Pe 17 iulie 2024, aplicația web de facturare 2invoice.ro a suferit o breșă de securitate. Hackerii au furat și au pus la vânzare datele personale a aproximativ 1,8 milioane de utilizatori. Tot în iulie, Directoratul Național de Securitate Cibernetică (DNSC) a semnalat prezența în România a malware-ului Rafel Remote Access Tool (RAT), conceput pentru sistemele Android și aplicațiile mobile asociate. Malware-ul permite atacatorilor să gestioneze de la distanță dispozitivele mobile infectate, și poate fi folosit pentru derularea de atacuri ransomware și spionaj.

Aplicațiile web și cele mobile sunt parte integrantă a vieții cotidiene, fiind utilizate pentru o gamă largă de servicii online, de la socializare la banking și cumpărături. Ambele pot livra o experiență de calitate, însă există diferențe specifice atât ca tehnologie cât și ca riscuri de securitate asociate. Ce veți alege însă pentru un serviciu online: aplicații web sau aplicații mobile? Dacă nu aveți un răspuns, articolul de mai jos vă oferă câteva informații relevante.

 

Aplicații web sau aplicații mobile. Diferențe

Aplicațiile web

Aplicațiile web sunt programe software care rulează pe servere și sunt accesate printr-un browser web. Acestea sunt independente de platformă, ceea ce înseamnă că le putem utiliza pe orice dispozitiv cu un browser și conexiune la Internet. Dintre cele mai cunoscute exemple amintim Facebook, Google Docs, OneDrive dar există și numeroase aplicații web pentru business și interacțiune cu cetățenii.

Avantaje

  • Ușor de accesat de pe orice dispozitiv.
  • Nu necesită instalare sau actualizări manuale.
  • Pot utiliza servicii web și API-uri. De exemplu, aplicațiile web de știri folosesc API-urile rețelelor de socializare pentru a permite distribuirea articolelor pe Facebook sau Instagram cu un singur clic.

Dezavantaje

  • Depind de conexiunea la Internet.
  • Pot avea probleme de performanță din cauza latenței rețelei.
  • Securitatea este în mare măsură dependentă de securitatea serverului și a comunicației HTTP/HTTPS. Dacă serverele unui serviciu precum Dropbox sunt compromise, datele stocate în aplicație de către utilizator sunt vulnerabile, indiferent de măsurile de securitate pe care le-ar lua acesta.

 

Aplicațiile mobile

În medie, oamenii petrec până la 4 ore pe telefon, în fiecare zi, drept urmare, aplicațiile mobile sunt mai populare pentru că sunt dezvoltate pentru a rula pe dispozitive mobile precum smartphone-urile și tabletele. Acestea sunt de obicei distribuite prin intermediul magazinelor de aplicații (App Store pentru iOS, Google Play pentru Android).

Avantaje

  • Optimizate pentru performanță și experiență utilizator specifică platformei. De exemplu, aplicația Instagram rulează mai fluid pe dispozitive mobile decât versiunea web.
  • Pot funcționa offline sau cu conexiune intermitentă.
  • Acces direct la funcționalitățile hardware ale dispozitivului (GPS, cameră, accelerometru). În aplicațiile de fitness datele sunt folosite pentru monitorizarea activității fizice în timp real.

Dezavantaje

  • Necesită instalare și actualizare manuală.
  • Dependența de platformă (iOS, Android) poate limita accesibilitatea.
  • Diverse versiuni ale aplicației pot avea vulnerabilități diferite. O vulnerabilitate detectată în versiunea Android a aplicației TikTok poate să nu fie prezentă în versiunea iOS, ceea ce complică procesul de securizare pentru dezvoltatori.

 

Tipuri de atacuri cibernetice și frecvența lor

Atacuri asupra aplicațiilor web

1. Injection (SQL Injection, Cross-Site Scripting - XSS). Atacatorii „injectează” cod malițios în aplicația web pentru a obține acces neautorizat la date sau pentru a compromite funcționalitatea acesteia.

  • Frecvență: Foarte comun. Potrivit OWASP (Open Worldwide Application Security Project), Injection ocupă primul loc în topul celor mai frecvente 10 vulnerabilități.

2. Cross-Site Request Forgery (CSRF). În acest caz, atacatorul forțează utilizatorii să execute acțiuni nedorite într-o aplicație în care sunt autentificați.

  • Frecvență: Relativ comun, dar tocmai de aceea este și adesea prevenit prin bune practici.

3. Denial of Service (DoS). Atacurile DoS vizează să facă aplicația indisponibilă pentru utilizatori legitimi prin suprasolicitarea serverului.

  • Frecvență: Variabilă, dar toate aplicațiile web sunt potențiale ținte.

 

Atacuri asupra aplicațiilor mobile

1. Atacuri asupra API-urilor. Aplicațiile mobile depind adesea de API-uri pentru a comunica cu serverele. Vulnerabilitățile API-urilor pot fi exploatate pentru acces neautorizat sau pentru a manipula date.

  • Frecvență: Crescândă, având în vedere dependența în creștere de microservicii.

2. Reverse Engineering. Atacatorii decompilează aplicația pentru a înțelege logica și pentru a găsi vulnerabilități.

  • Frecvență: Relativ comun pentru aplicațiile populare și profitabile.

3. Malware. Instalarea de aplicații malițioase pe dispozitivele utilizatorilor pentru a fura date sau a compromite sistemul.

  • Frecvență: Crescătoare, mai ales pe platforme deschise precum Android.

 

Securitate: Aplicații web vs. Aplicații mobile

Aplicații web

Aplicațiile web sunt considerate mai vulnerabile din cauza accesibilității lor globale și a diversității tehnologiilor utilizate. Atacatorii pot exploata vulnerabilitățile cunoscute ale serverelor web, ale bazelor de date și ale comunicațiilor HTTP. În plus, fiind accesibile prin intermediul internetului, acestea sunt expuse la o gamă largă de atacuri automatizate. Potrivit unui raport CyCognito, 70% dintre aplicațiile web au lacune de securitate grave, cum ar fi lipsa protecției WAF sau a unei conexiuni criptate precum HTTPS, iar 25% dintre toate aplicațiile web nu au niciuna dintre aceste caracteristici esențiale de securitate.

Măsuri de securitate

  • Utilizarea HTTPS pentru toate comunicațiile.
  • Implementarea unor politici stricte de validare și filtrare a inputurilor.
  • Utilizarea unor mecanisme de autentificare și autorizare robuste.
  • Monitorizarea și logarea activităților suspecte.

Aplicații mobile

Pe de altă parte, aplicațiile mobile, deși expuse la atacuri specifice platformei, au un avantaj prin faptul că sunt distribuite prin intermediul magazinelor de aplicații, care impun anumite standarde de securitate cibernetică.  Cu toate acestea, ele pot fi compromise prin inginerie inversă, malware sau vulnerabilități ale API-urilor. Ca dovadă, în 2022, s-a înregistrat o creștere de 138% a vulnerabilităților critice descoperite pe Android, față de 2021, potrivit unui alt studiu. (https://www.msspalert.com/news/cyber-attacks-against-mobile-devices-growing-fast)

Măsuri de securitate

  • Utilizarea criptării pentru stocarea și transmiterea datelor sensibile.
  • Obfuscarea codului pentru a îngreuna ingineria inversă.
  • Implementarea unor politici stricte de permisiuni.
  • Testarea regulată a securității aplicațiilor și a API-urilor utilizate.

 

Recomandări generale pentru securizarea aplicațiilor

Recomandările de mai jos oferă un cadru solid pentru securizarea aplicațiilor. Iată câteva aspecte de bază în materie de protecție și prevenție:

1. Actualizări și Patching. Menținerea tuturor componentelor software actualizate pentru a preveni exploatarea vulnerabilităților cunoscute.

2. Criptarea datelor. Asigurarea că toate datele sensibile sunt criptate atât în tranzit cât și în repaus.

3. Autentificare multifactor (MFA). Implementarea MFA pentru a adăuga un nivel suplimentar de securitate în procesul de autentificare.

4. Monitorizare și logging. Implementarea unor soluții de monitorizare a activităților și logarea evenimentelor pentru a detecta și răspunde rapid la incidentele de securitate cibernetică.

5. Testarea regulată a securității. Efectuarea de teste de penetrare și audituri de securitate pentru a identifica și remedia vulnerabilitățile.

6. Educația utilizatorilor. Informarea utilizatorilor cu privire la bunele practici de securitate și la riscurile asociate descărcării și utilizării aplicațiilor este cu atât mai importantă cu cât, în 2023, 68% dintre breșele de securitate au implicat un element uman non-malițios: o persoană care a căzut victimă unui atac de inginerie socială sau care comis o eroare, potrivit datelor Verizon.

Acesul la servicii online este esențial pentru toate categoriile de consumatori și prevalează riscurile de securitate și vulnerabilitățile  specifice aplicațiilor web sau celor mobile. Prin măsuri preventive și printr-o vigilență constantă, aceste riscuri pot fi reduse semnificativ. În cele din urmă, securizarea aplicațiilor nu e o cursă de sprint, ci mai degrabă un maraton: e nevoie de tehnologie, procese bine gândite și educație continuă pentru a ține hackerii la distanță și aplicațiile în siguranță.

Dacă urmează să lansați un serviciu online și aveți o dilemă ce tip de tehnologie să alegeți, aplicații web sau aplicații mobile consultanții PRAS vă stau la dispoziție.