Luca Galuppi : 19 Dicembre 2024 17:01
Nel mondo delle app, la leggerezza dovrebbe essere un obiettivo primario, soprattutto per le applicazioni bancarie che gestiscono informazioni sensibili. Eppure, l’analisi condotta da Emerge Tools ha svelato un’anomalia preoccupante: l’app di Banca Intesa per iOS occupa ben 700 MB di spazio, un valore abnorme per un’app di questo tipo.
Un’app che, oltre a essere troppo “pesante” (si parla infatti di bloatware in gergo tecnico), nasconde anche una curiosa e potenzialmente problematica scoperta: un misterioso file audio denominato “rutto.mp3”.
Nel contesto delle applicazioni bancarie, la sicurezza è fondamentale. Ma la dimensione e l’architettura dell’app hanno un impatto diretto anche sulle performance di sicurezza. Con un 64% dello spazio occupato da framework dinamici, il codice diventa vulnerabile a exploit se non ottimizzato correttamente.
 CALL FOR SPONSOR - Sponsorizza la Graphic Novel Betti-RHC Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Framework di grandi dimensioni e codice non necessario sono una porta aperta per potenziali attacchi, oltre ad aggravare la gestione delle risorse e la stabilità dell’app.
L’inclusione di file di dimensioni non giustificate, e il file “rutto.mp3”, sebbene apparentemente innocuo, suggerisce una mancanza di rigore nella gestione dei contenuti. Tutto questo potrebbe essere un campanello d’allarme per gli esperti di sicurezza, che devono considerare anche i rischi derivanti da file non strettamente necessari.
Se un’app non è in grado di gestire correttamente file o risorse di minore impatto, come possiamo aspettarci che gestisca adeguatamente dati sensibili o transazioni finanziarie?
Questo episodio di bloatware, dove l’applicazione cresce senza controllo, non è un caso isolato. Vi rimandiamo al nostro articolo sul bloatware per comprendere meglio il fenomeno e comprendere come eliminarlo dalle applicazioni.
Con l’inserimento di nuove funzionalità senza un’adeguata razionalizzazione del codice esistente, le app diventano sempre più difficili da manutenere e vulnerabili a possibili attacchi. Il bloatware non solo rallenta i dispositivi e peggiora l’esperienza utente, ma aumenta anche la superficie di attacco. Ogni nuova funzionalità non ottimizzata è un’opportunità in più per gli hacker criminali di sfruttare eventuali vulnerabilità.
La gestione delle risorse in modo efficiente non è solo una questione di prestazioni, ma una parte integrante della sicurezza complessiva dell’app. Il codice superfluo e non verificato potrebbe infatti mascherare potenziali minacce.
Non si tratta quindi solo di prestazioni e sicurezza: il bloatware, se non gestito adeguatamente, può compromettere anche l’immagine di un’azienda. Un’app troppo pesante o poco ottimizzata può far sorgere dubbi nei consumatori riguardo alla competenza tecnica dell’azienda. Per una banca, questo significa mettere a rischio la fiducia degli utenti, che potrebbero chiedersi se anche la sicurezza delle loro informazioni sia trattata con la stessa disattenzione.
Per Banca Intesa, e per tutte le aziende che sviluppano app mobile, l’adozione di una strategia focalizzata sull’efficienza e sulla sicurezza e prestazioni, eliminando il codice e i file inutili, è essenziale. Un’app ottimizzata non solo migliora l’esperienza dell’utente, ma riduce anche le superfici di attacco, limitando il rischio di vulnerabilità.
Eliminare elementi superflui, come il famoso “rutto.mp3”, non sarebbe solo un segno di attenzione verso gli utenti, ma un passo verso una sicurezza più solida e una maggiore efficienza operativa.
Come nostra consuetudine, lasciamo sempre spazio ad un commento da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.
Luca GaluppiROMA – La profonda crisi istituzionale che ha investito l’Autorità Garante per la Protezione dei Dati Personali ha spinto Guido Scorza, componente del Collegio, a un intervento pubblico mirato a ...
Negli ultimi anni, il panorama della sicurezza informatica in Italia ha visto una preoccupante escalation di attacchi, con un aumento significativo dei crimini informatici. Un fenomeno particolarmente...
Quest’autunno, abbiamo avuto un bel po’ di grattacapi con il cloud, non so se ci avete fatto caso. Cioè, AWS, Azure, e dopo Cloudflare. Tutti giù, uno dopo l’altro. Una sfilza di interruzioni ...
Il CERT-AGID ha rilevato recentemente una sofisticata campagna di phishing mirato che sta prendendo di mira gli studenti dell’Università di Padova (UniPd). L’operazione, ancora in corso, sfrutta ...
Gli esperti del Group-IB hanno presentato un’analisi dettagliata della lunga campagna di UNC2891, che ha dimostrato la continua sofisticatezza degli schemi di attacco agli sportelli bancomat. L’at...
