Per rispondere alle esigenze di un mercato in notevole espansione come quello delle applicazioni per dispositivi mobili, e per evidenziarne i problemi in settori critici come quello bancario, IKS ha realizzato uno studio che analizza il livello di sicurezza delle app per il Mobile Banking sul mercato italiano.
Il documento è il risultato di un’intensa attività di assessment effettuata su un campione di applicazioni rilasciate da istituti e società di servizi bancari italiani. Dalle analisi condotte, emerge come in poco tempo il numero di "mobile banking user" supererà quello degli "internet banking user", con la conseguenza di un aumento della probabilità di rischio di attacchi fraudolenti. Infatti, osserva IKS, linguaggi di programmazione diversi, sistemi operativi e architetture eterogenee non garantiscono la possibilità di avere un livello di sicurezza comune e, spesso, si tende a sottostimare i rischi legati al canale mobile.
Nello specifico, l’indagine svolta da IKS ha coinvolto dieci applicazioni di mobile banking, rilasciate da altrettanti importanti istituti bancari italiani, e disponibili nell’App Store di Apple nel periodo di settembre 2013. I principali criteri di analisi utilizzati riguardano la sicurezza run-time, la sicurezza dell’architettura, la Network Communication Security e la persistenza di file-system.
Il report evidenzia come il livello di attenzione verso l’aspetto della sicurezza run-time e verso gli elementi architetturali a rischio sia ancora piuttosto basso. Per quanto riguarda la robustezza delle comunicazioni verso il back-end, invece, nove applicazioni su dieci verificano l’origine del certificato SSL utilizzato, così come quasi tutte le app evitano la generazione di cache, tranne quella di sistema legata alle classi per gestire la connessione. I paragrafi seguenti illustrano in maggior dettaglio i risultati dello studio.
Lo scenario di riferimento
Il punto di partenza e la considerazione di base dello studio è che dall’avvento dell’iPhone, nel 2007,il mondo delle applicazioni mobile si è trasformato da un mercato di nicchia, limitato dalla frammentazione dei dispositivi, ad un mercato di punta, veicolato dalla creazione di una piattaforma di distribuzione dedicata, l’App Store, a cui han fatto seguito altri importanti player di mercato tra i quali Google.
Google Android ha già al suo attivo circa 50 miliardi di download di applicazioni con una diffusione delle sua piattaforma che copre circa l’80% del mercato mondiale dei dispositivi mobili e circa il 70% di share in Italia.
Si tratta di tassi di crescita che non potevano non essere considerate anche dagli Istituti Bancari, i quali si sono negli ultimi anni adoperati per sviluppare e rilasciare apposite applicazioni volte a permettere ai clienti di accedere tramite dispositivi mobili ai servizi finanziari o di pagamento, creando un nuovo canale, il mobile banking, affiancato al tradizionale canale di internet banking.
I numeri parlano da soli: 27 milioni di smartphone in Italia nel 2012, con proiezione di crescita costante e la stima che in pochi anni i "mobile banking user" supereranno gli "internet banking user". Tuttavia, evidenzia lo studio, un nuovo canale non ancora governato da standard di sicurezza adeguati risulta essere un canale a rischio, anche in considerazione dell’estrema eterogeneità delle piattaforme a disposizione. E' opportuno infatti considerare che il mondo dei dispositivi mobili implica diversità architetturali tra i vari sistemi e sostanziali differenze tra sistemi operativi e ambienti di sviluppo.
Linguaggi di programmazione diversi, sistemi operativi e architetture eterogenee rendono praticamente impossibile la garanzia di avere un livello di sicurezza comune, fornendo quindi la possibilità ai malintenzionati di avere un nuovo e vasto target a disposizione per perpetrare frodi online. Il trend del numero di attacchi condotti verso applicazioni mobile ne è una evidente prova. Se in ambito web la percezione dei rischi di sicurezza sono oramai diffusi, si tende a sottostimare, su molti livelli, i rischi legati al canale mobile. I motivi sono diversi. I più significativi, evidenzia IKS, sono:
- l’utente finale non percepisce i dispositivi mobili come oggetti critici per la privacy e la sicurezza di informazioni sensibili.
- l’utilizzo dei dispositivi mobile si presta a perdita o utilizzo in ambienti affollati, aumentando il rischio che informazioni sensibili possano entrare in possesso di sconosciuti.
- i sistemi operativi sono non sempre maturi dal punto di vista della sicurezza.
- la pressione di ricercatori e attaccanti sulle piattaforme è enorme.
In sintesi, si osserva, le problematiche specifiche delle piattaforme, la novità del tema e la scarsa preparazione degli sviluppatori mobile in ambito sicurezza, rendono alto il rischio di esposizione al fenomeno delle frodi.
Tutti gli elementi sembrano indicare le condizioni, secondo lo studio, per una tempesta perfetta: gli Istituti Bancari vogliono abilitare i propri servizi su canale mobile, ma quante delle banche stanno affrontando seriamente il tema della sicurezza dell’ambiente applicativo e dei dati memorizzati nel device? I dati nella seconda parte dell'articolo.