Configurazioni errate nell’archiviazione dei dati e nella crittografia possono mettere a rischio le app mobili, ma anche il social engineering rappresenta una minaccia concreta.

I dispositivi mobili sono potenti strumenti di produttività, che consentono al personale di lavorare praticamente da qualsiasi luogo. Tuttavia, possono anche rappresentare un rischio per la sicurezza, poiché condividono dati sensibili al di fuori di un ambiente d’ufficio strettamente controllato. Se smartphone e tablet sono parte integrante dei flussi di lavoro quotidiani della tua organizzazione, una valutazione della sicurezza delle applicazioni mobili dovrebbe far parte della tua strategia di cybersecurity. Analizzando le app mobili su cui fai affidamento, potrai individuare e correggere potenziali vulnerabilità di sicurezza prima che possano essere sfruttate da attori malevoli.

I professionisti della sicurezza e gli amministratori IT conoscono già alcuni problemi comuni delle app mobili. Alcune Application Programming Interface (API) presentano vulnerabilità o configurazioni errate, mentre altri programmi non archiviano o non cifrano correttamente i dati. Tuttavia, il problema più grande potrebbe non essere nelle app stesse, ma nelle persone che le utilizzano. Il phishing e altre forme di social engineering sono particolarmente diffusi su smartphone e tablet. Per proteggere le app mobili della tua organizzazione, sarà quindi necessario anche formare, proteggere e responsabilizzare il personale.

Cosa cercare in una valutazione della sicurezza delle applicazioni mobili

Una valutazione della sicurezza delle applicazioni mobili è essenzialmente una forma specializzata di penetration testing che si concentra sulle app mobili utilizzate dalla tua organizzazione, invece che sull’intero framework di cybersecurity. Poiché si tratta di un’attività più circoscritta e specifica rispetto a un penetration  test completo, non è necessario ricorrere a un consulente esterno.

Se desideri eseguire la valutazione internamente, il primo passo è creare un elenco di tutte le app mobili attualmente utilizzate dalla tua organizzazione. A seconda della suite di sicurezza utilizzata, potresti avere visibilità anche sulle app personali dei dipendenti. Vale la pena analizzare anche queste, poiché applicazioni di dating, shopping o streaming sono spesso più facili da compromettere rispetto ai programmi di produttività. Anche le app di social media e messaggistica rappresentano percorsi evidenti per attacchi di social engineering.

Una volta creato l’elenco delle app, verifica la presenza dei seguenti problemi.

API non sicure
Le API permettono a diversi software di comunicare tra loro. Utilizzare API esistenti invece di svilupparle da zero può far risparmiare molto tempo e lavoro agli sviluppatori. In effetti, un’app media utilizza fino a 50 API diverse, molte delle quali sono open source. Per questo motivo, le API sono spesso insicure e può essere difficile individuare esattamente dove si trovi la vulnerabilità. Tra i problemi più comuni delle API ci sono Broken Object Level Authorization (BOLA) e l’autenticazione utente non corretta.

Individuare API non sicure richiede competenze tecniche e strumenti specializzati. Anche in questo caso, se la tua organizzazione non ha sviluppato direttamente l’app, potresti non essere in grado di risolvere il problema alla radice. Tuttavia, puoi prendere decisioni informate sui rischi dell’app e rafforzare le altre pratiche di sicurezza mobile per compensare.

Archiviazione dei dati non sicura
Alcuni luoghi di archiviazione dei dati sono più sicuri di altri, soprattutto sui dispositivi mobili. Se un’app salva file non cifrati nella memoria locale, ad esempio, chiunque abbia accesso al dispositivo potrebbe teoricamente copiarli e condividerli. A seconda delle autorizzazioni richieste, le app mobili potrebbero persino caricare dati su server pubblici o abilitare la condivisione di file con dispositivi vicini.

Se esiste la possibilità che un’app gestisca dati sensibili, verifica dove archivia i file e come gestisce i controlli di accesso. È importante cercare server cloud con protocolli solidi di autorizzazione e crittografia.

Crittografia debole
Ogni anno si verificano oltre 3.000 violazioni di dati. Questi eventi causano milioni di dollari di danni e mettono centinaia di milioni di persone a rischio di furto di identità. Anche se non è possibile eliminare completamente il rischio di una violazione dei dati, è possibile ridurne significativamente l’impatto.

La crittografia dei file è un modo efficace per rendere i dati sensibili illeggibili, anche se gli attaccanti riescono a sottrarli. Tuttavia, alcune app mobili utilizzano algoritmi di crittografia obsoleti, che possono essere vulnerabili ad attacchi man-in-the-middle o brute force. Se un’app su cui fai affidamento utilizza standard di crittografia deboli, valuta la possibilità di crittografare i file autonomamente prima di archiviarli.

Vulnerabilità del fattore umano
Nel primo trimestre del 2025, Lookout ha registrato oltre 1.000.000 di attacchi di phishing contro utenti aziendali e più di 193.000 app malevoli o vulnerabili sui dispositivi mobili aziendali. Nonostante questi numeri, quasi un terzo delle organizzazioni intervistate non ha formato i propri dipendenti a identificare e segnalare le truffe di phishing.

Le persone sono una parte fondamentale del framework di cybersecurity mobile, perché sono loro a interagire con le app. Le applicazioni mobili incoraggiano i dipendenti a rispondere rapidamente ai messaggi, cliccare sui link senza verificare gli URL e inserire le credenziali quando richiesto. Sono abitudini che gli attaccanti sfruttano facilmente.

Per proteggere le app mobili della tua organizzazione, è quindi essenziale formare adeguatamente gli utenti.

Il Mobile EDR può identificare e contrastare i rischi

Un reparto IT proattivo e una forza lavoro informata possono essere risorse fondamentali per la strategia di cybersecurity mobile. Questi sforzi possono essere affiancati da una soluzione completa di Mobile Endpoint Detection and Response (EDR). Gli strumenti di Mobile EDR analizzano costantemente smartphone e tablet, inviando dati al personale IT e monitorando la presenza di minacce o dispositivi compromessi.

L’EDR non è una strategia nuova, ma i sistemi tradizionali tendevano a concentrarsi sui desktop fissi collegati a una singola rete o server. Poiché smartphone e tablet si muovono tra molte reti diverse, identificare i dispositivi solo tramite posizione o indirizzo IP può essere complicato. Inoltre, mentre tutti i sistemi EDR possono rilevare malware, non tutti individuano minacce specifiche per il mobile, come phishing o app con autorizzazioni eccessive.

Le soluzioni moderne di Mobile EDR sono più sofisticate. Possono identificare attacchi di social engineering mentre avvengono, avvisando gli utenti di messaggi fraudolenti o link sospetti. I sistemi Mobile EDR forniscono inoltre agli amministratori visibilità completa su ogni dispositivo della rete, valutandone costantemente il livello di rischio. Alcune soluzioni utilizzano anche intelligenza artificiale (AI) e machine learning (ML) per individuare schemi di comportamento sospetti che un operatore umano potrebbe non notare.

Un Mobile EDR può diventare uno strumento fondamentale per valutare la sicurezza delle applicazioni mobili. Analizzando i dispositivi e le app utilizzate all’interno della tua organizzazione, è possibile individuare schemi ricorrenti e rischi potenziali. Avere tutte queste informazioni raccolte in un’unica dashboard consente di prendere decisioni informate e basate sui dati, identificando con precisione le possibili vulnerabilità della sicurezza informatica.

Proteggi il fattore umano della tua organizzazione con il Mobile EDR

Se sei pronto a eseguire una valutazione della sicurezza delle applicazioni mobili nella tua organizzazione, inizia scaricando il Lookout Mobile EDR Playbook. Questo e-book pone domande importanti su come la tua organizzazione monitora lo stato dei dispositivi, raccoglie nuove informazioni sulle minacce e applica protocolli zero trust.

Scoprirai inoltre come una soluzione Mobile EDR possa proteggere sia i dati sensibili sia i dipendenti da una varietà di minacce, dal phishing al malware. Con gli strumenti giusti, puoi salvaguardare sia i dati critici sia il fattore umano della tua organizzazione.

Fonte: Lookout