Pe 17 iulie 2024, aplicația web de facturare 2invoice.ro a suferit o breșă de securitate. Hackerii au furat și au pus la vânzare datele personale a aproximativ 1,8 milioane de utilizatori. Tot în iulie, Directoratul Național de Securitate Cibernetică (DNSC) a semnalat prezența în România a malware-ului Rafel Remote Access Tool (RAT), conceput pentru sistemele Android și aplicațiile mobile asociate. Malware-ul permite atacatorilor să gestioneze de la distanță dispozitivele mobile infectate, și poate fi folosit pentru derularea de atacuri ransomware și spionaj.
Aplicațiile web și cele mobile sunt parte integrantă a vieții cotidiene, fiind utilizate pentru o gamă largă de servicii online, de la socializare la banking și cumpărături. Ambele pot livra o experiență de calitate, însă există diferențe specifice atât ca tehnologie cât și ca riscuri de securitate asociate. Ce veți alege însă pentru un serviciu online: aplicații web sau aplicații mobile? Dacă nu aveți un răspuns, articolul de mai jos vă oferă câteva informații relevante.
Aplicațiile web
Aplicațiile web sunt programe software care rulează pe servere și sunt accesate printr-un browser web. Acestea sunt independente de platformă, ceea ce înseamnă că le putem utiliza pe orice dispozitiv cu un browser și conexiune la Internet. Dintre cele mai cunoscute exemple amintim Facebook, Google Docs, OneDrive dar există și numeroase aplicații web pentru business și interacțiune cu cetățenii.
Avantaje
Dezavantaje
Aplicațiile mobile
În medie, oamenii petrec până la 4 ore pe telefon, în fiecare zi, drept urmare, aplicațiile mobile sunt mai populare pentru că sunt dezvoltate pentru a rula pe dispozitive mobile precum smartphone-urile și tabletele. Acestea sunt de obicei distribuite prin intermediul magazinelor de aplicații (App Store pentru iOS, Google Play pentru Android).
Avantaje
Dezavantaje
Atacuri asupra aplicațiilor web
1. Injection (SQL Injection, Cross-Site Scripting - XSS). Atacatorii „injectează” cod malițios în aplicația web pentru a obține acces neautorizat la date sau pentru a compromite funcționalitatea acesteia.
2. Cross-Site Request Forgery (CSRF). În acest caz, atacatorul forțează utilizatorii să execute acțiuni nedorite într-o aplicație în care sunt autentificați.
3. Denial of Service (DoS). Atacurile DoS vizează să facă aplicația indisponibilă pentru utilizatori legitimi prin suprasolicitarea serverului.
Atacuri asupra aplicațiilor mobile
1. Atacuri asupra API-urilor. Aplicațiile mobile depind adesea de API-uri pentru a comunica cu serverele. Vulnerabilitățile API-urilor pot fi exploatate pentru acces neautorizat sau pentru a manipula date.
2. Reverse Engineering. Atacatorii decompilează aplicația pentru a înțelege logica și pentru a găsi vulnerabilități.
3. Malware. Instalarea de aplicații malițioase pe dispozitivele utilizatorilor pentru a fura date sau a compromite sistemul.
Aplicații web
Aplicațiile web sunt considerate mai vulnerabile din cauza accesibilității lor globale și a diversității tehnologiilor utilizate. Atacatorii pot exploata vulnerabilitățile cunoscute ale serverelor web, ale bazelor de date și ale comunicațiilor HTTP. În plus, fiind accesibile prin intermediul internetului, acestea sunt expuse la o gamă largă de atacuri automatizate. Potrivit unui raport CyCognito, 70% dintre aplicațiile web au lacune de securitate grave, cum ar fi lipsa protecției WAF sau a unei conexiuni criptate precum HTTPS, iar 25% dintre toate aplicațiile web nu au niciuna dintre aceste caracteristici esențiale de securitate.
Măsuri de securitate
Aplicații mobile
Pe de altă parte, aplicațiile mobile, deși expuse la atacuri specifice platformei, au un avantaj prin faptul că sunt distribuite prin intermediul magazinelor de aplicații, care impun anumite standarde de securitate cibernetică. Cu toate acestea, ele pot fi compromise prin inginerie inversă, malware sau vulnerabilități ale API-urilor. Ca dovadă, în 2022, s-a înregistrat o creștere de 138% a vulnerabilităților critice descoperite pe Android, față de 2021, potrivit unui alt studiu. (https://www.msspalert.com/news/cyber-attacks-against-mobile-devices-growing-fast)
Măsuri de securitate
Recomandări generale pentru securizarea aplicațiilor
Recomandările de mai jos oferă un cadru solid pentru securizarea aplicațiilor. Iată câteva aspecte de bază în materie de protecție și prevenție:
1. Actualizări și Patching. Menținerea tuturor componentelor software actualizate pentru a preveni exploatarea vulnerabilităților cunoscute.
2. Criptarea datelor. Asigurarea că toate datele sensibile sunt criptate atât în tranzit cât și în repaus.
3. Autentificare multifactor (MFA). Implementarea MFA pentru a adăuga un nivel suplimentar de securitate în procesul de autentificare.
4. Monitorizare și logging. Implementarea unor soluții de monitorizare a activităților și logarea evenimentelor pentru a detecta și răspunde rapid la incidentele de securitate cibernetică.
5. Testarea regulată a securității. Efectuarea de teste de penetrare și audituri de securitate pentru a identifica și remedia vulnerabilitățile.
6. Educația utilizatorilor. Informarea utilizatorilor cu privire la bunele practici de securitate și la riscurile asociate descărcării și utilizării aplicațiilor este cu atât mai importantă cu cât, în 2023, 68% dintre breșele de securitate au implicat un element uman non-malițios: o persoană care a căzut victimă unui atac de inginerie socială sau care comis o eroare, potrivit datelor Verizon.
Acesul la servicii online este esențial pentru toate categoriile de consumatori și prevalează riscurile de securitate și vulnerabilitățile specifice aplicațiilor web sau celor mobile. Prin măsuri preventive și printr-o vigilență constantă, aceste riscuri pot fi reduse semnificativ. În cele din urmă, securizarea aplicațiilor nu e o cursă de sprint, ci mai degrabă un maraton: e nevoie de tehnologie, procese bine gândite și educație continuă pentru a ține hackerii la distanță și aplicațiile în siguranță.
Dacă urmează să lansați un serviciu online și aveți o dilemă ce tip de tehnologie să alegeți, aplicații web sau aplicații mobile consultanții PRAS vă stau la dispoziție.