I dispositivi mobili sono parte integrante dell’infrastruttura di rete di qualunque azienda e, al pari di qualunque altro sistema in uso, devono essere garantiti elevati livelli di sicurezza nonostante la componente “mobile” complichi notevolmente lo scenario operativo.
Attacchi basati sull’uso di malware, campagne di phishing, furti e smarrimenti sono alcune delle possibili minacce che potrebbero dar luogo ad una violazione delle informazioni gestite dall’azienda. Oggi parleremo di applicazioni mobili considerate non sicure e del loro utilizzo all’interno di aziende di grandi dimensioni, cercando di comprendere l’impatto complessivo in termini di sicurezza.
Un recente studio condotto dall’azienda Veracode ha rivelato che in media sono presenti 2400 applicazioni non sicure installate nei dispositivi mobili di una grande azienda, un dato davvero preoccupante se consideriamo le differenti minacce a cui il personale potrebbe risultare esposto. VeraCode ha analizzato centinaia di migliaia di applicazioni mobili in esecuzione sui dispositivi in varie aziende operanti in differenti settori, scoprendo circa 14.000 differenti applicazioni non ritenute sicure dagli esperti. L’indgine ha analizzato imprese di diversi settori, compresi i servizi finanziari, produzione, media e telecomunicazioni. I principali problemi riscontrati sono relativi all’esposizione di dati sensibili, ad operazioni non ritenute sicure, alla gestione sospetta di applicazioni mobili (installazione / disinstallazione all’insaputa dell’utenza) ed al monitoraggio dei dispositivi.
Di seguito un estratto dei risultati dello studio condotto da Veracode sul campione di 14000 applicazioni non sicure identificato dagli esperti.
- 85% delle applicazioni espone dati sensibili del dispositivo, comprese le informazioni della SIM, la posizione del telefono, la cronologia delle chiamate, i contatti telefonici, i log dei messaggi SMS, l’identificativo del dispositivo ed informazioni sul gestore telefonico.
- il 37% esegue azioni di sicurezza sospette, come il controllo per vedere se il dispositivo è sottoposto a jailbreak or root (che consente alle applicazioni di eseguire operazioni con diritti di super utente, come la registrazione di conversazioni, la sospensione di software anti-malware, la sostituzione del firmware o la visualizzazione delle credenziali utente memorizzate nella cache) l’installazione o la disinstallazione delle applicazioni, la registrazione delle chiamate telefoniche o l’esecuzione di altri programmi.
- il 35% colleziona o condivide informazioni personali dell’utente, come la cronologia del browser ed eventi in calendario..
“I risultati dimostrano che le imprese in genere hanno molte applicazioni non sicure installate sui dispositivi mobili dei loro dipendenti. Si considera “non sicura” una applicazione che ha accesso ai dati della carta SIM, ai dati di geo localizzazione, alla cronologia delle chiamate, agli SMS e ed all’ID del dispositivo fisico” sostiene Phil Neray, VP di VeraCode.
Come giustamente Neray evidenzia, la presenza di applicazioni non sicure su dispositivi mobili espone i dati aziendali a grave rischio di violazione. Un attaccante potrebbe approfittare di tali applicazioni per eseguire attacchi mirati nei confronti delle imprese.
“Ci sono molti modi in cui un attaccante può sfruttare le applicazioni non ritenute secure. Ad esempio, possono essere usate per spiare i dipendenti ed accedere ad informazioni aziendali riservate, tracciare la posizione dei lavoratori, registrare conversazioni telefoniche, analizzare la rete sociale dei dipendenti, tutti attività che potrebbero comportare furto di proprietà intellettuale oppure l’accesso di informazioni privilegiate. Applicazioni non sicure potrebbero essere anche utilizzate per rubare le credenziali bancarie delle vittime ed operare frodi finanziarie ai danni delle organizzazioni” ha aggiunto Neray.
Il problema della sicurezza dei dispositivi mobili è molto serio, il numero di attacchi che prendono di mira infrastrutture mobili è in costante aumento, criminali informatici ed hacker che operano per conto dei governi utilizzano tecniche sempre più sofisticate in grado di sfruttare ogni falla all’interno delle applicazioni usate dalle aziende, comprese le app per i dispositivi mobili.
“Nel corso del 2015, oltre il 75% delle applicazioni mobili non passerà i test di sicurezza di base” riferisce Gartner.
I dati raccolti da VeraCode forniscono un quadro allarmante sul livello attuale di sicurezza per il settore mobile, nello specifico per le grandi aziende che utilizzano il paradigma per il quotidiano svolgimento di molteplici operazioni. Gli esperti sollecitano un approccio dinamico alla gestione della sicurezza mobile, proprio perché le app evolvono nel tempo e se non aggiornate potrebbe potenzialmente esporre dati aziendali.
I risultati dello studio sulle applicazioni non sicure dimostrano l’inefficacia della gestione delle applicazioni mediante “liste nere”, ovvero elenchi di applicazioni non consentite in ambito aziendale per motivi di sicurezza.
Per ciascuna applicazione andrebbero analizzati i requisiti di sicurezza nel tempo, valutando l’evoluzione dell’applicazione in risposta alle minacce informatiche ed alle mutate esigenze aziendali in termini di operatività.
Facebook Comments