photo de l'application stop covid

COVID-19: le app di tracciamento sono davvero sicure?

Per limitare la diffusione dell’epidemia, il governo sta ora incoraggiando il pubblico a utilizzare le applicazioni sanitarie. Monitoraggio Covid-19 derivato dai Big Data. Tuttavia, come tutte le applicazioni mediche e sanitarie, il 71% di esse presenta una vulnerabilità di sicurezza. Questi strumenti, seppur molto diffusi, costituiscono quindi facili prede per i criminali informatici.

Per produrre questo rapporto, Intertrust ha analizzato più di 100 app di mHealth rivolte al pubblico in tutto il mondo. Questa operazione su larga scala ha permesso di determinare la vulnerabilità del software e le sue minacce. Lo studio si è concentrato anche su un’ampia categoria di programmi, comprese le applicazioni di monitoraggio del Covid -19.

Le principali minacce delle applicazioni mobili

Il sistema di crittografia costituisce la principale minaccia per le applicazioni sanitarie. Infatti, su oltre 100 applicazioni studiate, il 91% di esse non ha superato i test crittografici.

Il rapporto ha rilevato che alcuni strumenti utilizzano il rilevamento razziale, mentre una piccola percentuale prevede la crittografia delle stringhe. Infine, una minoranza include il rilevamento dell’emulatore e la crittografia di risorse o asset. Solo una domanda ha ricevuto l’accreditamento Intertrust dopo il banco di prova.

Questi risultati fanno luce sui problemi crittografici della mHealth. Il software è una facile preda per i criminali informatici. Gli hacker possono violare rapidamente la crittografia e sfruttare i dati riservati dei pazienti per inviare comandi illegittimi. Possono anche utilizzare l’applicazione per scopi dannosi.

Rafforzare la sicurezza è in cima alle priorità

Questa non è una semplice speculazione. I rischi di violazione dei dati sono reali e il rapporto Intertrust lo dimostra. Uno studio che dovrebbe incoraggiare anche gli sviluppatori a rivedere il proprio sistema di sicurezza.

A lire également  La promessa degli investitori di combattere lo spyware è messa in dubbio dalle loro passate partecipazioni in una società statunitense produttrice di malware.

Per molti, infatti, la missione principale è garantire che lo strumento funzioni correttamente entro un determinato periodo di tempo. La sicurezza arriva solo dopo. Un modo di lavorare che è all’origine degli antecedenti delle vulnerabilità rilevate in diverse applicazioni mediche. Fortunatamente, secondo Intertrust, questi problemi possono essere corretti implementando sistemi di protezione come l’offuscamento del codice, il rilevamento delle manomissioni e la crittografia white-box.

Punti salienti del rapporto

In tutto, 100 applicazioni iOS e Android sono passate nelle mani di esperti di sicurezza informatica. Sono stati analizzati utilizzando una serie di tecniche di analisi statiche e dinamiche in conformità con i rischi per la sicurezza mobile OWASP. Lo studio sulla vulnerabilità viene effettuato sulla base del sistema internazionale indipendente di classificazione delle minacce CVSS. Ecco cosa devi ricordare dal rapporto:

  • Tutte le app Android testate e il 72% delle app iOS contenevano quattro o più vulnerabilità, fornendo un quadro molto desolante della sicurezza complessiva delle app sanitarie.
  • Anche le debolezze crittografiche e la scarsa protezione dell’archiviazione dei dati rappresentano le minacce più diffuse.
  • La cattiva gestione e le debolezze della crittografia colpiscono il 91% delle applicazioni. Ciò aumenta i rischi di violazione dei dati e furto di proprietà intellettuale.
  • Il 34% delle app Android e il 28% delle app iOS sono vulnerabili all’estrazione della chiave di crittografia.
  • La maggior parte delle applicazioni sanitarie mobili presenta vulnerabilità di sicurezza legate all’archiviazione dei dati. Il 60% delle app Android ha analizzato le informazioni archiviate in SharedPreferences. Gli hacker o i robot possono quindi leggere e modificare facilmente i dati non crittografati.
  • L’85% delle app di monitoraggio Covid sono state segnalate per aver divulgato dati utente.