Le app sono un mondo divertente quanto utile per il business. Gli utenti web preferiscono le app ai siti e sono tante le aziende che investono budget importanti per sviluppare applicazioni. Anche in questo campo è fondamentale l’aspetto della cybersecurity. Rinforzare e rendere più sicure le applicazioni aiuta sia l’azienda che l’utente: come riuscirci?

 

Secondo lo studio di App Annie, nel 2017 si è registrata una crescita del 60% dei download di app a livello globale. La spesa dei consumatori è raddoppiata e il tempo trascorso navigando nelle applicazioni è aumentato del 30%, fino al punto che ogni utente vi trascorre circa 43 giorni all’anno. È palese che le applicazioni sono utili per ampliare il proprio mercato e per commercializzare in modo alternativo prodotti e servizi. Per questo è utile pensare all’usabilità quanto alla sicurezza.

 

I benefici delle app

 

Oggi un’applicazione può migliorare produttività, vendite e branding. In che modo?

  • Risulta un altro canale di vendita: i passaggi sono estremamente semplificati, la call to action è centrale e si può concludere una trattativa in pochi secondi.
  • Permette uno stretto contatto con i clienti: l’app permette di essere nelle mani e nelle tasche dei propri clienti per tutto il tempo. Qualunque sia l’esigenza del cliente, l’azienda risulta sempre disponibile e facile da contattare.
  • Fidelizza i clienti: chi scarica un’app sente di avere un’esclusiva. Infatti, si possono trovare contenuti extra e feature aggiuntive che non si trovano sul sito.
  • Innalza la brand reputation: un’app aziendale fa aumentare la visibilità dell’azienda, significa divulgare il proprio marchio presidiando anche nuovi spazi come gli Store.

 

Le App sono hackerabili?

 

È famoso il caso Spotify: il celebre servizio musicale digitale ha scoperto di avere ben 2 milioni gli utenti che utilizzano app hackerate per non pagare l’abbonamento e godere dei servizi premium.

Alla fine 2017, Spotify aveva 157 milioni di utenti e di questi solo 71 milioni risultavano abbonati al servizio a pagamento. I 2 milioni “abusivi” che sono emersi, non solo incidono sul fatturato ma sono sicuramente indice di una falla strutturale di non poco conto. L’anno precedente sempre su Spotify vennero hackerati centinaia di account con relativa pubblicazione di una lista con i dati degli utenti. Spotify non è la prima né l’ultima app che ha subito questi danni.

Alcune app hanno subito attacchi hacker coinvolgendo anche 150 milioni di account, come nel caso dell’app MyFitnessPal nel 2018.

Chi sono gli hacker delle app? Non sempre rispondo all’immaginario cinematografico del genio del crimine incappucciato.

Come nel caso dell’app di pagamento tedesca Tikkie, gli hacker che hanno rubato agli utenti ben 20.000 euro erano due ragazzi di 18 anni. I due giovani, con un semplice sito phishing che simulava Tikkie, ottenevano i dati bancari degli utenti dell’app per poi rubarne il denaro.

 

 

Non trascurare la sicurezza dei device aziendali!

5 consigli per proteggere i device mobili aziendali

 

 

Le app bank-level

 

Alcuni sviluppatori promuovono il livello di sicurezza delle proprie applicazioni come “bank-level” o “military-grade”, ovvero app inespugnabili dove conservare i dati più sensibili. Solitamente queste app sono delle Password Manager, applicazioni dove conservare e gestire tutte le password dei nostri portali come Social Network, e-commerce, banche, email, piattaforme open source e tutti i siti che richiedono delle credenziali di accesso.

Un’analisi di sicurezza condotta da TeamSIK, un team di ethical hackering tedesco, ha purtroppo minato anche la fiducia verso queste piattaforme. TeamSIK ha analizzato le app di password management più popolari di Android presenti su Google Play Store.

Il team ha rilevato diversi difetti di implementazione con conseguente gravi vulnerabilità di sicurezza di ben 9 applicazioni che offrono il servizio di password manager. In ogni app i ricercatori hanno scoperto uno o più vulnerabilità di sicurezza, per un totale di 26.

In queste app spesso è capitato di trovare le password crittografate con visibile parte del codice per decodificarle. Molte di queste hanno dimostrato di perdere la crittografia se usate in particolari browser e gli stessi database non risultavano adeguatamente protetti. Sembrerebbe strano ma TeamSIK ha scoperto che le funzioni di auto-fill potrebbero essere violate usando un semplice attacco di “hidden phishing”.

 

Lo sviluppo sicuro

 

Al momento dello sviluppo è prassi eseguire analisi e valutazione delle potenziali vulnerabilità di un sistema informatico. Sono i test di sicurezza, anche detti vulnerability assessment.

Questi vengono condotti da personale interno o da fornitori in questi modi:

  • Code review: riesamina del codice sorgente
  • SAST (Static Application Security Testing): verifica della qualità e sicurezza del codice statico
  • DAST (Dinamic Application Security Testing): verifica della qualità e sicurezza del codice dinamico
  • Penetration Testing: prove di attacco da parte di personale specializzato e distinto in: Black box : se condotto da persone senza conoscenze del sistema da analizzare; White box : se condotto da operatori con piena conoscenza del sistema.
  • riesamina dei requisiti funzionali e delle specifiche tecniche del sistema informatico basandosi sulla documentazione disponibile
  • scansione automatica dei sistemi informatici con strumenti di vulnerability scanning

È essenziale predisporre un programma dei test e, come sempre, anche nelle app vale il principio del security-by-design: la sicurezza deve essere considerata e progettata fin dalle prime fasi dell’analisi e dello sviluppo. È una pratica errata concentrare l’analisi della sicurezza solo nella fase finale di test ma grazie al GDPR l’approccio security-by-design sta diventando determinante.

 

La cultura della cybersicurezza

 

Gli sviluppatori dispongono di elevate competenze in materia di sicurezza ma spesso risultano maggiormente orientati all’usability. Focalizzarsi sugli aspetti estetici e sulle funzionalità per gli utenti può causare disattenzioni nell’ambito della sicurezza. Per questo a volte è opportuno coinvolgere tecnici specializzati o società esterne che concentrino il proprio lavoro sul lato cybersecurity.

Uno sviluppo sicuro nasce dunque dalla risposta a requisiti di sicurezza funzionali, tecnici e di codifica. Tuttavia, come dimostrate con i casi delle più famose military-grade app, un software inviolabile non è ancora stato creato come non esiste la condizione a rischio zero. Questo non deve scoraggiare: con un accurato lavoro di sviluppo e programmi dei test strutturati su un arco di tempo di 3 o 5 anni, si possono realizzare applicazioni molte sicure. Dal lato utente, ci sono poche semplici regole per scaricare app affidabili: utilizzare il Google Play Store evitando piattaforme sconosciute, accertarsi che “Verifica App” sia attivata, leggere accuratamente i permessi e scaricare un buon antivirus.

Anche nel mondo delle app, apparentemente così giocoso, serve la giusta cultura della sicurezza: meglio non cadere nei tranelli per colpa di un tap!

 

 

 

 

Cerchi una soluzione Mobile Device Management?

Ecco cosa possiamo fare per te!

Share This