
La trevigiana Mobisec scrive le regole internazionali della cybersecurity per le app mobile
Anche l’Italia ha dato il suo contributo nel manuale per la cybersecurity delle app. L’autrice è Mobisec, un’azienda di Treviso specializzata nella sicurezza delle applicazioni mobili, che ha realizzato una mappatura delle principali vulnerabilità delle app, utile per sviluppatori e penetration tester, permettendo di risparmiare tempo e risorse.
In particolare, Mobisec ha creato quella che OWASP, ente internazionale che si occupa di cybersecurity mobile, definisce MASWE (Mobile Application Security Weakness Enumeration) ovvero un elenco delle vulnerabilità più comuni legate a funzioni specifiche delle app mobili, come l’uso della fotocamera o l’accesso alla posizione GPS. Questo elenco offre agli sviluppatori una guida per individuare le possibili falle nel codice legate alle azioni che un’applicazione svolge, consentendo loro di concentrarsi sui rischi effettivi a cui l’app è esposta. Per i penetration tester, invece, indica gli aspetti cruciali da esaminare per verificare la sicurezza dell’app. In entrambi i casi, ciò porta a un significativo risparmio di tempo e denaro.
MASWE è il terzo capitolo delle linee guida MAS (Mobile Application Security), che stabiliscono le best practices per garantire la sicurezza delle app. Il primo capitolo, MASVS (Mobile Application Security Verification Standard), definisce gli standard di sicurezza, mentre il secondo, MASTG (Mobile Application Security Testing Guide), offre indicazioni per i test di sicurezza.
Riccardo Poffo, Head of Operations di Mobisec, ha dichiarato: «Le debolezze software sono state identificate e classificate ormai a quasi un migliaio, ma in questo oceano solo una ventina sono specifiche del mondo mobile. MASWE è un progetto estremamente utile, ma mancava un ponte che ne permettesse un facile uso e integrazione da parte degli specialisti. È questo il contributo che abbiamo voluto dare alla comunità internazionale della cybersecurity mobile: una mappatura completa che rendesse MASWE compatibile all’uso delle CWE (Common weakness evaluation), ovvero dell’elenco delle debolezze note».