La tua app è veramente sicura?

Che si tratti di un’applicazione web, mobile o ancor di più una dApp non si è mai abbastanza cauti quando si tratta di sicurezza.

Negli ultimi anni abbiamo visto un’evoluzione crescente del cybercrime che ha moltiplicato i suoi attacchi, mettendo nel loro mirino persino le PMI.

L’aumento è da attribuire agli avvenimenti verificatisi negli ultimi anni, come il crescente utilizzo del digitale, fortemente spinto dalla pandemia mondiale e l’esplosione delle crypto valute.

Oggi focalizzeremo la nostra attenzione sulle app mobile, quindi sugli applicativi in grado di essere eseguiti su dispositivi Android e iOS.

Nonostante la superficie di attacco nei dispositivi mobili sia piuttosto ridotta è bene non sottovalutare la sicurezza su questo tipo di applicativi.

Anche se la maggior parte degli input inseriti dall’utente in un’app mobile vengono filtrati dal sistema operativo stesso, esistono dei punti di entrata non visibili da un utente normale che possono portare ad un’intrusione all’interno dei vostri sistemi da parte di un’eventuale attaccante.

Per esperienza ci sentiamo confidenti nel dire che su una grossa percentuale di applicazioni presenti sul marketplace non è stato eseguito un security assessment prima che venissero pubblicate sugli store.

Anche se,  come abbiamo detto in precedenza, la superficie di attacco (attack surface) di un’applicazione mobile è piuttosto ridotta esistono comunque dei punti di accesso che spesso vengono sottovalutati.

Ma andiamo per gradi, per prima cosa ci viene da chiederci, cosa può ottenere dalla nostra applicazione mobile un cyber criminale?

La cosa peggiore che può accadere è che un attaccante riesca ad accedere ai dati degli utenti che utilizzano la nostra applicazione o che riesca ad impadronirsi illecitamente di denaro contenuto all’interno della piattaforma.

Esistono tuttavia delle falle di sicurezza minori che possono però portare l’attaccante a causare un danno piuttosto elevato alla nostra organizzazione nonostante non gli consentano di trarre un grosso profitto.

Generalmente questa tipologia di falle viene identificata in configurazioni errate di librerie esterne oppure nel leaking di informazioni sensibili come per esempio le chiavi di accesso a dei servizi esterni.

E’ facile capire che se un cyber criminale dovesse entrare in possesso di una nostra chiave privata che gli permette di sfruttare un servizio esterno a nostro nome potrebbe arrecare un grosso danno alla nostra azienda, per esempio utilizzando il servizio in maniera intensiva e facendo recapitare a casa una bella fattura a cinque zeri.

Avete mai avuto la fortuna/sfortuna di ricevere una fattura di un servizio come Google o Amazon?

Un’altro classico esempio di configurazione errata delle librerie esterne è quello in cui uno dei nostri penetration tester è riuscito a scovare una falla nell’applicazione Android di una nota compagnia di Hotel.
La vulnerabilità era causata da una configurazione errata del sistema di pagamento che consentiva all’utente di pagare utilizzando delle carte di credito che solitamente vengono utilizzate per svolgere i test.

Viene da sé che l’applicazione di tecniche di cyber security nell’ambito delle app mobile è importante tanto quanto su altre piattaforme.

Mine Consulting vanta un’esperienza decennale nello sviluppo di applicazioni mobile e conosce le pratiche di cyber security necessarie per consentire alla tua applicazione di non essere un bersaglio facile.