Mobile Application Security e OWASP
I dispositivi mobile diventano sempre di più parte fondamentale, non soltanto della vita privata, ma anche di quella aziendale di tutti i dipendenti. Questo comporta un notevole aumento della superficie di attacco da tenere sotto controllo, quindi occorre essere consapevoli, e costantemente aggiornati, sugli eventuali rischi di CyberSecurity che si corrono su ogni piattaforma.
Tra le variabili che influiscono notevolmente sul concetto di security mobile trova posto la possibilità di un dispositivo di essere smarrito o rubato più facilmente, oltre al fatto che un dispositivo mobile possa essere sbloccato da parte di un utente mediante operazioni di “root” o “jailbreak”, consentendo di esercitare il controllo totale del dispositivo. Attraverso questa pratica l’utente potrà effettuare tutte le operazioni che desidera come, ad esempio, l’installazione di applicazioni non presenti sugli store ufficiali o la modifica di applicazioni esistenti, aumentando però in maniera esponenziale le possibilità di un attacco sul proprio dispositivo ormai privo di quelle protezioni integrali fornite dalla casa madre.
Per risolvere queste problematiche, oltre che a consigliare un utilizzo più consapevole dei dispositivi Mobile da parte dell’utente attraverso aggiornamenti continui, patch, sistemi di lock del device con codici e la sola installazione di applicazioni provenienti dagli store certificati, è opportuno che le applicazioni mobile stesse siano implementate in maniera sicura.
In questo senso OWASP (Open Web Application Security Project), iniziativa open-source internazionale avviata nel 2001, e in particolare il progetto relativo al mobile (MASVS – Mobile Application Security Verification Standard), si rivela estremamente utile attraverso una vera e propria guida (Testing Guide) che fornisce indicazioni di sicurezza e si occupa di definire tutte le linee per lo sviluppo di applicazioni mobile sicure, elencando una serie di test da effettuare.
Alcuni esempi contenuti nella guida sono:
- Tutti i dati dell’utente devono essere cifrati
- Comunicazione con il back-end mediante l’utilizzo del pinning del certificato
- Controlli per evitare l’esecuzione dell’applicazione su dispositivi “rooted”
- Controlli per evitare la manomissione dell’applicazione
Inoltre, sono definiti due livelli di verifiche della sicurezza, MASVS-L1 e MASVS-L2, e un livello di resilienza MASVS-R per il reverse engineering.
Il livello MASVS-L1 indica una serie di controlli generali che tutte le applicazioni dovrebbero implementare; il livello MASVS-L2 indica dei controlli più profondi; il livello MASVS-R è invece adatto alle applicazioni che oltre a gestire dati sensibili, devono evitare un uso improprio dell’applicazione stessa. Questi ultimi controlli servono infatti a rallentare o scoraggiare un attaccante da operazioni di reverse engineering.
OWASP fornisce anche delle indicazioni precise sulla tipologia di applicazioni e la loro classificazione, come per esempio:
- MASVS-L1: security best practice che dovrebbero essere implementate da tutte le applicazioni, non intaccando l’usabilità, i costi e i requisiti di business.
- MASVS-L2: dovrebbero essere implementate da tutte le applicazioni di tipo sanitario e finanziario, ovvero tutte quelle applicazioni che gestiscono dati sensibili che potrebbero essere utilizzati per scopri illeciti come furto di identità.
- MASVS-L1 + R: la combinazione di L1 e R dovrebbe essere implementata da applicazioni che necessitano di proteggere la proprietà intellettuale o da videogame per i quali è necessario prevenire i tentativi di cheat da parte dei giocatori.
- MASVS-L2 + R: la combinazione di L2 e R dovrebbe essere implementata da applicazioni che permettono di effettuare pagamenti, di acquistare servizi “in-app” o applicazioni multipiattaforma che gestiscono dati sensibili.
OWASP rappresenta dunque non solo una guida pratica, ma anche una metodologia ormai diffusa e accreditata che si avvale di linee guida sempre aggiornate che costituiscono delle vere e proprie best practice per tutti i professionisti del settore. Seguire le procedure descritte in OWASP, infatti, rappresenta per il personale tecnico un prezioso aiuto nell’ambito della prevenzione di vulnerabilità di sicurezza, in generale, e del mobile, in particolare, le cui modalità, se correttamente utilizzate, possono ridurre considerevolmente i rischi security per l’intera azienda; per questo motivo anche il nostro Red Team si avvale di della metodologia OWASP, effettuando ogni verifica prevista dal framework in questione.