Esiste la credenza comune che la sicurezza delle applicazioni mobile sia abbastanza buona (o almeno adeguata) finché si rimane entro i confini dell’app store ufficiale. Apple ha una reputazione migliore per quanto riguarda il controllo del proprio giardino, ma anche le applicazioni Android sono spesso considerate sicure se sono popolari e di un editore familiare.
Tuttavia, un nuovo studio condotto da Synopsys durante la pandemia indica che questa non è affatto una supposizione sicura.
Lo studio trova vulnerabilità comuni nei componenti open source e nelle librerie che molte applicazioni Android utilizzano, anche migliaia tra le più popolari. Altri problemi comuni includono codici leaky e permessi non sicuri richiesti per il funzionamento dell’app: i ricercatori hanno scoperto che circa 1/3 delle app sul Play Store ha almeno una di queste vulnerabilità.
La sicurezza delle applicazioni mobile vacilla mentre gli hacker aumentano a causa della pandemia
Il report di Synopsys si concentra su tre categorie principali:
- vulnerabilità open source note,
- perdite di dati che possono esporre dati sensibili all’interno del codice dell’applicazione,
- e casi di app che richiedono permessi eccessivi o non sicuri.
Come indica il titolo “Pericolo in una pandemia”, lo studio si è concentrato sulle app che sono state popolari durante la pandemia Covid-19. Sono state esaminate 3.335 app tra le più frequentemente scaricate dal Google Play Store durante il primo trimestre del 2021. Il centro di ricerca sulla cybersicurezza Synopsys ha fatto uso di uno strumento esclusivo di revisione del codice sorgente che utilizza “l’analisi binaria” per emulare il processo di reverse engineering del codice che non è pubblicamente disponibile.
L’analisi si concentra specificamente su 18 categorie di app che hanno visto una crescita enorme a causa delle condizioni pandemiche, come le comunicazioni aziendali e app di fitness a casa. Alcune di queste categorie sono state selezionate anche a causa di presupposti comuni di avere livelli più alti del solito di sicurezza fra le applicazioni mobile, come le app bancarie e finanziarie.
Il rapporto indica che in media ci si può aspettare che una data app Android che non è adeguatamente protetta abbia circa 39 vulnerabilità. Lo studio ha trovato oltre 3.000 vulnerabilità uniche che sono riemerse in diverse app più di 82.000 volte.
Fuga di informazioni e permessi eccessivi
Oltre alle vulnerabilità che sono preoccupantemente comuni, il rapporto ha trovato migliaia di incidenti di “fuga di informazioni” in queste applicazioni. Questo consiste in informazioni sensibili o dati personali che un hacker, esaminando il codice, potrebbe essere in grado di reperire e quindi utilizzare.
Password, token, indirizzi IP, indirizzi e-mail e URL possono anche essere trovati a volte nel codice esposto al pubblico. I ricercatori hanno trovato decine di migliaia di indirizzi e-mail e IP nel codice di queste applicazioni insieme a 804 token Google Cloud, 27 token Facebook e 26 chiavi AWS.
Infine, c’è la questione dei permessi eccessivi. Le migliori pratiche di sicurezza delle applicazioni mobile impongono che le app non richiedano più permessi del necessario, ma la violazione di questo principio è ahimè abbastanza comune. I ricercatori segnalano numerose app che richiedono decine di permessi non necessari, comprese alcune che Google classifica come aventi un livello di protezione “pericoloso” o un permesso di firma che le app di terze parti non dovrebbero usare.
Il report ci svela che l’80% delle app nelle categorie di gioco, bancarie, di bilancio e di pagamento contengono vulnerabilità note, e che le app finanziarie in generale tendono a chiedere la maggior quantità di permessi (una media di 18). Le app per la salute e il fitness e lo stile di vita sono state la categoria più sicura del gruppo durante la pandemia, con solo il 36% contenente vulnerabilità.
Vulnerabilità conosciute che influenzano la sicurezza delle applicazioni mobili
In generale, queste non sono nuove vulnerabilità che i professionisti della sicurezza devono ancora risolvere. Il 94% di queste ha infatti correzioni pubblicamente documentate, e il 73% è stato divulgato più di due anni fa. Il 44% è considerato ad alto rischio. La stragrande maggioranza di queste vulnerabilità sono state trovate prima della pandemia e mai affrontate.
Le vulnerabilità open source sono un particolare problema di sicurezza delle applicazioni mobile, dato che il 98% delle app esaminate fanno uso di componenti OSS. In media, ogni app ne include circa 20. Il 63% di queste app conteneva un componente OSS che aveva almeno una vulnerabilità di sicurezza documentata. Dato questo e la grande quantità di app che hanno problemi vecchi di anni con correzioni note, sembra che gli sviluppatori molto comunemente non riescono a tenere il passo con le ultime versioni e patch per questi componenti.
La sicurezza delle applicazioni mobile è una questione particolarmente importante da affrontare per lo sviluppo di software, data l’esplosione dell’uso dei dispositivi mobile durante la pandemia. C’è stato un aumento generale degli utenti e del tempo complessivo trascorso su questi dispositivi (che ha portato a un’esplosione nello sviluppo di applicazioni), e questi sono anche sempre più connessi alle reti aziendali data la crescita degli accordi di lavoro da casa.
