Video: 10 Consigli Da Esperti Per Proteggersi Su Internet (Novembre 2024)
Le app hanno spesso accesso ai dati di cui non hanno bisogno o autorizzazioni per utilizzare hardware e servizi che non hanno nulla a che fare con ciò che fanno. Un recente studio mostra che i problemi sono molto più diffusi di quanto pensassimo.
I ricercatori HP hanno esaminato oltre 2.000 app iOS tra ottobre e novembre e hanno scoperto che nove app su dieci presentavano gravi vulnerabilità, secondo lo studio pubblicato il mese scorso. I problemi andavano dall'avere troppe autorizzazioni, dati non crittografati e trasmissione non sicura dei dati. I giochi non hanno bisogno di avere accesso alla tua rubrica e in realtà non c'è motivo per cui l'app meteo abbia l'autorizzazione a inviare e-mail. Se un'app non protegge i dati a cui ha accesso o protegge in modo adeguato come utilizza i componenti principali del sistema operativo, il dispositivo diventa vulnerabile agli attacchi.
I dispositivi mobili sono "obiettivi principali di attacco, con applicazioni vulnerabili che forniscono accesso a dati sensibili", ha affermato Mike Armistead, vicepresidente e direttore generale del gruppo di prodotti per la sicurezza aziendale di HP Fortify.
Nello studio, i ricercatori hanno utilizzato il motore di analisi binaria e dinamica automatizzato HP Fortify on Demand per testare 2.107 applicazioni, selezionate tra 22 diverse categorie, tra cui produttività e social network. Mentre lo studio si è concentrato su applicazioni aziendali personalizzate, non è un tratto ipotizzare che simili problemi di sicurezza e privacy siano presenti nelle app che troveremmo sull'App Store di Apple o su Google Play.
Non proteggere i dati
Quasi tutto: il 97 percento delle app testate ha avuto accesso ad almeno una "fonte di informazioni privata", come rubriche personali e pagine di social media, oppure ha sfruttato la connettività Bluetooth o Wi-Fi. La cosa preoccupante è che un incredibile 86 percento di tali applicazioni non disponeva di adeguate misure di sicurezza per garantire la protezione dei dati privati, secondo lo studio.
Circa il 75 percento delle applicazioni ha utilizzato la crittografia in modo errato durante l'archiviazione dei dati su dispositivi mobili, secondo lo studio. I dati non protetti includevano password, informazioni personali, token di sessione, documenti, registri di chat e fotografie.
È stato rassicurante vedere che solo il 18 percento delle applicazioni testate nello studio ha inviato nomi utente e password su HTTP mentre le app rimanenti utilizzavano SSL / HTTPS. Tuttavia, tra coloro che utilizzano la modalità di trasmissione sicura, quasi il 20% ha implementazioni SSL / HTTPS errate. Ciò significa che i dati sono ancora vulnerabili all'annusamento di aggressori malintenzionati.
Gli sviluppatori devono intensificare
In generale, i sistemi operativi mobili, sia Android che iOS, stanno migliorando nel descrivere esplicitamente quali autorizzazioni richiede l'app. Esistono anche linee guida più rigorose su quale tipo di app di dati possono accedere. Tuttavia, l'onere è ancora a carico dell'utente per visualizzare l'elenco delle autorizzazioni, comprendere le implicazioni e prendere la decisione che le richieste sono irragionevoli.
Lo scenario migliore sarebbe se gli sviluppatori avessero integrato sicurezza e privacy nelle app fin dall'inizio. Devono pensare a come le loro app interagiscono con altre app e il sistema operativo. Devono considerare in che modo le loro app possono accedere in modo sicuro ai dati.
Le aziende devono passare da "veloce al mercato" a "sicuro e veloce al mercato", ha affermato HP.