Molte Mobile App permettono di salvare i dati, sincronizzarli e fare backup attraverso servizi Cloud messi a disposizione da colossi come Amazon Web Services (AWS) e Facebook. Sono procedure molto semplici, e si hanno sempre a disposizione i propri dati ovunque ci si trovi, ma c’è anche un rovescio della medaglia.
Un’analisi di due enti tedeschi, il Technical University di Darmstadt e il Fraunhofer Institute for Secure Information Technology hanno evidenziato come gli sviluppatori non siano abbastanza attenti a collegare le Mobile App a servizi di supporto sicuri e inattaccabili. È così possibile accedere abbastanza semplicemente a una moltitudine di dati sensibili e credenziali d’accesso che possono essere usate per azioni fraudolente. I ricercatori hanno esaminato i database su Cloud di Facebook Parse e Amazon AWS, individuando 56 milioni di dati non protetti presenti in Mobile App.
Servizi Backend-as-a-service, maneggiare con cautela
Molte delle vulnerabilità in questo caso nascono dal backend-as-a-service (BaaS), un tipo di servizio utilizzato dagli sviluppatori di app che consente di sincronizzare e fare il backup dei dati su cloud. Da quanto emerge dalla ricerca, gli sviluppatori a volte non inseriscono le righe di codice che consentono un backup sicuro dei dati come raccomandano le disposizioni di sicurezza che ogni provider cloud raccomanda agli sviluppatori che usano tali servizi. Alcune applicazioni usano BaaS per condividere dati pubblici.
Questo di per sé non sarebbe un problema, se viene configurata la modalità di approccio a tali dati in sola lettura. Purtroppo però, diverse applicazioni usano BaaS per memorizzare dati riservati quali nomi utente, indirizzi email, informazioni di contatto, password, fotografie. Secondo la ricerca, l’implementazione di base di BaaS prevede l’utilizzo di una semplice API token, ovvero il codice che consente a due software di comunicare tra loro. Questo codice può essere rubato dai malintenzionati e utilizzato sia per leggere i dati memorizzati sui servizi cloud sia per manipolarli. Questo problema di sicurezza sarebbe facilmente risolvibile se gli sviluppatori dedicassero più tempo nell’implementare un backup su cloud più sicuro, Il problema, in generale, è che non tutti gli sviluppatori sono consapevoli dei rischi che fanno correre agli utilizzatori delle proprie applicazioni.
Uno sviluppatore attento e pratico non ha difficoltà a proteggere i dati memorizzati sul cloud generati dalla propria app. Infatti i fornitori di spazio cloud offrono diversi buoni strumenti per tenere al sicuro i dati. Un esempio è il servizio Cognito di AWS.
Tornando alla ricerca, il team degli analisti ha effettuato una scansione di 750 mila applicazioni su iOS e Android, scoprendo che solo poche di queste App utilizzano un sistema di controllo degli accessi, operazione che renderebbe di base queste App molto più sicure. La restrizioni a livello legale e l’enorme quantità di applicazioni sospette non ha consentito ai ricercatori di effettuare un controllo massivo: nel dettaglio, dunque, è stato verificato solo un piccolo numero di app.
Nonostante questo, in base al campione di Mobile App esaminate, i risultati ottenuti indicano che una quantità enorme di informazioni contenute e generate dalle App sono esposte al rischio di furto o di manipolazione. Il team ha inoltre contattato gli sviluppatori delle App controllate e risultate non sicure per avvertirli dei problemi rilevati e sensibilizzarli sul tema della protezione delle loro App.
Le aziende possono mitigare questi problemi di sicurezza delle App implementando un software di Mobile Device Management (MDM) che consente di installare sui dispositivi mobile dei dipendenti solo applicazioni di cui si è sicuri, soprattutto per quanto riguarda la presenza di funzioni di protezione dei dati.