Fraunhofer SIT: enormi problemi alla sicurezza delle App

16 Dicembre 2013, di Redazione Wall Street Italia

Molte della popolari app Android presentano significativi problemi di sicurezza. Questo è il risultato a cui sono arrivati i ricercatori del Fraunhofer Institute for Secure Information Technology di Darmstadt, Germania (Fraunhofer SIT). Sfruttando le debolezze nelle modalità di utilizzo del protocollo SSL (Secure Sockets Layer), gli attacker possono rubare dati di accesso sensibili, come password e nomi utente. Fraunhofer SIT ha informato oltre 30 produttori di app affette da questo problema; ad oggi 16 hanno risolto i problemi di sicurezza. Tra questi Amazon, Yahoo, Google e Volkswagen Bank. Un elenco di tutte le app con gli aggiornamenti per la sicurezza è disponibile all’indirizzo www.sit.fraunhofer.de/en/appsecuritylist. Apps may pose a security risk (Photo: Business Wire) La minaccia alla sicurezza degli utenti dipende dalle specifiche app: per alcune app solo le foto personali sono a rischio; per le app bancarie l’accesso ai dati potrebbe essere utilizzato per trasferimenti di denaro non autorizzati. Rischi particolarmente elevato sono possibili per le app che usano servizi single-sign on di Google o Microsoft. In questi casi l’accesso ai dati è usato per una varietà di servizi, come e-mail e cloud storage. Questa vulnerabilità è causata da uno sbagliato uso del protocollo SSL. SSL protegge in modalità crittografata il collegamento tra le app e i server. Tale protezione è basata sui certificati chiamati public-key. Quando ricevono un certificato, le app dovrebbero verificare che appartiene effettivamente al server con cui devono comunicare. I ricercatori hanno scoperto che le app dell’elenco non verificano correttamente tale informazione. “Da un punto di vista tecnico si tratta di un piccolo errore, ma può avere un enorme impatto sulla sicurezza”, ha affermato il dott. Jens Heider del Fraunhofer SIT. Un attacker ha solo bisogno di manomettere la comunicazione che avviene mentre la vittima sta navigando in internet su una WLAN non protetta, p.e. in un aeroporto o in un ristorante. In tali situazioni la crittografia SSL dovrebbe assicurare la garanzia della comunicazione. “In linea di principio, la vulnerabilità si può eliminare molto facilmente”, stando a Heider, che con il suo team ha già informato i produttori di app diverse settimane fa chiedendo la soluzione al problema. Il team ha poi ricontrollato dopo ogni nuovo aggiornamento. “Gli utenti devono assicurarsi di aggiornare sempre le loro app alla versione più recente”, raccomanda Heider. La vulnerabilità è stata riscontrata durante una fase pilota della nuova fase di test Fraunhofer SIT “Appicaptor”, che testa automaticamente la sicurezza delle app. Fraunhofer SIT ha testato in totale 2.000 app Android. Il testo originale del presente annuncio, redatto nella lingua di partenza, è la versione ufficiale che fa fede. Le traduzioni sono offerte unicamente per comodità del lettore e devono rinviare al testo in lingua originale, che è l’unico giuridicamente valido. Photos/Multimedia Gallery Available: http://www.businesswire.com/multimedia/home/20131216006414/it/

Fraunhofer SITOliver Küch, +49 6151 869-213Direttore di Divisione, Comunicazione e [email protected]://www.sit.fraunhofer.de