IKS, le applicazioni mobile non sono sicure

IKS, azienda di consulenza specializzata nello sviluppo di soluzioni per l’IT e in particolare nell’ambito della sicurezza informatica, presenta il Security Report 2015. Giunto alla terza edizione il documento si inquadra in un’iniziativa del Centro di Competenza IKS specializzato in ambito Mobile & Security e presenta il livello dei rischi di sicurezza legati all’utilizzo dei dispositivi mobili per l’accesso e l’utilizzo delle diverse tipologie di servizi e in particolar modo quelli finanziari.  Le analisi sono state condotte su un campione di applicazioni mobile iOS e Android, tutte disponibili sugli store ufficiali Apple e Google.

“Se da un lato si rileva un’attenzione maggiore alle tematiche di sicurezza legate alla trasmissione dei dati su rete, risulta preoccupante la mancanza di contromisure per altri vettori d’attacco altrettanto pericolosi”, ha affermato Davide Fania, Business Development Manager Mobile IKS - “Garantire la sicurezza runtime delle app e correggere le situazioni di rischio è oggi primario e IKS si propone come punto di riferimento per le aziende che hanno la necessità di sviluppare, gestire e distribuire in sicurezza le applicazioni mobile”.  

Questi i risultati principali dello studio:  

• Solo 1/4 delle applicazioni implementa contromisure complete o parziali all’abuso. Gestire questa eventualità è di primaria importanza per garantire la sicurezza dell’ambiente di esecuzione dell’app e quindi evitare utilizzi  impropri o l‘accesso alle informazioni dell‘utente
• Solo il 7% delle applicazioni Android gestisce in maniera completa il rischio di reverse engineering, mentre nessuna applicazione iOS affronta adeguatamente questa criticità 
• Meno della metà (il 40%) delle applicazioni gestisce in maniera corretta gli aspetti di robustezza delle comunicazioni verso il back-end, non utilizzando la cifratura nella comunicazione
• iOS si dimostra più sensibile di Android per quanto riguarda la presenza di cache e file critici su disco dopo l’esecuzione dell’app, con il 54% delle applicazioni contro il 27% che gestisce completamente il rischio
• 1/3 delle applicazioni si appoggia a sistemi di bug reporting, che se non opportunamente gestiti possono però essere punti di accesso per un attacco ai servizi cloud
• Un dato in positivo, il 60% delle applicazioni è attento al contenuto sensibile all’interno del pacchetto di installazione o dell’eseguibile