Il 71 percento delle app sanitarie e mediche ha almeno una
grave vulnerabilità di sicurezza che potrebbe portare a una violazione dei dati. L'85 percento delle
app di monitoraggio anti COVID-19 ispezionate è soggetta alla perdita di dati. Sono due dei dati pubblicati da Intertrust nel
Security report on global mHealth apps 2020.
Le cifre sono frutto dell'analisi accurata di 100 app sanitarie mobili per iOS e Android disponibili globalmente, che rientrano nelle categorie telemedicina,
dispositivi medici, commercio sanitario e COVID. Tutte le app sono state analizzate utilizzando una serie di tecniche SAST (Static Application Security Testing) e DAST (Dynamic Application Security Testing) conformi alle linee guida sulla sicurezza delle app per dispositivi mobili.
Crittografia questa sconosciuta
I dati preoccupanti non finiscono qui. Sempre secondo lo stesso report, il 91% delle app analizzate
fallisce uno o più test crittografici. Significa che la crittografia utilizzata per proteggere le informazioni memorizzate nella stragrande maggioranza delle app mediche è mal gestita e/o debole, e di conseguenza espone all'esposizione dei dati.
Nel dettaglio, le app vulnerabili all'estrazione della chiave di crittografia sono il 34% nel caso di Android e il 28% di quelle iOS. Questo espone ad alti rischi i dati riservati dei pazienti. Inoltre permette agli eventuali attaccanti di
manomettere i dati segnalati, e nel caso delle app per il tracciamento COVID potrebbe scatenare il panico.
A proposito di COVID, l'83% delle minacce di alto livello individuate nei test
si sarebbe potuto evitare adottando tecnologie di protezione delle applicazioni come l'offuscamento del codice, il rilevamento delle manomissioni e la crittografia white-box. Cosa che, evidentemente, non è stata fatta.
Inoltre, i cyber criminali potrebbero sfruttare le vulnerabilità crittografiche per
inviare comandi illegittimi a dispositivi medici connessi, mettendo a rischio la salute dei pazienti. O ancora utilizzare in altro modo l'applicazione per scopi dannosi.
Archiviazione dei dati
Proseguendo con il report, si apprende che la maggior parte delle app mHealth contiene diversi problemi di sicurezza con l'archiviazione dei dati. Ad esempio, il 60% delle app Android testate memorizza le informazioni in SharedPreferences, lasciando i dati non crittografati facilmente leggibili e modificabili da parte di utenti malintenzionati e di app dannose.
Le conclusioni
La prima conclusione dello studio è che le app mediche necessitano di maggiore sicurezza. I dati pubblicati devono servire da monito perché una situazione del genere non si ripeta. Il report vuole quindi essere una
spinta per rimodellare la sicurezza delle app sanitarie. In primis quelle del tracciamento per i contagi da COVID-19, che in questo momento sono di grande rilevanza.
Bill Horne, CTO di Intertrust, sottolinea che "purtroppo, c'è una storia di vulnerabilità di sicurezza nello spazio sanitario e medico. Le cose stanno migliorando, ma c'è ancora molto lavoro da fare". In particolare, le aziende che producono app sanitarie devono impiegare assiduamente
le strategie e le tecnologie di protezione delle applicazioni che sono disponibili, e che possono aiutare a migliorare la sicurezza delle loro app.