▾ G11 Media: | ChannelCity | ImpresaCity | SecurityOpenLab | Italian Channel Awards | Italian Project Awards | Italian Security Awards | ...

App di contact tracing poco sicure, ecco le prove

Esperti di protezione delle applicazioni mobili hanno analizzato 17 app di contact tracing e hanno rilevato gravi carenze di cyber security.

Business Consumer Vulnerabilità
Le app di contact tracing non sono abbastanza sicure. A dirlo è Guardsquare, azienda specializzata nella protezione delle applicazioni mobili. Ha passato al setaccio 17 applicazioni di tracciamento per Android in altrettanti in Europa, Asia-Pacifico, Medio Oriente e Americhe. Denominatore comune è che tutte sono state create da enti governativi o da appaltatori di terze parti, esattamente come Immuni.

Gli elementi di valutazione sono stati la protezione avanzata del codice e il RASP (Runtime Application Self-Protection). Nel primo gruppo sono stati valutati quattro elementi: l'offuscamento dei nomi e la crittografia su vari livelli. L'offuscamento nasconde gli identificatori nel codice dell'applicazione per impedire ai cyber criminali l'analisi del codice sorgente e il reverse engineering.
immuniLa crittografia delle informazioni riservate incluse nel codice sorgente, come le API e le chiavi crittografiche, impedisce di estrarle. La crittografia degli asset e delle risorse impedisce ai criminali informatici di riutilizzarle. Infine, la class encryption serve a impedire agli attaccanti di entrare in possesso di informazioni sulla logica interna delle applicazioni.

Nell'ambito del RASP sono invece stati valutati la root detection e l'emulator detection. La prima serve per impedire ai cyber criminali di usare il "root" di un dispositivo per bypassare la sandbox dell'applicazione Android e condurre azioni non approvate. L'emulator detection impedisce di eseguire le applicazioni su dispositivi virtuali. I cyber criminali usano questa tecnica per ottenere informazioni sul funzionamento di un'applicazione.

I voti alla sicurezza

Usando i parametri indicati sopra, il verdetto di Guardsquare è impietoso: la maggior parte delle app di contact-tracing analizzate non beneficia di sufficienti protezioni di sicurezza. Fra quelle analizzate, molte sono facili da decompilare e attaccare. È persino semplice creare cloni falsi.
contact tracing regionComplessivamente, solo il 41% dispone di una root detection e di un certo livello di offuscamento del nome. Solo il 29% offre la crittografia delle stringhe e solo il 18% include un emulator detection. La crittografia di asset/risorse e la class encryption sono rintracciabili nel 6% delle app analizzate. Solo una app aveva una protezione adeguata.

A livello Europeo i dati peggiorano. Il 25% include un qualche livello di offuscamento del nome. Nessuna app beneficia della crittografia di asset /risorse e della class encryption. La root detection è presente nel 37,5% delle app, l'emulator nel 25%.

Quali sono i rischi

I parametri scelti non sono casuali. Come aveva sottolineato Check Point Software Technologies, il rischio maggiore è che le applicazioni vengano manomesse o copiate e trasformate in "app fake" ampiamente scaricate dai cittadini.

La posta in gioco è alta perché basta un singolo incidente di sicurezza di alto profilo per rovinare la fiducia in un'app. Dato che sono i Governi ad avere voluto e creato le app (direttamente o tramite terzi), un problema di cyber security delle app può erodere la fiducia dei cittadini anche nel Governo. Oltre che innalzare i rischi per la salute pubblica. 

Secondo Guardsquare questo aspetto è stato ampiamente sottovalutato dagli sviluppatori. Queste app possono permettere agli attaccanti di interferire con le applicazioni, diffondere false informazioni, instillare paura. E l'eventuale furto o esposizione dei dati sensibili potrebbe non essere fine a sé stesso, ma funzionale a campagne di destabilizzazione dei Governi.

La fretta è cattiva consigliera

Tutti i problemi, secondo Guardsquare, sono da ricondurre alla fretta. I Paesi si sono affrettati a sviluppare app di contact tracing per capire i meccanismi di diffusione del virus e contenerne la diffusione. Il tracciamento fa parte di una serie collaudata di strategie per combattere malattie come il coronavirus.

L'urgenza di rendere disponibili queste applicazioni è quindi chiara: prima arrivano, maggiori possibilità ci sono di rallentare la diffusione del COVID-19. Però i ricercatori ammoniscono: non bisogna sacrificare la sicurezza a favore della velocità, perché si incorre in rischi reali.

cyberwerfare
Proprio per l'importanza delle app di contact tracing e per l'auspicata diffusione, è fondamentale tutelare la privacy degli utenti. L'etica di sviluppo dev'essere "privacy by design". Occorrono maggiori livelli di sicurezza, e la combinazione delle tecniche indicate per la protezione avanzata del codice.

Spetta ai Governi, che le hanno sponsorizzate, garantire che il codice delle app sia adeguatamente protetto e che le informazioni sugli utenti siano salvaguardate. Il fatto che in molti casi lo sviluppo delle app sia stato affidato a terzi non assolve i Governi dalle loro responsabilità.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.
Rimani sempre aggiornato, seguici su Google News! Seguici

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter