App Sicurezza Privacy

“Hai visto ? Ho una nuova app; “Gioca con Pinpon”; i tuoi bambini la adorerebbero.” Bastano due chiacchiere davanti ad un caffè con un collega o un amico e subito, anche solo per curiosità, scatta subito l’effetto “upload sul mio device”.

Ciò detto, siamo tutti delle persone intelligenti e abbastanza sveglie, in più stiamo leggendo di questa cosa su un blog che tratta tematiche di security, quindi tutti sappiamo che le app si scaricano solamente da siti affidabili e verificabili. Bene, tutti d’accordo ? Forse sì, forse no.

Sicurezza nelle App

Parliamo di chi sviluppa applicazioni. Già qui si può fare un primo passo. Come? Sviluppando correttamente e seguendo ad esempio le raccomandazioni del Open Web Application Security Project (OWASP). OWASP ha pubblicato i primi dieci problemi di sicurezza applicativa:

  • Utilizzo improprio della piattaforma
  • Memorizzazione dei dati insicura
  • Comunicazione insicura
  • Autenticazione insicura
  • Cifratura insufficiente
  • Strato di autorizzazione insicuro
  • Qualità del codice client
  • Code Tampering
  • Reverse Engineering
  • Funzionalità indesiderate

Senza addentrarci troppo nelle implicazioni di ogni voce, l’elenco è sufficiente a farci capire che uno sviluppatore di app che ha in mente queste linee guida e le implementa correttamente, produrrà una applicazione decisamente più sicura se comparato al classico sviluppatore che si lancia semplicemente in un “build”.

E dal momento che abbiamo apps per ogni singola esigenza, abbiamo anche chi scrive app che continuano a cercare strade per farsi largo nei nostri device. Sembrano apparentemente legittime, ma poi, durante un update, provano ad aggiungere qualche strano pezzetto in più nella nostra app.

Nel 2015, i ricercatori dell’università dell’ Indiana, hanno sviluppato un sistema (MassVet) in grado di rilevare parti “malevole” delle APP in meno di 10 secondi e in questo senso si è fatto un grande progresso nel processo di review.  Tuttavia, per quanto questa possa essere una buona notizia, essa di certo non è in grado di combattere il malware che viene inserito nelle app. Risale solo al 2015 il noto caso delle oltre 4000 app iOS infette, poiché sviluppate attraverso copie malevoli di Xcode e ridistribuite online (XcodeGhost). Non è tutto; come è accaduto recentemente anche il produttore ci mette del suo: Felix Krause il mese scorso ha dimostrato come grazie alla solita interfaccia e all’abitudine di inserire la propria password ogniqualvolta richiesta, un utente possa essere confuso e concedere “legittimamente” le proprie password.

Per dirla tutta Google cerca di gestire al meglio Google Play Store e, secondo il loro rapporto di sicurezza su Android, si stanno facendo buoni progressi per impedire che agli utenti Android arrivino “applicazioni potenzialmente dannose” (PHAs).

Qual è il numero di PHA che esce dal Google Play Store ? Abbastanza vicino a zero, si dice nel rapporto: “Entro la fine del 2016, solo lo 0,05 per cento dei dispositivi che scaricava le applicazioni esclusivamente da Play Store conteneva un PHA”.

A metà ottobre, Google ha annunciato il Google Play Security Reward Program, un programma di bug bounty per il suo store digitale, in collaborazione con il portale HackerOne, incentrato sulla ricerca di bug nelle applicazioni offerte dal Play Store.

Quali tipi di malware stanno colpendo i dispositivi Android? Google ci dice che nella classificazione del team di sicurezza, ci sono molte varietà, quali:

  • Backdoors
  • Commercial spyware
  • Data collection
  • Denial of service
  • Hostile downloader
  • Mobile billing fraud
  • SMS fraud
  • Call fraud
  • Toll fraud
  • Non-Android threats
  • Phishing
  • Privilege escalation
  • Ransomware
  • Rooting
  • Spam
  • Spyware
  • Trojan

Google è trasparente su ciò che costituisce una minaccia o un funzionamento inaccettabile all’interno di una determinata applicazione. Allo stesso modo, Apple ha una rigorosa revisione delle applicazioni che stanno su Apple Store. Le linee guida di Apple per gli sviluppatori, espongono le varie aree nelle quali le app verranno sottoposte a ispezione e quindi giudicate, prima di essere autorizzate ad essere presenti nell’Apple Store.

Privacy

Ogni anno si legge di informazioni raccolte (più o meno legittimamente) da varie applicazioni che risiedono sui nostri dispositivi. Poi, a volte, si verificano strani fenomeni come il reset delle impostazioni della privacy quando si aggiorna il sistema operativo. Non ha alcun senso. Infatti di tanto in tanto succede che tali reset ripristinino le impostazioni predefinite esponendoci a livelli di riservatezza troppo deboli.

Chiaramente conoscere quali sono le autorizzazioni che stiamo concedendo all’applicazione sui nostri dispositivi è di fondamentale importanza. Ormai qualsiasi sistema operativo, sia iOS o Android, consente di avere una panoramica più o meno completa delle autorizzazioni concesse ad ogni applicazione. Dare un’occhiata ogni tanto potrebbe farci rendere conto che magari ci sono app che richiedono molte più autorizzazioni di quante ne necessitino.

Discorso differente per chi sviluppa e deve raccogliere informazioni; un unico consiglio: la trasparenza è di uguale importanza. La vostra app, difatti, potrebbe essere il primo passo verso un contenzioso se le vostre policy dichiarate non dovessero corrispondere al modo in cui l’applicazione funziona effettivamente. E’ il caso di una società che si è trovata coinvolta in una class action che sosteneva che 40 delle sue applicazioni avessero raccolto in modo scorretto le informazioni personali di identificazione degli utenti. Queste informazioni erano state raccolte dagli smartphone mentre gli utenti ( in particolare bambini) giocavano online,  in questo senso infrangendo quello che in America è chiamato “Children’s Online Privacy Protection Act.” Quindi, sapere ciò che c’è all’interno dell’applicazione, anche se si tratta di codice di terze parti per scopi di marketing e come funziona, è di uguale importanza.

Per tirare le somme, sia che stiate sviluppando o utilizzando app, conviene assolutamente conoscere come queste operano sui vostri dispositivi, assicurandovi che ciò che viene condiviso sia quello che vi aspettate.

Ovviamente resta valido il consiglio iniziale: le app si scaricano sempre e soltanto da fonti valide e riconosciute.

Hai bisogno di rendere la tua rete più sicura?
Richiedi una consulenza