Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Uno studio su 100 app di incontri, ha rivelato un quadro inquietante: sono state rilevate quasi 2.000 vulnerabilità, il 17% delle quali è stato classificato come critico. L’analisi è stata condotta da AppSec Solutions.
I risultati dello studio sono stati pubblicati da Vedomosti. Come ha spiegato alla rivista Nikita Pinaev, responsabile dell’analisi della sicurezza di AppSec Solutions, un altro 23% delle vulnerabilità identificate è stato classificato come di gravità media, mentre il 14% è stato classificato come di gravità bassa.
 Cybersecurity Awareness efficace? Scopri BETTI RHC! Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Red hot cyber ha sviluppato da diversi anni una Graphic Novel (giunta al sesto episodio), l'unica nel suo genere nel mondo, che consente di formare i dipendenti sulla sicurezza informatica attraverso la lettura di un fumetto. Contattaci tramite WhatsApp al numero 375 593 1011 per saperne di più e richiedere informazioni oppure alla casella di posta graphicnovel@redhotcyber.com
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
I problemi rimanenti rientrano nella categoria Info o rappresentano errori organizzativi, di rete, logici e di altro tipo. Secondo Nikita Pinaev, il problema critico più comune era l’archiviazione di dati sensibili direttamente nel codice sorgente: questo errore è stato identificato in 22 applicazioni. In altri 46 casi, le credenziali, inclusi login, password e token, sono state trasmesse in chiaro.
In 12 applicazioni, le vulnerabilità erano correlate a errori di autenticazione e gestione delle sessioni e, in 40 casi, a una configurazione o a un funzionamento improprio dei servizi cloud. Andrey Sobolevsky, sviluppatore mobile presso EvApps, ha osservato in un commento a Vedomosti che, in media, una singola app mobile contiene dalle 20 alle 30 vulnerabilità.
Queste sono spesso legate a un’archiviazione dei dati non sicura, a meccanismi di identificazione e autenticazione degli utenti deboli e a iniezioni SQL. Secondo Anton Prokofiev, responsabile del supporto operativo per la piattaforma Solar appScreener di Solar Group, le vulnerabilità delle app mobili sono comuni e ampiamente indipendenti dal settore.
Le cause principali, riportano i ricercatori, sono la mancanza di test in fase di sviluppo e l’utilizzo di componenti open source non testati. Nikolai Anisenya, responsabile dello sviluppo di PT Maze presso Positive Technologies, ha aggiunto che l’utilizzo di strumenti per ostacolare il reverse engineering ridurrebbe il numero di vulnerabilità rilevate di circa il 40% e persino della metà in alcune categorie di applicazioni.
Anton Prokofiev ha anche osservato che le cinque categorie di vulnerabilità più comuni nelle app di massa, che oltre agli incontri, includono la consegna di cibo a domicilio, lo shopping online e i servizi farmaceutici, sono cinque:
Tali vulnerabilità sono presenti in tre applicazioni su quattro e aprono la strada ad attacchi MITM (man-in-the-middle), in cui un aggressore si infiltra nel canale di comunicazione.
Questo, a sua volta, può portare alla fuga di dati degli utenti. Dmitry Ovchinnikov, Information Security Architect di UserGate uFactor, ha osservato che uno dei principali pericoli di tali attacchi è la loro invisibilità agli occhi degli utenti.
Inoltre, gli aggressori possono non solo rubare dati, ma anche accedere a funzionalità nascoste dell’app e utilizzare queste informazioni in altri attacchi, anche mirati. Vladimir Ivanov, Information Security Engineer di Spicatel, ha anche avvertito che gli stalker, ad esempio, potrebbero sfruttare le funzionalità delle app di incontri per spiare gli utenti.
Secondo AppSec Solutions, il 70% delle app mobili presenta vulnerabilità. Gli aggressori le sfruttano attivamente per monetizzare l’accesso tramite phishing, attacchi di massa su larga scala, estorcendo denaro per servizi inesistenti e abusando degli account e degli abbonamenti a pagamento di altri utenti.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
