App iOS e Android: debutta IMQ MOBSEC, certificato di terza parte che identifica app piu’ sicure

MOBSEC é un nuovo schema di attestazione di terza parte, avviato da IMQ per valorizzare le aziende attente allo sviluppo di app più sicure, ossia in grado di minimizzare il rischio di esposizione a intercettazione o modifica, da parte di malintenzionati, dei dati raccolti e scambiati in Rete.

Scritto da

Simone Ziggiotto

il

Lo smartphone è un accessorio universale, oltre che per telefonare torna utile come strumento di lavoro, di svago, di accesso ai servizi della Pubblica Amministrazione e sanitare, e tanto altro. Funziona attraverso la rete, si connette ad internet e funziona principalmente mediante ‘applicazioni’ che si installano a seconda dei servizi a cui si vuole accedere. E’ quindi importante che queste app siano sicure. Fortunatamente, Apple e Google offrono nei loro store già degli strumenti di sicurezza che permettono di scoprire prima di scaricare un’app quali dati andrà a raccogliere e per cosa li userà (come la nuova sezione ‘Sicurezza Dati’ nel Play Store), offrendo anche strumenti di analisi della sicurezza delle app (come Google Play Protect). Oltre a tutto questo, arriva una nuova attestazione di terza parte che potrà servire ai consumatori di riconoscere le applicazioni sicure: IMQ MOBSEC. Nasce da IMQ (Istituto Italiano del Marchio di Qualità), una società del Gruppo IMQ, una realtà italiana nel settore della valutazione della conformità (certificazione, prove, verifiche, ispezioni), cui aggiunge una presenza nei servizi di cyber security. 

Questa attestazione può essere rilasciata a tutte le applicazioni sviluppate per i sistemi Android e iOS, sia che dialoghino con uno o più sistemi di backend sia che lavorino in modalità autonoma (offline o sfruttando solo reti di prossimità). Il rilascio è però previsto solo alle app che abbiano dimostrato di essere state progettate rispettando i requisiti di “security by design” e “defense in depth”, dopo aver superato verifiche di conformità a specifici requisiti di sicurezza selezionati a partire da documenti internazionali elaborati dall’Open Web Application Security Project (OWASP) e dall’European Union Agency for Cybersecurity (ENISA). L’attestazione evidenzia l’esecuzione di un penetration test sull’app e sui suoi servizi remoti, della risoluzione delle vulnerabilità eventualmente emerse, del rispetto dei principi e delle best-practice di design e implementazione sicuri espressi da requisiti che appartengono alle seguenti aree: Supply Chain Security, Data Protection, Cryptography, Authentication and Session Management, Network Security, Operating System and Application Platform Interaction, Code Quality and Integrity.

“Gli attacchi più comuni sono condotti sui backend delle app non sufficientemente protetti e portano al furto di dati personali dai server” osserva Claudia Piccolo, ICT Security Area Manager della B.U. Management Systems di IMQ S.p.A. “In seconda battuta, troviamo il furto degli account grazie all’uso di fattori di autenticazione non sicuri (ad esempio gli SMS) e il furto di dati tramite l’installazione di app malware ma anche il furto fisico del dispositivo”.

IMQ MOBSEC consentirà anche alle aziende sviluppatrici di valorizzare le contromisure implementate per migliorare la sicurezza delle proprie app lungo tutto il ciclo di vita – dallo sviluppo alla distribuzione sugli store e all’installazione e utilizzo sui dispositivi degli utenti finali – seguendo un processo valutazione e verifica di requisiti puntuali di sicurezza eseguite direttamente sull’app pubblicata sugli store ufficiali di riferimento. Le aziende sviluppatrici potranno anche richiedere l’avvio di un piano di monitoraggio periodico della sicurezza delle loro app tramite test condotti da un laboratorio al di sopra delle parti, con lo scopo di individuare eventuali vulnerabilità che dovessero subentrare a fronte di rilasci di nuove versioni dell’applicazione. 

5 consigli per usare con maggiore sicurezza le app

Gli esperti di sicurezza segnalano 5 accorgimenti per un utilizzo il più possibile sicuro dei dispositivi mobile:
• Aggiornare frequentemente il sistema operativo del dispositivo mobile e le applicazioni;
• Non aprire link contenuti in sms o messaggi istantanei provenienti da mittenti sconosciuti, né accettare richieste di installazione di app ricevute tramite messaggi;
• Non scaricare applicazioni da store non ufficiali (sui dispositivi Android affidarsi al Google Play Store, mentre su iOS e iPadOS affidarsi all’Apple AppStore);
• Non connettere il dispositivo a stazioni di ricarica o computer pubblici e, nel caso si sia costretti a farlo, non consentire l’accesso ai dati tramite il popup al momento della connessione;
• Non fornire mai codici temporanei (OTP) o credenziali a chi ne fa richiesta tramite messaggio o telefonata. 

Il Gruppo IMQ è attualmente composto da una holding (IMQ Group S.r.l) e da 12 società operative, di cui quattro in Italia – IMQ S.p.A., CSI S.p.A., IMQ Intuity S.r.l, IMQ Minded Secuity S.r.l. – e otto all’estero: IMQ CSI Deutschland GmbH (Germania), IMQ Iberica S.L. (Spagna), IMQ Tecnocrea S.L. (Spagna), IMQ Polska Sp. z o.o. (Polonia), IMQ Certification Ltd. (Regno Unito), IMQ Certification (Shanghai) Co. Ltd. (Cina), IMQ Turkey (Turchia), IMQ Gulf FZCo (Emirati Arabi Uniti). Maggiori informazioni sono disponibili sul sito web www.imq.it

Impostazioni privacy