Scopri il Customer Program Archimedia
Scoprilo qui
Qual è la strategia migliore per te?
Chiedi una call

Google Play vs. Apple Store: Aspetti di sicurezza

17 mar , 2016 | 5 minuti

gplay_vs._astore.png

Nel precedente post ti ho spiegato perché iOS non può essere considerato sicuro in senso assoluto, nonostante questo, per “dare a Cesare ciò che è di Cesare”, vediamo qual è il procedimento necessario per diventare sviluppatore di App per Android ed Apple e poterle caricare sui relativi store ufficiali.

Dal momento che oggi è così semplice inserire codice maligno in un software o crearli direttamente, vediamo su cosa si basa quella che viene considerata la maggiore “sicurezza” delle applicazioni Apple, perché, bisogna dirlo, rispetto allo store di Google qualche verifica in più viene effettuata, anche se, come vedremo, non rappresenta comunque una garanzia certa di protezione dai malware.

Per sdrammatizzare apriamo una parentesi sui costi, la fee annuale da pagare ad Apple per essere sviluppatore è di 99$, mentre quella da pagare a Google è di 25$, nulla di nuovo e nemmeno di strano!!!

Per quanto riguarda Apple la prima cosa da fare è aprire un “Developer Account”, tramite una semplice procedura di registrazione nella quale viene richiesto l’account ID e se ci si vuole registrare come singolo sviluppatore o come organizzazione, si accetta un agreement e si paga tramite carta di credito. Dopodiché in 24 ore riceviamo la conferma di registrazione.

Concluso questo passaggio non possiamo ancora creare delle app. perché prima dobbiamo avere 2 tipi di certificati:

  • iOS Distribution, è univoco per developer account, necessario per firmare l’app che andremo a sviluppare e per distribuirla tramite l’Apple Store. Questo certificato sarà collegato a tutte le App che andremo a creare con il nostro account. Al di là della procedura per generarlo e della piattaforma che andremo ad utilizzare per sviluppare l’App, questo accompagnerà sempre l’App. stessa ed attesterà che siamo stati noi a distribuirla, ovvero noi ad aver inserito eventuale malware. Quindi oltre alle assunzioni di responsabilità contenute nell’agreement che siamo tenuti ad accettare, questo certificato fornisce un legame di più alto livello tra l’applicazione e il suo sviluppatore.
  • APNS Production iOS, è sempre legato allo sviluppatore ma deve esserne generato uno per ogni App che vogliamo pubblicare. Serve per fornire le notifiche push, fondamentali per il coinvolgimento e la comunicazione degli utenti della nostra App. Non sono quindi obbligatorie da un punto di vista del funzionamento o della sicurezza ma piuttosto per la loro efficacia.

 

Questi 2 certificati e il loro collegamento all’app. attraverso la piattaforma di sviluppo che utilizziamo, ci permettono effettuare il caricamento sullo store ufficiale Apple.

Dopo aver effettuato l’upload questa non sarà pubblicata subito, perché prima saranno effettuati dei controlli, questo è il motivo per cui spesso trascorre diverso tempo prima che questa sia effettivamente disponibile e scaricabile dagli utenti.

Per ragioni comprensibili non sono pubblicati dettagli di come vengono scansionate ma al meno che non esista una tecnologia aliena a noi sconosciuta, seguendo una certa logica penserei ad una Sandbox, perché attualmente è la tecnologia più evoluta per il rilevamento del malware.

 

Per chi non dovesse conoscere questo metodo, il concetto è molto semplice, se volessi sapere se un programma è malevolo, per non saper né leggere né scrivere lo manderei in esecuzione in un ambiente virtuale isolato e starei a guardare cosa fa. Il concetto non è nuovo e probabilmente si tratta di una tecnologia di questo tipo.

 

Rimane il fatto di alcuni casi di successo, anche datati, in cui qualcuno è riuscito a pubblicare un’app contenente delle chiamate malevole, ovvero a bypassare questi controlli. Nel contesto delle Sandbox questo accade quando il malware, istruito a farlo, evita di attivare le sue funzioni malvagie nel momento in cui si accorge di non essere approdato su un reale device, così da sembrare un’app lecita superando il controllo. La tecnica esiste ed è quella di sfruttare gli exploit.

Questi casi, vedi Jeckyll, come dicevo risalgono a qualche anno fa (2013) e al giorno d’oggi le Sandbox sono evolute al punto tale da non farsi più riconoscere come tali, ma simulando molto realisticamente un vero sistema operativo, obbligano il malware ad attivarsi.

Nel campo della sicurezza, ormai lo sappiamo funziona così, fatta la legge fatto l’inganno. Combattiamo ogni giorno una partita a scacchi, mossa e contromossa.

Purtroppo pubblicare direttamente malware sull’Apple Store non è l’unico modo per andare a segno, ad oggi sono note altre 2 modalità già utilizzate con successo che descriverò presto in un articolo in cui parlerò delle minacce che affliggono iOS e OS X.

 

Ora passiamo a Google Play, lo store ufficiale per le App di Android e alla relativa procedura di caricamento.

La fase iniziale è analoga a quella descritta per Apple, prevede l’apertura di un account da sviluppatore e il pagamento dell'annualità.

L’apertura dell’account è subordinata all’accettazione di un agreement in cui lo sviluppatore si rende responsabile delle App caricate tramite il proprio account, non sono previsti certificati di nessun tipo, vanno solo firmate digitalmente.

 

Queste sono le clausole:

4.4 Attività vietate. Lei accetta di non intraprendere alcuna attività nell'ambito dello Store, compresi lo sviluppo o la distribuzione di Prodotti, che interferisca con, disturbi, danneggi o acceda in modo non autorizzato a dispositivi, server, reti oppure altre proprietà o altri servizi di terze parti compresi, a titolo esemplificativo, utenti di Android, Google o qualsiasi operatore di rete mobile. Non può utilizzare le informazioni sui clienti ottenute dallo Store per vendere o distribuire Prodotti con mezzi diversi dallo Store.

8.1 Lei accetta di assumersi la responsabilità di mantenere la riservatezza delle credenziali dello sviluppatore che possono esserle fornite da Google o che può scegliere lei stesso, nonché di essere l'unico responsabile di tutti i Prodotti sviluppati con le credenziali dello sviluppatore. Google può limitare il numero di Account sviluppatore fornito a Lei o all'organizzazione o azienda per cui lavora.

 

Dopo il caricamento, contrariamente a quanto succede sull’Apple Store, le App sono disponibili molto velocemente, infatti non sono attuati controlli anti-malware prima della pubblicazione.

Solo successivamente vengono verificate ed eventualmente rimosse, lasciando quindi il tempo alle versioni maligne di essere installate dagli utenti.

Confrontando i due scenari è lampante la minore attenzione di Google rispetto ad Apple, il punto è, per volontà o impossibilità?

Tralasciando gli aspetti di qualità e utilità delle app, lo store di Google è da sempre più fornito, ma se guardiamo i dati dal 2010 ad oggi, vediamo che il divario tra i due è sempre stato proporzionato rispetto la crescita.

 

Se invece andiamo a considerare l’entità del divario, ad oggi vediamo che su quasi 2 milioni di App per Android equivale a circa 300.000.

 

Questo scenario, unitamente alla diffusione stessa dei dispositivi Android, ha portato Google verso la scelta di scansionare le app dopo la loro pubblicazione, per non introdurre eccessivi tempi di attesa.

Scelta sicuramente meno sicura ma con altri tipi di benefici.

Oltre a questo Apple legando tramite i certificati l’App. al suo sviluppatore crea tra essi un legame molto più formale e inequivocabile per questo è lampante il maggiore sforzo della casa di Cupertino verso la sicurezza e la qualità.

La volontà quindi c’è tutta, purtroppo non significa che questo sia sufficiente, in giro c’è bella gente estremamente fantasiosa e competente.

 

Perché un Hacker dovrebbe farsi degli scrupoli nel mettere nei guai un programmatore manomettendo una sua applicazione? Oppure caricandola a suo nome?

E’ possibile ed è già successo. Vuoi sapere come?

 Te lo spiegherò nel prossimo articolo, nel quale chiuderemo il cerchio e vedremo alcuni esempi di attacchi ad Apple, perché non esistono sistemi sicuri in senso assoluto ma solo sistemi attaccabili con metodi diversi. Iscrivendoti al nostro blog potrai ricevere automaticamente i nostri post, uno alla settimana, via email.

Spero di esserti stato utile, ma tu non perdere l'occasione di seguire il nostro blog, ogni settimana pubblicheremo nuovi articoli per aiutarti ad affrontare le sfide sulla sicurezza informatica.

Inoltre, in questa guida puoi trovare le opnioni di oltre 3.000 IT Manager, che abbiamo raccolto per costruire la classifica dei "Top 10 rischi sulla sicurezza informatica per il 2016" e completato con molti consigli utili sulle contromisure da attuare per proteggere i tuoi sistemi.  

Cristiano Pastorello

DPO & Amazon Web Service Specialist
Scroll