Cos'è?
Con l’aumento dell’uso delle applicazioni mobili per la fornitura di servizi, emerge la necessità di adottare misure di sicurezza più rigorose rispetto a quelle per le applicazioni web o tradizionali. I servizi di Safecore per il penetration testing e il vulnerability assessment delle applicazioni mobili sono progettati per esaminare la sicurezza e individuare le vulnerabilità in ogni tipo di applicazione mobile.
Il servizio di Mobile Application Security Testing offerto da Safecore, un’analisi di sicurezza applicativa per le piattaforme iOS e Android, è personalizzabile a seconda del linguaggio di programmazione utilizzato nello sviluppo delle app native, come Objective-C, Swift, Java o Kotlin, o di quelle create con framework ibridi quali React, React Native, Cordova, Xamarin, Titanium Appcelerator, Ionic o PhoneGap.
Perchè scegliere un servizio di Mobile App Penetration Testing?
Perchè proteggere le App?
Le mobile app sono ormai estremamente diffuse come i device da cui prendono il nome. Possono essere utilizzate per erogare servizi al pubblico o ad un’utenza selezionata, con vantaggi evidenti: facilità d’uso, disponibilità immediata, contatto costante, rafforzamento del brand, servizi personalizzati e geolocalizzati.
Sono molte le aziende che hanno investito in applicazioni mobile, ma spesso c’è poca attenzione alla sicurezza in quanto sono meno note le vulnerabilità e le relative possibilità di attacco da parte di un utente malevolo.
Ma così come l’app è una comoda porta di accesso ai digital asset dell’organizzazione, ne può diventare anche un punto di vulnerabilità: per la proprietà intellettuale contenuta e per la sua funzione di nodo esterno della rete.
Il team di Safecore si tiene costantemente aggiornato riguardo gli ultimi sviluppi di Mobile Security, sia dal punto di vista dell’attaccante che dello sviluppatore che deve difendere l’applicazione. Safecore fornisce il miglior servizio di analisi possibile per i propri clienti tramite l’utilizzo di tecniche manuali e tool avanzati.
L'obiettivo di un Mobile App Penetration Testing
SCOPO
Realizzare un’analisi di sicurezza completa sulle applicazioni sviluppate o messe in circolazione, prima del loro lancio sul mercato, è fondamentale per rilevare in modo efficace e tempestivo le potenziali debolezze, evitando che si trasformino in problemi seri che possono danneggiare economicamente o rovinare la reputazione dell’azienda.
È consigliabile che le organizzazioni eseguano test di penetrazione sulle app mobili per identificare e risolvere le vulnerabilità che potrebbero minare la sicurezza dell’applicazione stessa, dei dati trattati o delle API utilizzate. Questi test andrebbero effettuati in un ambiente di test specifico, all’inizio della fase di rilascio nel ciclo di vita dello sviluppo software. Dopo aver completato i test di penetrazione e risolto le vulnerabilità, l’app e i relativi servizi web sono pronti per il passaggio alla fase di produzione.
Aree di interesse e report finale
Un’applicazione può essere una comoda porta di accesso ai digital asset di un’organizzazione, ma allo stesso tempo rappresenta anche un possibile punto di vulnerabilità.
AREE DI INTERESSE
- Valutazioni complete che aderiscono al OWASP Mobile App Testing
- Valuta sia l’app stessa che l’infrastruttura di supporto dietro di essa; gestione delle sessioni, crittografia, sanificazione degli input e altro ancora.
- Analisi dinamica e manipolazione delle chiamate API web
- Analisi manuale e semiautomatica del codice statico.
REPORT FINALE
- Rapporto completo sui risultati della sicurezza, che descrive in dettaglio gli strumenti e i metodi utilizzati durante i test
- Executive briefing per discutere gli scenari di impatto aziendale
- Briefing tecnico per l’analisi delle cause alla radice e la risoluzione delle vulnerabilità sfruttabili
- Testare gli artefatti per consentire la convalida degli sforzi di correzione
Come funziona il mobile penetration testing
Il servizio di Mobile App Penetration Test di Safecore ha lo scopo di emulare un attacco che ricerca e individua queste vulnerabilità per sfruttarle a proprio vantaggio. Lo scopo di un security pen test di questo tipo infatti è quello anticipare i tentativi di attacco che malintenzionati o concorrenti sleali potrebbero tentare una volta che la App è stata introdotta sul mercato.
Gli esperti di Safecore esaminano sia l’app nel suo ambiente (il device) sia l’interazione con i sistemi di back-end, verificando l’efficacia delle protezioni messe in campo sia in base alla conoscenza delle vulnerabilità note, sia testando sul campo eventuali interazioni critiche specifiche della App analizzata.
Per la maggiore efficacia ed efficienza è indispensabile che tutti i security pen test sulle applicazioni mobili vengano effettuati prima della distribuzione, o prima del rilascio di una nuova versione, in modo da ottimizzare lo sforzo e non dover ricorrere a distribuzioni o deployment di emergenza in seguito all’identificazione di falle o debolezze.
Come avviene il mobile Penetration test?
Il test è eseguito mediante analisi statica e dinamica sul codice, applicando tecniche di reverse engineering, intercettando le chiamate al sistema operativo e a tutte le connessioni rete.
Inoltre gli esperti di Safecore verificano ogni meccanismo di validazione degli input analizzano la sicurezza del back-end, utilizzando tutto il set di tecniche note per ogni livello logico del processo di funzionamento dell’App. Fra le tecniche utilizzate troviamo per esempio Offensive Security a livello Network e a livello di Web Services.
A seguito dei risultati ottenuti dal Mobile Penetration testing, Safecore fornisce un report completo, nel quale vengono suggerite le contromisure adeguate. In fasi successive è possibile per gli esperti e i tecnici intervenire attivamente, per esempio affiancando l’azienda cliente con tecniche di protezione delle Applicazioni mobili come l’offuscamento del codice o la crittografia delle stringhe. Questi servizi costituiscono il passo naturalmente successivo qualora vengano identificate criticità o debolezze nella App.
Chi ne può beneficiare?
Ogni impresa o ente che utilizza app mobili, create all’interno dell’organizzazione o sviluppate esternamente.
Il Mobile Penetration Testing è il metodo ideale per confermare l’affidabilità di ciò che viene offerto da terze parti e per ridurre il rischio di attacchi su dispositivi e sistemi che, frequentemente, non sono sotto il controllo diretto del personale IT interno all’azienda.
