May 24, 2022

PAPERS

A volte la vita ti colpirà alla testa con un mattone

La mancanza di attenzione da parte degli sviluppatori alla sicurezza del cloud richiede avvisi

La scoperta di 23 applicazioni Android che perdono da parte di Check Point Research (CPR) – che potrebbero, collettivamente, aver messo il dati personali di oltre 100 milioni di utenti a rischio – ha richiesto nuovi avvisi e promemoria su quanto sia fondamentale per gli sviluppatori di software tenersi al corrente di potenziali errori di sicurezza.

Check Point ha affermato di aver trovato dati sensibili e disponibili pubblicamente da database in tempo reale in 13 app Android, con tra 10.000 e 10 milioni di download ciascuna, e chiavi di notifica push e cloud storage incorporate in molte delle stesse app. Le app vulnerabili includevano app per astrologia, taxi, creazione di loghi, registrazione di schermate e fax, mentre i dati esposti includevano e-mail, messaggi di chat, metadati di posizione, password e foto.

In ogni caso, l’esposizione è avvenuta a causa del mancato rispetto delle migliori pratiche durante la configurazione e l’integrazione servizi cloud di terze parti nelle applicazioni. CPR ha contattato Google e tutti i fornitori di app prima della divulgazione, alcuni dei quali da allora hanno bloccato le loro istanze esposte.

“I dispositivi mobili possono essere attaccati in modi diversi. Ciò include il potenziale per app dannose, attacchi a livello di rete e sfruttamento delle vulnerabilità all’interno dei dispositivi e del sistema operativo mobile”, ha affermato il team CPR in un blog di divulgazione.

“Man mano che i dispositivi mobili diventano sempre più importanti, hanno ricevuto ulteriore attenzione da parte dei criminali informatici. Di conseguenza, le minacce informatiche contro questi dispositivi sono diventate più diversificate. Una soluzione di difesa mobile efficace dalle minacce deve essere in grado di rilevare e rispondere a una varietà di attacchi diversi, fornendo un’esperienza utente positiva “.

Veridium Il direttore operativo Baber Amin ha affermato che l’utente Android medio non avrebbe mai avuto la capacità tecnica di valutare ogni elemento delle app che ha scaricato, e poiché il problema è una delle regole di accesso mal configurate al back-end, non c’era essenzialmente nulla che potesse fare. Tuttavia, gli utenti sono ancora quelli che subiranno l’esposizione dei propri dati.

“Man mano che i dispositivi mobili diventano sempre più importanti, hanno ricevuto ulteriore attenzione da parte dei criminali informatici. Di conseguenza, le minacce informatiche contro questi dispositivi sono diventate più diversificate ”

Check Point Research

“Poiché il risultato finale è la fuga di informazioni, che include anche le credenziali, una cosa su cui gli utenti hanno il controllo è buona igiene delle password“, Ha detto Amin.

“Gli utenti possono proteggersi in una certa misura con uno dei seguenti: non riutilizzando le password; non usare password con schemi ovvi; tenere d’occhio i messaggi di altri servizi che utilizzano durante i tentativi di accesso, i tentativi di reimpostazione della password o i tentativi di recupero dell’account; chiedere al proprietario dell’applicazione di supportare opzioni senza password, chiedere allo sviluppatore dell’applicazione di supportare la biometria nativa sul dispositivo, cercare applicazioni alternative che abbiano dichiarato pratiche di sicurezza e privacy, chiedere a Google e Apple di fare più due diligence sulla sicurezza di back-end del applicazioni che consentono sul loro marketplace”.

Tom Lysemose Hansen, chief technology officer della società di sicurezza delle app con sede in Norvegia Promon, ha affermato che i risultati di Check Point sono stati, nel complesso, deludenti, in quanto hanno evidenziato “errori da principianti” nella comunità degli sviluppatori.

“Anche se sarebbe ingiusto aspettarsi che qualcuno non commetta mai errori, questo è più di un caso una tantum. I dati delle app dovrebbero essere sempre protetti. E ‘così semplice. Non offuscato o nascosto, ma protetto “, ha detto.

“L’accesso ai messaggi degli utenti è già abbastanza grave, ma non è la cosa peggiore. Se un utente malintenzionato trova un modo per accedere alle chiavi API, ad esempio, può facilmente estrarle e creare app false che impersonano quelle reali per effettuare chiamate API arbitrarie o accedere in altro modo all’infrastruttura back-end di un’app per raccogliere informazioni dai server.

“Questi tipi di attacchi possono provocare gravi violazioni dei dati e, a parte le multe associate, possono avere effetti dannosi sulla reputazione del marchio”, ha aggiunto Hansen.

Trevor Morgan, product manager presso conforto AG, ha affermato che la maggiore superficie di attacco consentita dagli ambienti cloud ha reso la sicurezza più difficile per le aziende che si affidano a loro.

“Con una strategia ibrida e multicloud, i dati vengono dispersi su più cloud e nei propri data center. La sicurezza dei dati diventa ancora più difficile da gestire man mano che la complessità dell’infrastruttura cloud cresce”, ha affermato.

“In combinazione con una moderna cultura DevOps, le configurazioni errate e i requisiti di sicurezza generali che vengono trascurati o completamente ignorati stanno diventando all’ordine del giorno”, ha affermato.

“In combinazione con una moderna cultura DevOps, le configurazioni errate e i requisiti di sicurezza generali che vengono trascurati o completamente ignorati stanno diventando all’ordine del giorno”

Trevor Morgan, comforte AG

Poiché per il corretto funzionamento di molte app sono necessari dati potenzialmente sensibili, in particolare quelli che generano entrate, la protezione dei dati deve essere una parte importante del processo di sviluppo e del quadro generale di protezione, ha affermato Morgan.

Ha consigliato agli sviluppatori di adottare pratiche di sicurezza incentrate sui dati per proteggere i dati anche se altri livelli di sicurezza falliscono o vengono aggirati, e ha affermato che coloro che utilizzano tecnologie come la tokenizzazione e la crittografia a conservazione del formato erano in una posizione molto migliore per garantire che un incidente come un un servizio cloud configurato in modo errato non si trasforma necessariamente in una vera e propria violazione dei dati.

Ma Chenxi Wang, socio accomandatario dello specialista in investimenti in sicurezza Capitale della pioggia e un ex vicepresidente della ricerca di Forrester, ha detto che la colpa non dovrebbe ricadere interamente sugli sviluppatori dell’app.

“Gli sviluppatori non sempre sanno le cose giuste da fare per quanto riguarda la sicurezza. Le piattaforme di app come Google Play e Apple Appstore devono fornire test più approfonditi, oltre a incentivare il comportamento corretto degli sviluppatori per creare sicurezza fin dall’inizio”, ha affermato Wang.

“Questa scoperta sottolinea l’importanza del test e della verifica delle app incentrati sulla sicurezza”, ha aggiunto.