Le app iOS fanno peggio di quelle Android nel proteggere dati sensibili

Notizie
Di Pubblicato

Metà delle app iOS e un terzo delle app Android espongono informazioni sensibili

Person with warning notification and spam message icon on mobile phone
(Immagine:: Shutterstock)
  • • Ricerca avverte che gli attaccanti possono intercettare chiamate API su dispositivi iOS e farle apparire legittime• Strumenti di sicurezza tradizionali non riescono a proteggere app contro attacchi interni al dispositivo• Dispositivi mobili compromessi aumentano significativamente il rischio di sfruttamento API

Una nuova ricerca di Zimperium afferma che le app mobili sono ora il principale campo di battaglia per gli attacchi basati su API, creando seri rischi di frode e furto di dati per le aziende.

La portata delle vulnerabilità API mobili

A differenza delle applicazioni web, le app mobili trasferiscono endpoint API e logica di chiamata su dispositivi non attendibili, esponendoli a potenziali manomissioni e reverse-engineering.Questo consente agli attaccanti di intercettare il traffico, modificare l'app e far apparire legittime le chiamate API dannose.

Difese tradizionali come firewall, gateway, proxy e validazione delle chiavi API non possono proteggere completamente da queste minacce in-app.

Come restare al sicuro

  • • Ispezionare le app per logging improprio di informazioni sensibili per prevenire perdite di dati.• Verificare che i dati di archiviazione locale siano crittografati e non accessibili da altre app.• Monitorare il traffico di rete per rilevare app che inviano informazioni personali non crittografate.• Identificare e rimuovere SDK dannosi o componenti di terze parti incorporati nelle app.• Rivedere i permessi delle app per assicurarsi che si allineino con la funzionalità prevista.• Condurre audit regolari del comportamento delle app per potenziali vulnerabilità di violazione.• Implementare protezioni runtime per prevenire manomissioni o reverse engineering delle app.• Usare offuscamento del codice per proteggere logica business ed endpoint API dagli attaccanti.• Validare che le chiamate API provengano solo da applicazioni legittime e non manomesse.• Stabilire procedure di risposta agli incidenti in caso di compromissione di un'app mobile.• Usare software di sicurezza mobile che protegge contro malware e attacchi ransomware.
TOPICS
Efosa Udinmwen
Efosa Udinmwen
Freelance Journalist

Efosa has been writing about technology for over 7 years, initially driven by curiosity but now fueled by a strong passion for the field. He holds both a Master's and a PhD in sciences, which provided him with a solid foundation in analytical thinking.