prevede l’utilizzo di una semplice API token, ovvero il codice che consente a due software di comunicare tra loro. Questo codice può essere rubato dai malintenzionati e utilizzato sia per leggere i dati memorizzati sui servizi cloud sia per manipolarli a loro piacimento. Questo problema di sicurezza sarebbe facilmente risolvibile se gli sviluppatori dedicassero più tempo nell’implementare un backup su cloud più sicuro, anche se a volte alcuni sviluppatori dell’ultima ora, banalmente, non sono consapevoli dei rischi che fanno correre agli utilizzatori delle proprie applicazioni.
Uno sviluppatore attento e pratico non avrebbe difficoltà a proteggere i dati memorizzati sul cloud generati dalla propria app. Infatti i fornitori di spazio cloud, offrono diversi buoni strumenti per tenere al sicuro i dati. Un esempio è il servizio Cognito di Aws, ma nessuno può garantire che lo sviluppatore si sia servito di questo tool per proteggere i dati, nonostante, come detto prima, ogni servizio cloud nelle linee guida consigli l’implementazione dei servizi di sicurezza associati a una app.
Per tornare ai risultati della ricerca, il team degli analisti ha effettuato una scansione di 750 mila applicazioni su iOS e Android, scoprendo che solo poche di queste app utilizzano un sistema di controllo degli accessi, operazione che renderebbe di base queste app molto più sicure. La restrizioni a livello legale e l’enorme quantità di applicazioni sospette, non ha consentito ai ricercatori di effettuare un controllo massivo: nel dettaglio, dunque, sono state verificate solo un piccolo numero di app.
Nonostante questo, in base al campione di applicazioni mobile messe sotto la lente di ingrandimento, i risultati ottenuti indicano che una quantità enorme di informazioni contenute e generate dalle app sono esposte al rischio di furto o addirittura di manipolazione. Il team ha inoltre contatto gli sviluppatori delle app controllate e risultato non sicure per avvertirli dei problemi rilevati e sensibilizzarli sul tema di una maggiore protezione delle loro applicazioni.
Le aziende possono mitigare questi problemi di sicurezza delle app implementando un software di Mobile Device Management (MDM) che consente di installare sui dispositivi mobile dei dipendenti solo applicazioni di cui si è sicuri, soprattutto per quanto riguarda la presenza di funzioni di protezione dei dati.