.

HOME / DEFENSIVE SECURITY

PROTEZIONE DI MOBILE APP: OBFUSCATION E HARDENING

Le applicazioni mobili sono sempre più diffuse anche in ambito aziendale, come strumento pratico ed efficace per l’accesso dei clienti ai propri servizi e in alcuni casi anche alle risorse interne dal parte del personale. La protezione delle mobile App è un argomento fondamentale perché anche queste, avendo spesso accessi diretti a dati e servizi, possono diventare un punto di attacco. Attraverso le tecniche di Hardening e Obfuscation è possibile renderle più resilienti a qualsiasi tipo di minaccia.

Le applicazioni mobili consentono di fruire dei servizi erogati da un’azienda comodamente dal proprio dispositivo, in un contesto di elevata flessibilità e mobilità. Le app sono però eseguite su un dispositivo che non può essere considerato affidabile: l’utente può averlo alterato con root o jailbreak e avere installato inconsapevolmente delle altre applicazioni contenenti codice maligno. Per questo motivo la protezione di mobile App è indispensabile.
Le applicazioni infatti devono disporre di sicurezza intrinseca, non potendosi affidare a quella dei dispositivi su cui sono installate.
Allo stesso modo, un attaccante motivato può facilmente lanciare l’app in un ambiente sotto il proprio controllo, emulato o reale, per studiare in dettaglio come si comporta o risalire al codice che la costituisce e con questa conoscenza realizzare scenari di attacco o di frode.

Ogni attacco andato a segno e ciascun malfunzionamento si traducono in impatti in termini economici, reputazionali, legali o di conformità rispetto alle normative, in particolare GDPR, PSD2 o PCI DSS.

Come funziona la protezione delle mobile App

La sicurezza delle mobile App è fondamentale per i motivi indicati poco sopra si può perseguire attraverso tecniche di obfuscation e hardening. L’effetto più immediato è quello di rendere più difficili le attività di reverse engeneering sul codice. In questo modo cybercriminali e malintenzionati non potranno analizzare il codice sorgente alla ricerca di debolezze del sistema, dati e informazioni, per esempio le chiavi API utilizzate, e punti di attacco.
Le tecniche di offuscamento hanno il vantaggio di garantire la sicurezza delle App anche contro operazioni più commerciali, come la clonazione delle App o la copia da parte di concorrenti delle funzioni chiave o dell’intera applicazione.

Come avviene la protezione di mobile App

CryptoNet Labs propone il servizio di Mobile Application Hardening & Obfuscation per rendere le proprie app più resistenti a tutte le tipologie di attacchi più diffuse: hacking, reverse-engineering o tampering, inserendo all’interno dell’app stessa dei meccanismi di auto-protezione:

  • Obfuscation, per rendere il codice sorgente decompilato difficoltoso da leggere.
  • Symbol stripping e renaming, per eliminare dal codice i simboli di programma superflui e rinominare i restanti con nomi privi di significato che non suggeriscano informazioni.
  • String encryption, per proteggere i valori in chiaro delle stringhe.
  • Anti-debug logic, per inserire nell’app funzionalità di rilevamento di strumenti di analisi dinamici (debugger).
  • Checksum control, per verificare l’integrità dell’applicazione.

Nel procedere alla protezione delle App mobili affianchiamo il team di sviluppo del cliente per comprendere le parti più critiche dell’applicazione e di conseguenza introdurre i meccanismi di protezione nei punti opportuni.
Il tutto avviene effettuando un’ottimizzazione tra requisiti di sicurezza e user experience della App, che non deve essere snaturata né resa meno efficace.
Possiamo integrare e automatizzare hardening e obfuscation per inserirci nel ciclo di sviluppo software, anche in caso di rilasci frequenti o uso di tecnologie DevOps.

Chi ne può beneficiare

La protezione e la sicurezza di mobile App sono necessarie per le aziende che sviluppano applicazioni internamente o per conto terzi. Si rivelano indispensabili anche per aziende che hanno commissionato in outsourcing la creazione di App e desiderano aumentare il livello di protezione della loro proprietà intellettuale.