Android

Il 92% delle app finanziarie testate dal Google Play Store ha fatto trapelare dati sensibili

Il 92% delle app finanziarie testate dal Google Play Store ha fatto trapelare dati sensibili

Il 92% delle 650 app finanziarie ospitate su Google Play Store contiengono dati estraibili come le chiavi API (Application Programming Interface). I risultati provengono dal Mobile Threat Lab di Approov, che ha decodificato il codice dell’applicazione mobile delle app dei servizi finanziari ed è stato in grado di carpirne “segreti di alto valore”.

I dati API sensibili sono stati ottenuti in condizioni di test ottimali e includevano ricercatori
che utilizzavano una varietà di strumenti forensi e di pen test open source.

I dati sono stati ottenuti tramite l’analisi statica delle app e anche mentre il codice veniva eseguito sui dispositivi mobili.

Lo studio pubblicato, ha rilevato che, del 92% delle app che perdono, quasi un quarto di quelle ha versato dati “estremamente sensibili”, come le chiavi di autenticazione utilizzate per i pagamenti e i trasferimenti di conti monetari.

“Anche se le chiavi e i segreti non possono essere facilmente decodificati dal codice dell’app mobile, gli hacker possono avere un’altra opportunità per impossessarsi dei segreti in fase di esecuzione manipolando l’app, l’ambiente e/o i canali di comunicazione”, hanno scritto i ricercatori.

La ricerca di Approov si è concentrata sulle “200 migliori” app di servizi finanziari negli Stati Uniti,
nel Regno Unito, in Francia e in Germania dall’App Store di Google Play,
che consisteva in un totale di 650 applicazioni discrete.

I ricercatori hanno utilizzato strumenti open source come apk_api_key_extractor, gitLeaks e Trufflehog per trovare dati sensibili e hanno eseguito script Python per analizzare, classificare e presentare i dati.

Ted Miracco, amministratore delegato di Approov, si è detto sorpreso di quanto sia stato facile ottenere queste informazioni con gli strumenti giusti. Ha sottolineato che gli hacker hanno accesso a questi stessi strumenti open source per attaccare le applicazioni. Miracco ha affermato di aver condotto lo studio in risposta alle preoccupazioni derivanti da casi di fuga di API di alto profilo, come quelli con Twitter la scorsa estate e T-Mobile a gennaio.

Come i segreti si riversano

Esistono due modi principali per rubare i segreti da un’app mobile, secondo il rapporto, quando l’app viene compromessa durante l’esecuzione, strumentando l’applicazione, modificando l’ambiente o intercettando i messaggi dall’app al back-end tramite attacchi Man-in-the-Middle (MitM).

Oltre a esporre i segreti, le scansioni hanno anche rilevato due attacchi di runtime critici che
potrebbero essere potenzialmente utilizzati per rubare le chiavi API in fase di esecuzione.

Solo il 5% delle app disponeva di buone difese contro gli attacchi di runtime che manipolavano
l’ambiente del dispositivo e solo il 4% era ben protetto dagli attacchi man-in-the-middle (MitM)
in fase di runtime, dove gli aggressori prendono il controllo delle comunicazioni e in effetti
ottengono ” in mezzo” tra i due utenti.

 

Playblog.it

Netflix        News        Serie TV        Film        Amine        

Apple        Android        Tecnologia        Prime Video        Offerte        Disney+

Seguici su Facebook      Twitter      Pinterest
Seguici su TelegramNetflixOfferte Amazon PrimePrime Video

POST CORRELATI

Fitbit Versa, per una vita più sana

Il ray tracing arriva su Smatphone: il primo chip Samsung con GPU AMD

Leonardo Playblog.it

Samsung lancia in Italia il nuovo Galaxy A51 5G Scheda Tecnica e caratteristiche

Lascia un commento