App mobile, su iOS più vulnerabili che su Android

Le applicazioni sviluppate sui dispositivi iOS contengono mediamente più vulnerabilità rispetto a quelle per Android. Lo ha stabilito un nuovo report congiunto di Checkmark e AppSec Labs, che hanno sottolineato che in futuro ci saranno sempre più aggressori che sceglieranno proprio le applicazioni mobile come vettore dei propri attacchi. Le app mobile contengono in media 9 vulnerabilità, e sono mediamente più gravi sulla piattaforma Apple.

Su iOS infatti il 40% delle vulnerabilità presenti sulle applicazioni analizzate sono contrassegnate come critiche, o di alto livello, mentre su Android la percentuale è leggermente più bassa, pari al 36%. Per giungere a questi risultati, i ricercatori hanno preso come riferimento centinaia di applicazioni di tutti i tipi, come ad esempio utility, applicazioni di vendita, giochi, ma anche applicazioni per la gestione dei conti bancari. E anche queste ultime pare che contengano gravi vulnerabilità.

"Solitamente ci si aspetta che le applicazioni finanziarie siano più sicure, ma abbiamo scoperto che sono più o meno uguali alle altre", ha dichiarato durante il rilascio del report Amit Ashbel, product marketing manager di Checkmarx. La vulnerabilità più comune trovata dalle due firme, che occupa il 27% dei casi riscontrati, consente la perdita di dati sensibili. Il 23% dei casi è relativo a problemi su autenticazione e autorizzazione, e seguono con il 16% eventuali problemi di gestione delle impostazioni.

Hanno avuto un minor riscontro altri problemi comunque molto diffusi, come ad esempio le debolezze sugli algoritmi di crittografia utilizzati per la protezione dei dati integrati. Secondo Ashbel la presenza di vulnerabilità più gravi su iOS è data dal diffuso luogo comune per cui il sistema operativo di Apple è più sicuro rispetto ad Android. iOS ha controlli sui permessi più restrittivi e agli sviluppatori non sono concesse grosse libertà. In più, le applicazioni terze vengono eseguite su limitatissime sandbox.

Apple, infine, può rilasciare aggiornamenti di sicurezza senza affidarsi ad esponenti terzi. Tutte queste caratteristiche permettono agli sviluppatori di rilassarsi maggiormente nella stesura del codice per le applicazioni iOS, mettendo erroneamente in secondo piano il discorso sicurezza. Il che può non rappresentare un problema oggi, secondo Ashbel, ma potrebbe rappresentarlo un domani quando gli aggressori inizieranno ad utilizzare le applicazioni mobile come vettore dei propri attacchi.

"Possiamo paragonare il mondo mobile a quello del PC 15 anni fa", ha dichiarato infatti. "I tipi di attacchi che venivano lanciati su desktop 15 anni fa erano simili a quelli lanciati su iOS e Android oggi. Erano basati su malware e virus perché questi erano il canale più facile". Oggi, però, la maggior parte degli attacchi su PC e desktop avviene attraverso vulnerabilità nelle applicazioni e il cambiamento "è possibile anche su mobile".

"Vedremo presto che gli attacchi saranno effettuati sulle applicazioni", ha infine concluso. "E quando avverrà scopriremo che iOS sarà esposto tanto quanto lo sarà Android, e forse anche di più".