logo-unlock-security

Mobile Security

Non lasciare che le vulnerabilità delle tue app mettano a rischio la sicurezza dei tuoi utenti: affidati a noi per proteggerli.

Servizio di Mobile Security
private void invokePlugins() {
  for (PackageInfo info : getPackageManager()
                          .getInstalledPackages(0)) { 
    String packageName = info.packageName;
    Bundle meta = info.applicationInfo.metaData;
    if (packageName.startsWith("example.plugin.") &&
        meta.getInt("version", -1) >= 10) {
      try {
        createPackageContext(packageName, 3)
          .getClassLoader()
          .loadClass("example.plugin.Loader")
          .getMethod("loadMetadata", Context.class)
          .invoke(null, this);
      } catch (Exception e) {
          throw new RuntimeException(e);
      }
    // ...

Rileviamo e segnaliamo le vulnerabilità della tua app

Il servizio Mobile Security consente di identificare le vulnerabilità di un'applicazione mobile (Android e iOS). Replichiamo diversi scenari di attacco informatico per identificare i punti deboli della tua applicazione, e di eventuali API interrogate.

Bypass protezioni
Identifichiamo e bypassiamo eventuali meccanismi di protezione dell'applicazione (es. SSL pinning, anti-root, anti-tampering, anti-debug).
Analisi statica
Risaliamo al codice sorgente dell'applicazione per analizzarlo in ogni sua parte per individuare più vulnerabilità possibili.
Analisi dinamica
Analizziamo le interazioni tra l'applicazione ed eventuali servizi esterni per identificare problemi nell'uso dei dati.
Protezione del dato
Verifichiamo in che modo l'applicazione gestisce i dati trattati per aiutarti a proteggerli da altre app malevole.

Seguiamo i principali standard di settore

Il servizio Mobile Security viene effettuato dal nostro team di specialisti di sicurezza, seguendo rigorosamente i principali standard e linee guida di settore tra cui:

OSSTMM (Open Source Security Testing Methodology Manual)
NIST Cybersecurity Framework
OWASP MASVS (Mobile Application Security Verification Standard)
OWASP MASTG (Mobile Application Security Testing Guide)
OWASP Mobile Top 10
Standard OWASP MASVS e MASTG per la Mobile Security
Protezione del dato
Poniamo attenzione alla sicurezza del dato in termini di confidenzialità, integrità e disponibilità.
Calcolo impatti
L'impatto di ogni vulnerabilità individuata viene calcolato seguendo lo standard CVSSv3.1.
Piattaforma di test collaborativa

Eseguiamo i test in modo collaborativo

Tutti gli ethical hacker coinvolti in un'attività condividono i propri risultati in tempo reale su una nostra piattaforma online con accesso controllato ed esclusivo. Una soluzione semplice che garantisce molti benefici

Massima copertura
La collaborazione massimizza la copertura dei test evitando di impiegare tempo su qualcosa che è stato già testato.
Qualità, sempre
ll project leader può monitorare in ogni momento che il test rispetti gli standard di qualità richiesti da Unlock Security
99% test, 1% report
Automatizzare la creazione del report permette ai tester di sfruttare al massimo il tempo a disposizione per i test.

Cosa mettiamo in sicurezza

App Android
Applicazioni native sviluppate in Java o Kotlin
App iOS
Applicazioni native sviluppate in Objective-C o Swift
App ibride
App sviluppate con framework come React Native o Flutter
App HTML
Applicazioni mobile sviluppate utilizzando le tecnologie del web

La nostra offerta

Ecco tutto ciò che ti offriamo con il servizio Mobile Security.

Ethical Hacker qualificati e certificati per la ricerca di vulnerabilità

Image link
Professional Penetration Tester
Professional Penetration Tester
È una certificazione di Ethical Hacking e Penetration Testing sulle tecniche di attacco contro reti, sistemi operativi e applicazioni.
Mobile Application Penetration Tester
Mobile Application Penetration Tester
È una certificazione che viene rilasciata agli esperti di cyber security che dimostrano una conoscenza avanzata della sicurezza delle applicazioni mobile.
Web Application Penetration Tester
Web Application Penetration Tester
È una certificazione che valuta le competenze dei professionisti di sicurezza informatica in materia di penetration test delle applicazioni web.
Formazione continua
Unlock Security investe continuamente nella formazione del personale per garantire un aggiornamento costante sui principali temi di cyber security.
Professional Penetration Tester
Professional Penetration Tester
È una certificazione di Ethical Hacking e Penetration Testing sulle tecniche di attacco contro reti, sistemi operativi e applicazioni.
Mobile Application Penetration Tester
Mobile Application Penetration Tester
È una certificazione che viene rilasciata agli esperti di cyber security che dimostrano una conoscenza avanzata della sicurezza delle applicazioni mobile.
Web Application Penetration Tester
Web Application Penetration Tester
È una certificazione che valuta le competenze dei professionisti di sicurezza informatica in materia di penetration test delle applicazioni web.
Formazione continua
Unlock Security investe continuamente nella formazione del personale per garantire un aggiornamento costante sui principali temi di cyber security.

Poniamo estrema attenzione al dettaglio per un report completo ed efficace

Image link
Rapporto Esecutivo
Sommario dei risultati ottenuti che riporta dettagli ad alto livello delle vulnerabilità, con lo scopo di fornire una panoramica dello stato di sicurezza del target.
Suggerimenti per il patching
Suggerimenti per gli sviluppatori sui rimedi che è possibile applicare per risolvere la problematica segnalata.
Dettaglio tecnico
Dettagli delle vulnerabilità individuate e dei relativi impatti sul sistema target. Permette agli sviluppatori di comprendere la problematica e il suo impatto.
Report multilingue
Possibilità di realizzare l'intero report sia in lingua italiana che in quella inglese.
Rapporto Esecutivo
Sommario dei risultati ottenuti che riporta dettagli ad alto livello delle vulnerabilità, con lo scopo di fornire una panoramica dello stato di sicurezza del target.
Suggerimenti per il patching
Suggerimenti per gli sviluppatori sui rimedi che è possibile applicare per risolvere la problematica segnalata.
Dettaglio tecnico
Dettagli delle vulnerabilità individuate e dei relativi impatti sul sistema target. Permette agli sviluppatori di comprendere la problematica e il suo impatto.
Report multilingue
Possibilità di realizzare l'intero report sia in lingua italiana che in quella inglese.

Supportiamo gli sviluppatori nelle diverse fasi di patching delle vulnerabilità

Image link
1
Presentazione
Organizziamo un incontro per presentare e dettagliare il report di sicurezza in ogni sua parte.
2
Validazione
Valutiamo e validiamo il piano proposto dagli sviluppatori per evitare errori nella fase di patching e ottimizzare i tempi di risoluzione.
3
Implementazione
Gli sviluppatori implementano la strategia concordata in fase di validazione e applicano le patch.
4
Verifica
Replichiamo gli attacchi per verificare la corretta implementazione del piano di patching.
1
Presentazione
Organizziamo un incontro per presentare e dettagliare il report di sicurezza in ogni sua parte.
2
Validazione
Valutiamo e validiamo il piano proposto dagli sviluppatori per evitare errori nella fase di patching e ottimizzare i tempi di risoluzione.
3
Implementazione
Gli sviluppatori implementano la strategia concordata in fase di validazione e applicano le patch.
4
Verifica
Replichiamo gli attacchi per verificare la corretta implementazione del piano di patching.

Ti offriamo un servizio di sicurezza che rispetta le necessità del tuo business

Image link
Analisi del codice sorgente
Possibilità di affiancare le analisi di sicurezza standard a un'analisi più approfondita basata sul codice sorgente.
Accesso ai risultati in tempo reale
Abbiamo ideato una soluzione ad-hoc per fornire accesso in tempo reale ai risultati ottenuti durante i test di sicurezza.
Attività continuative
Offriamo la possibilità di effettuare i test di sicurezza in modo continuativo garantendo una sicurezza duratura nel tempo.
Richieste particolari?
Siamo a completa disposizione per accogliere eventuali nuove proposte di modulazione del servizio per soddisfare le tue esigenze.
Analisi del codice sorgente
Possibilità di affiancare le analisi di sicurezza standard a un'analisi più approfondita basata sul codice sorgente.
Accesso ai risultati in tempo reale
Abbiamo ideato una soluzione ad-hoc per fornire accesso in tempo reale ai risultati ottenuti durante i test di sicurezza.
Attività continuative
Offriamo la possibilità di effettuare i test di sicurezza in modo continuativo garantendo una sicurezza duratura nel tempo.
Richieste particolari?
Siamo a completa disposizione per accogliere eventuali nuove proposte di modulazione del servizio per soddisfare le tue esigenze.

Domande frequenti

In queste FAQ, rispondiamo ad alcune delle domande più frequenti che riceviamo.

I principali rischi che è possibile individuare sono legati alle vulnerabilità delle app mobile. Queste vulnerabilità possono essere sfruttate da criminali informatici o app malevole per causare diversi danni, come ad esempio:

  • Rubare informazioni sensibili come password e dati personali dell'utente dell'app
  • Analizzare il codice sorgente dell'app per svelare eventuali informazioni riservate
  • Infezione dell'app con software dannoso per rubare dati o compromettere la sicurezza degli utenti

Il servizio Mobile Security può aiutare a proteggere le app mobile da questi rischi, individuando e correggendo le vulnerabilità prima che possano essere sfruttate da criminali informatici. In questo modo si può evitare che l'app sia attaccata e che gli utenti corrano rischi per la loro sicurezza.

Per sottoporre la tua app al servizio Mobile Security, devi assicurarti di:

  • Fornirci il file APK (per Android) o IPA (per iOS) per installare l'app sui nostri dispositivi
  • Se l'app fa uso di API, queste devono essere rese raggiungibili tramite Internet oppure su rete privata
  • È buona prassi fornire delle utenze per analizzare anche le funzionalità che richiedono il login, qualora previsto

Il servizio Mobile Security offre diversi vantaggi rispetto a una scansione automatica per quanto riguarda la sicurezza delle app mobile. In particolare simula un attacco informatico per identificare eventuali vulnerabilità e debolezze.

Inoltre fornisce una valutazione più accurata della situazione di sicurezza rispetto a una scansione automatica, poiché simula un attacco in modo reale, simile a quelli che potrebbero essere effettuati da un hacker vero e proprio. Inoltre, può offrire una valutazione delle conseguenze e degli impatti di un attacco informatico sull'azienda, aiutando a definire le priorità e le misure di sicurezza da adottare.

Infine, il servizio Mobile Security può essere personalizzato in base alle specifiche esigenze dell'azienda, fornendo una valutazione più accurata e mirata della situazione di sicurezza.

OWASP Mobile Application Security Verification Standard (MASVS) è uno standard di verifica della sicurezza delle applicazioni mobile sviluppato dal progetto Open Web Application Security Project (OWASP) utilizzato da Unlock Security come linea guida. La MASVS fornisce un insieme di requisiti di sicurezza per le applicazioni mobile e definisce i criteri che le applicazioni devono soddisfare per essere considerate sicure.

La MASVS è stata sviluppata per aiutare gli sviluppatori di applicazioni mobile a garantire la sicurezza delle loro applicazioni e proteggere i dati sensibili degli utenti. La MASVS si basa sulla OWASP Mobile Security Testing Guide (MSTG), che fornisce una guida dettagliata per il testing della sicurezza delle applicazioni mobile.

La MASVS è divisa in due livelli: il livello 1, che definisce i requisiti di sicurezza di base per le applicazioni mobile, e il livello 2, che definisce i requisiti di sicurezza avanzati per le applicazioni mobile che gestiscono dati sensibili o che sono esposte a un livello elevato di rischio.

La MASVS è uno strumento molto utile anche per gli sviluppatori di applicazioni mobile che vogliono garantire la sicurezza delle loro applicazioni e proteggere i dati sensibili degli utenti. Tuttavia, è importante ricordare che la sicurezza delle applicazioni mobile dipende anche dal modo in cui vengono utilizzate e dalle misure di sicurezza adottate dall'utente finale.

OWASP Mobile Application Security Testing Guide (MASTG) è una guida dettagliata per il testing della sicurezza delle applicazioni mobile sviluppata dal progetto Open Web Application Security Project (OWASP). La MASTG fornisce un insieme completo di tecniche e metodologie per il testing della sicurezza delle applicazioni mobile e include anche un elenco di vulnerabilità comuni e una descrizione di come rilevarle e correggerle.

Utilizzare OWASP MASTG nei test di sicurezza mobile è importante perché:

  1. Fornisce un insieme completo di tecniche e metodologie per il testing della sicurezza delle applicazioni mobile: La MASTG fornisce una guida dettagliata per il testing della sicurezza delle applicazioni mobile, che include tutte le tecniche e le metodologie necessarie per verificare la sicurezza delle applicazioni.

  2. Definisce gli standard di sicurezza per le applicazioni mobile: La MASTG include anche un elenco di vulnerabilità comuni e definisce gli standard di sicurezza che le applicazioni mobile devono soddisfare per essere considerate sicure.

  3. Aiuta a identificare e correggere le vulnerabilità: La MASTG fornisce una descrizione dettagliata di come rilevare e correggere le vulnerabilità presenti nelle applicazioni mobile, il che aiuta gli sviluppatori a garantire la sicurezza delle loro applicazioni.

In sintesi, utilizzare OWASP MASTG nei test di sicurezza mobile è importante perché fornisce un insieme completo di tecniche e metodologie per il testing della sicurezza delle applicazioni mobile, definisce gli standard di sicurezza per le applicazioni mobile e aiuta a identificare e correggere le vulnerabilità presenti nelle applicazioni.

Se hai bisogno di supporto per correggere le vulnerabilità di sicurezza, puoi fare pieno affidamento su Unlock Security per diverse ragioni:

  1. Esperienza e competenza: Unlock Security è un'azienda con una solida esperienza nel campo della sicurezza informatica e dispone di un team di esperti altamente qualificati in grado di fornire il supporto necessario per correggere le vulnerabilità di sicurezza.

  2. Metodologie e strumenti all'avanguardia: Unlock Security utilizza metodologie e strumenti all'avanguardia per individuare e correggere le vulnerabilità di sicurezza, garantendo così la massima efficienza e accuratezza nell'analisi e nella risoluzione delle problematiche.

  3. Personalizzazione delle soluzioni: Unlock Security offre soluzioni personalizzate per ogni cliente, in modo da poter rispondere in modo efficace alle esigenze specifiche di ciascun cliente e garantire la massima protezione possibile.

  4. Assistenza continua: Unlock Security offre un supporto continuo ai propri clienti, garantendo così una risposta tempestiva e un'assistenza efficace in caso di problemi o domande.

La OWASP Mobile Top 10 è una lista di vulnerabilità comuni che possono essere trovate nelle app per dispositivi mobili. Seguire questa lista durante un penetration test mobile può aiutare a garantire che le app siano testate per le vulnerabilità più comuni e pericolose, aiutando così a proteggere le app e i dati degli utenti.

Inoltre, la OWASP Mobile Top 10 è ampiamente riconosciuta come uno standard di riferimento per la sicurezza delle app per dispositivi mobili, quindi seguirla può aiutare a garantire che le app siano sicure per gli utenti e conformi ai requisiti di sicurezza dell'industria.