Si tratta della Mobisec di Treviso, nata nel 2015
C’è anche un pezzo d’Italia nel libretto di istruzioni della cybersecurity per le app.
Si tratta di Mobisec, azienda trevigiana che si occupa di sicurezza delle applicazioni mobile e che ha realizzato una mappatura delle principali debolezze delle app, la quale consentirà sia agli sviluppatori che ai penetration tester di risparmiare tempo e risorse.
Nata nel 2015, ha collaborato con realtà come Tim, Generali, UniCredit, ING, BNL e, durante la pandemia di Covid-19, si è spesa per la sicurezza dell’app Immuni, creata per tracciare i contatti a rischio di contagio. Oltre alla sicurezza delle applicazioni mobili, l’azienda si occupa anche di applicazioni web, oltre che di servizi di data intelligence.
Ma come si impegnerà Mobisec? L’azienda ha elaborato quella che OWASP, ente internazionale che si occupa di cybersecurity mobile di cui l’azienda trevigiana è parte dalla scorsa estate, definisce MASWE (Mobile application security weakness enumeration). Si tratta di un elenco di vulnerabilità note, associate ad una specifica funzione svolta dalle applicazioni mobile (come, ad esempio, attivare la fotocamera o avere accesso alla posizione GPS).
Questo elenco segnala agli sviluppatori quali sono le potenziali falle nel codice legate a ciò che effettivamente fa un’applicazione, così che possano assicurarsi di porre particolare attenzione ai rischi effettivi ai quali è esposta l’applicazione. Ancora, indica ai penetration tester – ossia alle aziende che si occupano di controllare la sicurezza delle app – quali siano gli elementi da verificare. In entrambi i casi, questo si traduce in un risparmio di tempo e, giocoforza, di denaro.
MASWE è il terzo capitolo dei MAS (Mobile application security), le indicazioni che devono essere seguite per garantire la sicurezza delle app. Il primo è MASVS (Mobile Application Security Verification Standard), che definisce gli standard di sicurezza delle applicazioni, il secondo è MASTG (Mobile Application Security Testing Guide), che indica le linee guida per chi svolge i test di sicurezza.
L’Open Web Application Security Project, appunto OWASP, è invece una comunità internazionale attiva sul fronte della sicurezza delle app mobile, delle web app e delle API (application programming interface, quei software che consentono a due applicazioni diverse di interagire tra loro).
«Le debolezze software sono state identificate e classificate ormai a quasi un migliaio, ma solo una ventina sono specifiche del mondo mobile – afferma Riccardo Poffo (in foto), Head of Operations di Mobisec – MASWE è un progetto estremamente utile, ma mancava un ponte che ne permettesse un facile uso e integrazione da parte degli specialisti. È questo il contributo che abbiamo voluto dare alla comunità internazionale della cybersecurity mobile: una mappatura completa che rendesse MASWE compatibile all’uso delle CWE (Common weakness evaluation) – ossia dell’elenco delle debolezze note».
La Redazione
