Il 92% delle 650 app finanziarie ospitate su Google Play Store contiengono dati estraibili come le chiavi API (Application Programming Interface). I risultati provengono dal Mobile Threat Lab di Approov, che ha decodificato il codice dell’applicazione mobile delle app dei servizi finanziari ed è stato in grado di carpirne “segreti di alto valore”.
I dati API sensibili sono stati ottenuti in condizioni di test ottimali e includevano ricercatori
che utilizzavano una varietà di strumenti forensi e di pen test open source.
I dati sono stati ottenuti tramite l’analisi statica delle app e anche mentre il codice veniva eseguito sui dispositivi mobili.
Lo studio pubblicato, ha rilevato che, del 92% delle app che perdono, quasi un quarto di quelle ha versato dati “estremamente sensibili”, come le chiavi di autenticazione utilizzate per i pagamenti e i trasferimenti di conti monetari.
“Anche se le chiavi e i segreti non possono essere facilmente decodificati dal codice dell’app mobile, gli hacker possono avere un’altra opportunità per impossessarsi dei segreti in fase di esecuzione manipolando l’app, l’ambiente e/o i canali di comunicazione”, hanno scritto i ricercatori.
La ricerca di Approov si è concentrata sulle “200 migliori” app di servizi finanziari negli Stati Uniti,
nel Regno Unito, in Francia e in Germania dall’App Store di Google Play,
che consisteva in un totale di 650 applicazioni discrete.
I ricercatori hanno utilizzato strumenti open source come apk_api_key_extractor, gitLeaks e Trufflehog per trovare dati sensibili e hanno eseguito script Python per analizzare, classificare e presentare i dati.
Ted Miracco, amministratore delegato di Approov, si è detto sorpreso di quanto sia stato facile ottenere queste informazioni con gli strumenti giusti. Ha sottolineato che gli hacker hanno accesso a questi stessi strumenti open source per attaccare le applicazioni. Miracco ha affermato di aver condotto lo studio in risposta alle preoccupazioni derivanti da casi di fuga di API di alto profilo, come quelli con Twitter la scorsa estate e T-Mobile a gennaio.
Come i segreti si riversano
Esistono due modi principali per rubare i segreti da un’app mobile, secondo il rapporto, quando l’app viene compromessa durante l’esecuzione, strumentando l’applicazione, modificando l’ambiente o intercettando i messaggi dall’app al back-end tramite attacchi Man-in-the-Middle (MitM).
Oltre a esporre i segreti, le scansioni hanno anche rilevato due attacchi di runtime critici che
potrebbero essere potenzialmente utilizzati per rubare le chiavi API in fase di esecuzione.
Solo il 5% delle app disponeva di buone difese contro gli attacchi di runtime che manipolavano
l’ambiente del dispositivo e solo il 4% era ben protetto dagli attacchi man-in-the-middle (MitM)
in fase di runtime, dove gli aggressori prendono il controllo delle comunicazioni e in effetti
ottengono ” in mezzo” tra i due utenti.
Netflix News Serie TV Film Amine
Apple Android Tecnologia Prime Video Offerte Disney+
Seguici su Facebook Twitter Pinterest
Seguici su Telegram: Netflix, Offerte Amazon Prime, Prime Video