Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Luca Galuppi : 19 Dicembre 2024 17:01
Nel mondo delle app, la leggerezza dovrebbe essere un obiettivo primario, soprattutto per le applicazioni bancarie che gestiscono informazioni sensibili. Eppure, l’analisi condotta da Emerge Tools ha svelato un’anomalia preoccupante: l’app di Banca Intesa per iOS occupa ben 700 MB di spazio, un valore abnorme per un’app di questo tipo.
Un’app che, oltre a essere troppo “pesante” (si parla infatti di bloatware in gergo tecnico), nasconde anche una curiosa e potenzialmente problematica scoperta: un misterioso file audio denominato “rutto.mp3”.
Nel contesto delle applicazioni bancarie, la sicurezza è fondamentale. Ma la dimensione e l’architettura dell’app hanno un impatto diretto anche sulle performance di sicurezza. Con un 64% dello spazio occupato da framework dinamici, il codice diventa vulnerabile a exploit se non ottimizzato correttamente.
Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Framework di grandi dimensioni e codice non necessario sono una porta aperta per potenziali attacchi, oltre ad aggravare la gestione delle risorse e la stabilità dell’app.
L’inclusione di file di dimensioni non giustificate, e il file “rutto.mp3”, sebbene apparentemente innocuo, suggerisce una mancanza di rigore nella gestione dei contenuti. Tutto questo potrebbe essere un campanello d’allarme per gli esperti di sicurezza, che devono considerare anche i rischi derivanti da file non strettamente necessari.
Se un’app non è in grado di gestire correttamente file o risorse di minore impatto, come possiamo aspettarci che gestisca adeguatamente dati sensibili o transazioni finanziarie?
Questo episodio di bloatware, dove l’applicazione cresce senza controllo, non è un caso isolato. Vi rimandiamo al nostro articolo sul bloatware per comprendere meglio il fenomeno e comprendere come eliminarlo dalle applicazioni.
Con l’inserimento di nuove funzionalità senza un’adeguata razionalizzazione del codice esistente, le app diventano sempre più difficili da manutenere e vulnerabili a possibili attacchi. Il bloatware non solo rallenta i dispositivi e peggiora l’esperienza utente, ma aumenta anche la superficie di attacco. Ogni nuova funzionalità non ottimizzata è un’opportunità in più per gli hacker criminali di sfruttare eventuali vulnerabilità.
La gestione delle risorse in modo efficiente non è solo una questione di prestazioni, ma una parte integrante della sicurezza complessiva dell’app. Il codice superfluo e non verificato potrebbe infatti mascherare potenziali minacce.
Non si tratta quindi solo di prestazioni e sicurezza: il bloatware, se non gestito adeguatamente, può compromettere anche l’immagine di un’azienda. Un’app troppo pesante o poco ottimizzata può far sorgere dubbi nei consumatori riguardo alla competenza tecnica dell’azienda. Per una banca, questo significa mettere a rischio la fiducia degli utenti, che potrebbero chiedersi se anche la sicurezza delle loro informazioni sia trattata con la stessa disattenzione.
Per Banca Intesa, e per tutte le aziende che sviluppano app mobile, l’adozione di una strategia focalizzata sull’efficienza e sulla sicurezza e prestazioni, eliminando il codice e i file inutili, è essenziale. Un’app ottimizzata non solo migliora l’esperienza dell’utente, ma riduce anche le superfici di attacco, limitando il rischio di vulnerabilità.
Eliminare elementi superflui, come il famoso “rutto.mp3”, non sarebbe solo un segno di attenzione verso gli utenti, ma un passo verso una sicurezza più solida e una maggiore efficienza operativa.
Come nostra consuetudine, lasciamo sempre spazio ad un commento da parte dell’azienda qualora voglia darci degli aggiornamenti sulla vicenda. Saremo lieti di pubblicare tali informazioni con uno specifico articolo dando risalto alla questione.
Luca GaluppiIl ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...
Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...
Quando Jeffrey Goldberg dell’Atlantic ha fatto trapelare accidentalmente un messaggio di gruppo privato di alti funzionari statunitensi su un possibile attacco contro gli Houthi nello Yemen, ha...
Ogni mese diventa sempre più evidente: le password non funzionano più. Gli hacker hanno imparato a eludere anche la protezione a due fattori sfruttando sessioni rubate e milioni di dati comp...
La pseudonimizzazione è una tecnica di protezione dei dati definita dall’art. 4(5) del GDPR. Consiste nella trasformazione dei dati personali in modo tale che non possano più essere a...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
