.
L’uso di applicazioni mobili per erogare servizi è sempre più consolidato ma richiede, se possibile, cautele ancora maggiori rispetto alle applicazioni Web o a quelle tradizionali. I servizi di mobile penetration testing e vulnerability assessment di CryptoNet Labs possono verificare la sicurezza e le vulnerabilità di qualsiasi tipo di applicazione mobile.
Le mobile app sono ormai estremamente diffuse come i device da cui prendono il nome. Possono essere utilizzate per erogare servizi, al pubblico o a un’utenza selezionata. Con vantaggi evidenti: facilità d’uso, disponibilità immediata, contatto costante, rafforzamento del brand, servizi personalizzati e geolocalizzati.
Ma così come l’app è una comoda porta di accesso ai digital asset dell’organizzazione, ne può diventare anche un punto di vulnerabilità: per la proprietà intellettuale contenuta, per la sua funzione di nodo esterno della rete.
Effettuare un assessment di sicurezza completo sulle App prodotte o distribuite, prima che queste raggiungano il mercato permette di identificare in modo efficace e tempestivo eventuali debolezze, prima che queste diventino critiche e comportino danni economici o di immagine all’azienda.
Come funziona il Mobile penetration testing
Il servizio di Mobile App Penetration Test di CryptoNet Labs ha lo scopo di emulare un attacco che ricerca e individua queste vulnerabilità per sfruttarle a proprio vantaggio. Lo scopo di un security pen test di questo tipo infatti è quello anticipare i tentativi di attacco che malintenzionati o concorrenti sleali potrebbero tentare una volta che la App è stata introdotta sul mercato.
Gli esperti di CryptoNet Labs esaminano sia l’app nel suo ambiente (il device) sia l’interazione con i sistemi di back-end, verificando l’efficacia delle protezioni messe in campo sia in base alla conoscenza delle vulnerabilità note, sia testando sul campo eventuali interazioni critiche specifiche della App analizzata.
Per la maggiore efficacia ed efficienza è indispensabile che tutti i security pen test sulle applicazioni mobili vengano effettuati prima della distribuzione, o prima del rilascio di una nuova versione, in modo da ottimizzare lo sforzo e non dover ricorrere a distribuzioni o deployment di emergenza in seguito all’identificazione di falle o debolezze.
Come avviene il Mobile penetration testing
Il test è eseguito mediante analisi statica e dinamica sul codice, applicando tecniche di reverse engineering, intercettando le chiamate al sistema operativo e a tutte le connessioni rete.
Inoltre gli esperti di CryptoNet Labs verificano ogni meccanismo di validazione degli input analizzano la sicurezza del back-end, utilizzando tutto il set di tecniche note per ogni livello logico del processo di funzionamento dell’App. Fra le tecniche utilizzate troviamo per esempio Offensive Security a livello Network e a livello di Web Services.
A seguito dei risultati ottenuti dal Mobile Penetration testing, CryptoNet Labs fornisce un report completo, nel quale vengono suggerite le contromisure adeguate. In fasi successive è possibile per gli esperti e i tecnici intervenire attivamente, per esempio affiancando l’azienda cliente con tecniche di protezione delle Applicazioni mobili come l’offuscamento del codice o la crittografia delle stringhe. Questi servizi costituiscono il passo naturalmente successivo qualora vengano identificate criticità o debolezze nella App
Chi ne può beneficiare
Qualsiasi azienda o organizzazione che faccia uso di mobile app, sviluppate internamente o esternamente. Il Mobile penetration testing è lo strumento giusto con cui validare quanto fornito da terze parti e minimizzare il rischio di attacchi su dispositivi e sistemi spesso non controllati direttamente dalle risorse IT interne all’azienda.