Sono spesso le app l’anello debole della sicurezza informatica degli smartphone: per questo, IMQ (Istituto Italiano del Marchio di Qualità), tra i leader nel testing, certificazioni e ispezioni in Europa, ha elaborato IMQ MOBSEC, una nuova attestazione di terza parte, da rilasciare solo alle app che abbiano dimostrato di essere state progettate rispettando i requisiti di “security by design” e “defense in depth” e che siano dunque in grado di ridurre il rischio di esposizione a intercettazione o modifica, da parte di malintenzionati, dei dati raccolti e scambiati in Rete.
Le dichiarazioni dell'esperta
“La diffusione dello smartphone è ormai universale, non più solo come strumento di lavoro o di svago, ma come principale, se non unico, dispositivo di accesso alla Rete e ai servizi digitali. La centralità di questi, come degli altri dispositivi smart che indossiamo costantemente, unita alla grande quantità di sensori di cui sono dotati, fa sì che attraverso di essi non siano più a rischio soltanto file personali e aziendali, ma anche informazioni sensibili come localizzazione, ambiente acustico e fisico circostante e dati sulla nostra salute” osserva Claudia Piccolo, ICT Security Area Manager della B.U. Management Systems di IMQ S.p.A.
Sebbene i sistemi operativi “mobile” siano considerati da alcuni più sicuri dei sistemi desktop nella difesa contro l’installazione di malware scaricati dalla Rete, l’approccio adottato durante lo sviluppo delle app potrebbe non impedire in modo efficace l’esposizione dei dati al furto da parte di malintenzionati o dei nuovi “grandi predatori” di dati personali a scopo di marketing e profilazione.
“Gli attacchi più comuni sono condotti sui backend delle app non sufficientemente protetti e portano al furto di dati personali dai server” osserva l’esperta di IMQ. “In seconda battuta, troviamo il furto degli account grazie all’uso di fattori di autenticazione non sicuri (ad esempio gli SMS) e il furto di dati tramite l’installazione di app malware ma anche il furto fisico del dispositivo”.
Le app che riceveranno l’attestazione IMQ MOBSEC offriranno la garanzia di aver superato verifiche di conformità a specifici requisiti di sicurezza selezionati a partire da documenti internazionali elaborati dall’Open Web Application Security Project (OWASP) e dall’European Union Agency for Cybersecurity (ENISA) e che mirano a raggiungere un livello di sicurezza superiore a quello ottenibile limitandosi nello sviluppo alle misure minime di sicurezza imposte dai sistemi operativi.
Su richiesta delle aziende sviluppatrici potrà essere avviato un piano di monitoraggio periodico della sicurezza delle app tramite test condotti da un laboratorio al di sopra delle parti, al fine di individuare eventuali vulnerabilità che dovessero subentrare a fronte di rilasci di nuove versioni dell’applicazione. “Quest’ultimo è un elemento più che mai fondamentale dato che le tecniche di attacco informatico sono in continua evoluzione e verificare il livello di sicurezza solo al momento della pubblicazione della app può rivelarsi un approccio debole in termini di garanzie offerte agli utilizzatori finali” sottolinea Claudia Piccolo.
I 5 consigli per un uso più sicuro delle App
Gli esperti di sicurezza segnalano 5 accorgimenti per un utilizzo il più possibile sicuro dei dispositivi mobile:
- Aggiornare frequentemente il sistema operativo del dispositivo mobile e le applicazioni
- Non aprire link contenuti in sms o messaggi istantanei provenienti da mittenti sconosciuti, né accettare richieste di installazione di app ricevute tramite messaggi
- Non scaricare applicazioni da store non ufficiali
- Non connettere il dispositivo a stazioni di ricarica o computer pubblici e, nel caso si sia costretti a farlo, non consentire l’accesso ai dati tramite il popup al momento della connessione
- Non fornire mai codici temporanei (OTP) o credenziali a chi ne fa richiesta tramite messaggio o telefonata.
Il nuovo schema Imq Mobsec
Vantaggi anche per le aziende che sviluppano App
Se da un lato lo schema IMQ MOBSEC permette ai consumatori di riconoscere le app più sicure, dall’altro consente anche alle aziende che sviluppano app di valorizzare le contromisure implementate per migliorare la sicurezza delle proprie applicazioni nel loro ciclo di vita - dallo sviluppo alla distribuzione sugli store e all’installazione e utilizzo sui dispositivi degli utenti finali - seguendo un processo di attenta valutazione e verifica di requisiti puntuali di sicurezza eseguite direttamente sull’applicazione pubblicata sugli store ufficiali di riferimento.
IMQ MOBSEC potrà essere rilasciato a tutte le applicazioni sviluppate per i sistemi Android e iOS, sia che dialoghino con uno o più sistemi di backend sia che lavorino in modalità autonoma (offline o sfruttando solo reti di prossimità). Il superamento positivo dei test porta al rilascio di un’attestazione che dà evidenza dell’esecuzione di un penetration test sull’app e sui suoi servizi remoti, della risoluzione delle vulnerabilità eventualmente emerse, del rispetto dei principi e delle best-practice di design e implementazione sicuri espressi da requisiti che appartengono alle seguenti aree:
- Supply Chain Security
- Data Protection
- Cryptography
- Authentication and Session Management
- Network Security
- Operating System and Application Platform Interaction
- Code Quality and Integrity