Apps e Sicurezza Informatica degli smartphones
Le apps sono spesso l’anello debole della sicurezza informatica degli smartphones. Ecco perché IMQ, Istituto Italiano del Marchio di Qualità, ha elaborato una nuova attestazione di terza parte, da rilasciare solo alle apps che abbiano dimostrato di essere state progettate rispettando i requisiti di “security by design” e “defense in depth” e che siano dunque in grado di ridurre il rischio di esposizione a intercettazione o modifica, da parte di malintenzionati, dei dati raccolti e scambiati in rete. L’attestazione IMQ è la MOBSEC.
“La diffusione dello smartphone è ormai universale – sottolinea Claudia Piccolo, ICT Security Area Manager della B.U. Management Systems di IMQ –, non più solo come strumento di lavoro o di svago, ma come principale, se non unico, dispositivo di accesso alla rete e ai servizi digitali. La centralità di questi, come degli altri dispositivi smart che indossiamo costantemente, unita alla grande quantità di sensori di cui sono dotati, fa sì che attraverso di essi non siano più a rischio soltanto files personali e aziendali, ma anche informazioni sensibili come localizzazione, ambiente acustico e fisico circostante e dati sulla nostra salute”.
Alcuni considerano i sistemi operativi mobile più sicuri rispetto ai sistemi desktop nella difesa dai malwares scaricati dalla rete; tuttavia il metodo di sviluppo delle apps potrebbe non impedire in modo efficace l’esposizione dei dati al furto da parte di malintenzionati o dei nuovi “grandi predatori” a scopo di marketing e profilazione. “Gli attacchi più comuni sono condotti sui backends delle apps non sufficientemente protetti e portano al furto di dati personali dai servers – continua Piccolo –. In seconda battuta troviamo il furto degli accounts grazie all’uso di fattori di autenticazione non sicuri (ad esempio gli SMS) e il furto di dati tramite l’installazione di apps malware, ma anche il furto fisico del dispositivo”.
Sicurezza nell’uso delle apps: 5 consigli
Esperti di sicurezza hanno individuato 5 consigli da mettere in pratica ogni volta che si utilizzano apps per dispositivi mobili per tutelare i propri dati e lo smartphone:
- Aggiornare frequentemente il sistema operativo del dispositivo mobile e le applicazioni.
- Non aprire links contenuti in SMS o messaggi istantanei provenienti da mittenti sconosciuti, né accettare richieste di installazione di apps ricevute tramite messaggi.
- Non scaricare applicazioni da stores non ufficiali.
- Non connettere il dispositivo a stazioni di ricarica o computers pubblici e, nel caso si sia costretti a farlo, non consentire l’accesso ai dati tramite il popup al momento della connessione.
- Non fornire mai codici temporanei (OTP) o credenziali a chi ne fa richiesta tramite messaggio o telefonata.
La certificazione IMQ MOBSEC
Le apps che riceveranno l’attestazione IMQ MOBSEC offriranno la garanzia di aver superato verifiche di conformità a specifici requisiti di sicurezza selezionati a partire da documenti internazionali elaborati dall’Open Web Application Security Project (OWASP) e dall’European Union Agency for Cybersecurity (ENISA) e che mirano a raggiungere un livello di sicurezza superiore a quello ottenibile limitandosi nello sviluppo alle misure minime di sicurezza imposte dai sistemi operativi.
I vantaggi per gli sviluppatori
IMQ MOBSEC non solo permette ai consumatori di riconoscere le apps più sicure, ma consente anche alle aziende che sviluppano apps di valorizzare le contromisure implementate per migliorare la sicurezza delle proprie applicazioni nell’intero ciclo di vita, dallo sviluppo, alla distribuzione sugli stores, all’installazione e fino all’utilizzo sui dispositivi degli utenti finali, seguendo un processo di attenta valutazione e verifica di requisiti puntuali di sicurezza eseguite direttamente sull’applicazione pubblicata negli stores ufficiali di riferimento.
Queste aziende potranno richiedere di avviare un piano di monitoraggio periodico della sicurezza delle apps svolto tramite tests condotti da un laboratorio super partes, al fine di individuare eventuali vulnerabilità che dovessero subentrare a fronte di rilasci di nuove versioni dell’applicazione. “Quest’ultimo è un elemento più che mai fondamentale – sottolinea Piccolo – dato che le tecniche di attacco informatico sono in continua evoluzione e verificare il livello di sicurezza solo al momento della pubblicazione della apps può rivelarsi un approccio debole in termini di garanzie offerte agli utilizzatori finali”.
IMQ MOBSEC potrà essere rilasciato a tutte le applicazioni sviluppate per i sistemi Android e iOS, sia che dialoghino con uno o più sistemi di backend, sia che lavorino in modalità autonoma (offline o sfruttando solo reti di prossimità). Il superamento positivo dei tests porta al rilascio di un’attestazione che dà evidenza dell’esecuzione di un penetration test sull’app e sui suoi servizi remoti, della risoluzione delle vulnerabilità eventualmente emerse, del rispetto dei principi e delle best practices di design e implementazione sicuri espressi da requisiti che appartengono alle aree di Supply Chain Security, Data Protection, Cryptography, Authentication and Session Management, Network Security, Operating System and Application Platform Interaction e Code Quality and Integrity.