Mobile security

App mobile: i backup insicuri sul cloud mettono a rischio di furto milioni di credenziali

Non fare un backup sicuro delle applicazioni mobili che si trovano sul cloud significa coinvolgere centinaia di app. Il salvataggio dei dati è un problema soprattutto perché può arrivare a esporre milioni di credenziali che possono essere usate da chiunque. Pirati informatici compresi

Pubblicato il 23 Ott 2015

sicurezza-delle-app-151023100200

Molte applicazioni mobile utilizzano i servizi cloud messi a disposizione da aziende come Amazon e Facebook per eseguire il backup e la sincronizzazione dei dati mobili.

Un processo molto semplice, che aiuta gli utenti finali ad avere sempre a disposizione i propri dati ovunque si trovino. Purtroppo però, come spesso accade, non è tutto oro quello che luccica.

Una ricerca effettuata da due enti tedeschi, il Technical University di Darmstadt e l’Istituto Fraunhofer for Secure Information Technology hanno evidenziato come gli sviluppatori di app non stiano facendo un buon lavoro per quanto riguarda l’attuazione dei servizi di supporto sicuri e inattaccabili. Questo lascian alla mercé dei malintenzionati una moltitudine di dati sensibili, credenziali d’accesso e quant’altro, che possono essere usate per azioni fraudolente. I ricercatori hanno esaminato i database su cloud di Facebook Parse e Amazon AWS è hanno trovato 56 milioni di dati non protetti presenti in applicazioni mobili.

Backend-as-a-service, da utilizzare ma soprattutto da proteggere

Molte delle applicazioni considerate poco sicure si basano sul backend-as-a-service (BaaS), ovvero un software utilizzato dagli sviluppatori di app che consente di sincronizzare e fare il backup dei dati su cloud. Da quanto emerge dalla ricerca, gli sviluppatori non sono molto inclini a inserire righe di codice che consentono un backup sicuro dei dati come raccomandano invece le disposizioni di sicurezza che ogni provider cloud mette a disposizione degli sviluppatori che usano tali servizi. Alcune applicazioni usano BaaS per condividere dati pubblici.

Questa funzione di per sé non sarebbe un problema, ma se viene configurata la modalità di approccio a tali dati in sola lettura. Purtroppo però, diverse applicazioni usano BaaS per memorizzare dati riservati quali nomi utente, indirizzi email, informazioni di contatto, password, fotografie e, in generale, qualsiasi altra tipologia di dati si possa immaginare. Secondo la ricerca, l’implementazione di base di BaaS prevede l’utilizzo di una semplice API token, ovvero il codice che consente a due software di comunicare tra loro. Questo codice può essere rubato dai malintenzionati e utilizzato sia per leggere i dati memorizzati sui servizi cloud sia per manipolarli a loro piacimento. Questo problema di sicurezza sarebbe facilmente risolvibile se gli sviluppatori dedicassero più tempo nell’implementare un backup su cloud più sicuro, anche se a volte alcuni sviluppatori dell’ultima ora, banalmente, non sono consapevoli dei rischi che fanno correre agli utilizzatori delle proprie applicazioni.

Uno sviluppatore attento e pratico non avrebbe difficoltà a proteggere i dati memorizzati sul cloud generati dalla propria app. Infatti i fornitori di spazio cloud, offrono diversi buoni strumenti per tenere al sicuro i dati. Un esempio è il servizio Cognito di Aws, ma nessuno può garantire che lo sviluppatore si sia servito di questo tool per proteggere i dati, nonostante, come detto prima, ogni servizio cloud nelle linee guida consigli l’implementazione dei servizi di sicurezza associati a una app.

Per tornare ai risultati della ricerca, il team degli analisti ha effettuato una scansione di 750 mila applicazioni su iOS e Android, scoprendo che solo poche di queste app utilizzano un sistema di controllo degli accessi, operazione che renderebbe di base queste app molto più sicure. La restrizioni a livello legale e l’enorme quantità di applicazioni sospette, non ha consentito ai ricercatori di effettuare un controllo massivo: nel dettaglio, dunque, sono state verificate solo un piccolo numero di app.

Nonostante questo, in base al campione di applicazioni mobile messe sotto la lente di ingrandimento, i risultati ottenuti indicano che una quantità enorme di informazioni contenute e generate dalle app sono esposte al rischio di furto o addirittura di manipolazione. Il team ha inoltre contatto gli sviluppatori delle app controllate e risultato non sicure per avvertirli dei problemi rilevati e sensibilizzarli sul tema di una maggiore protezione delle loro applicazioni.

Le aziende possono mitigare questi problemi di sicurezza delle app implementando un software di Mobile Device Management (MDM) che consente di installare sui dispositivi mobile dei dipendenti solo applicazioni di cui si è sicuri, soprattutto per quanto riguarda la presenza di funzioni di protezione dei dati.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale Digital360Awards e CIOsumm.it

Tutti
Update
Keynote
Round table
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo
Video
Digital360Awards e CIOsumm.it, i momenti salienti
Approfondimenti
La sinergia tra CIO e CISO trasforma la cybersecurity in un obiettivo di business strategico
Approfondimenti 
Etica dell’innovazione tecnologica per i CIO: prima chiedersi perché. Poi definire cosa e come
Eventi
Digital360 Awards e CIOsumm.IT, ecco i progetti vincitori
Tavola rotonda
Evoluzione del CIO: da centro di costo a motore strategico del business
Tavola rotonda
Business Process Augmentation: dall’RPA alla GenAI… il dato e tratto
Approfondimenti
Sistemi digitali potenziati: l’intelligenza dei chatbot è nelle mani dei CIO
Tavola rotonda
Intelligenza collaborativa e AI: sfide e opportunità per i CIO nell’era dello Human to Machine (H2M) 
Approfondimenti
Open Source: collaborazione e innovazione nel caos apparente del software libero 
Metodologie
BANI: che cos’è e come l’AI può aiutare i CIO a gestire la felicità (e l’infelicità) dei talenti
Prospettive
AI in un mondo complesso. Tra ordine e disordine, le aziende iniziano a capire la giusta via
Approfondimenti
Intelligenza Umana vs Intelligenza Artificiale insieme. Non invece
Eventi
Digital360 Awards e CIOsumm.IT, al via l’evento conclusivo

Articoli correlati

Articolo 1 di 3