800 800 070
Disponibile H24
Email info@argocyber.it
Nell’era della mobilità digitale le applicazioni per cellulari e smartphone sono sempre più diffuse, questa evoluzione ha generato una gamma completa di nuovi attacchi non rilevabili nel mondo delle applicazioni web classiche.
Argo Cyber è un punto di riferimento nel campo della sicurezza mobile. Il servizio di Mobile Application Penetration Testing, fondamentale per la sicurezza delle applicazioni mobili, viene eseguito con meticolosità e competenza, grazie alla profonda esperienza e all’avanguardia del nostro team.
Argo Cyber adotta un duplice approccio in fase di testing:
Automatico: utilizzando strumenti automatizzati, gli specialisti eseguono scansioni preliminari per rilevare vulnerabilità comuni e note. Questo passaggio permette di identificare rapidamente e in modo efficiente le minacce più diffuse, garantendo una copertura ampia e sistematica.
Manuale: oltre all’analisi automatica, i professionisti di Argo procedono con un esame manuale dettagliato delle mobile applications. Questo approccio permette di rilevare vulnerabilità più sofisticate e specifiche, utilizzando tecniche di attacco all’avanguardia e simulazioni di scenari di hacking reale.
Nello specifico Il nostro MAPT consta di quattro fasi: Analisi Statica, Analisi Dinamica, Analisi dei flussi di rete e Reporting.
Il tutto parte con l’installazione completa del pacchetto applicativo (il binario dell’applicazione mobile: ad esempio app.apk, app.ipa, etc.) per poi effettuare una verifica completa di tutte le varie funzionalità applicative disponibili. Si analizzano tutti i metadati del pacchetto applicativo e successivamente si esegue un reverse engineering del binario dell’applicazione mobile (laddove possibile) al fine di ottenerne lo pseudo codice sorgente e identificare eventuali dati sensibili memorizzati al suo interno.
Si prosegue l’attività analizzando dove i dati sensibili sono richiesti, come si muovono all’interno dell’applicazione, come sono utilizzati e così via. In particolare, si esamina dove e come l’applicazione gestisce le informazioni sensibili, se l’applicazione sta utilizzando correttamente le API native e se le credenziali dell’utente, i token di sessione, le informazioni personali e qualsiasi altro dato sensibile viene memorizzato in maniera sicura. Come parte di questa analisi, si effettuano controlli che esaminano la memoria per garantire che i dati sensibili siano adeguatamente cancellati dall’applicazione. Durante questa fase di test, si tenta di accedere alle funzionalità nascoste, oltre a provare a scalare i privilegi.
Altro punto di osservazione di grande importanza è la convalida dei dati: viene identificata e verificata qualsiasi porta aperta, interfaccia, canale IPC e qualsiasi altra modalità di ingresso che potrebbe essere sfruttata da un attaccante. Viene costruito un diagramma di come queste componenti lavorano insieme; tale diagramma sarà utile durante il prosieguo dell’assessment.
Inoltre si esamina la comunicazione tra l’applicazione mobile e tutti i sistemi/servizi remoti. L’analisi del traffico si concentra sullo scoprire le vulnerabilità relative alla divulgazione di informazioni, alla manomissione dei dati in transito, alla gestione dell’autenticazione, della sessione e altri punti deboli correlati.
Al termine del MAPT viene redatto un report dettagliato contenente le vulnerabilità individuate (con relativo dettaglio del software/servizio interessato, screenshot, tipo di vulnerabilità, livello di criticità, e possibili azioni di remediation).
Argo Cyber aderisce allo standard OWASP Mobile Application Security (MAS), al fine fornire un approccio standardizzato e approfondito. L’attività di testing, eseguita seguendo le check list previste da OWASP MASVS e OWASP MASTG, è effettuata su otto differenti aree di interesse:
Vulnerabilità come fughe di informazioni dovute a comunicazioni non sicure, debolezze nelle funzionalità crittografiche, problemi nell’autenticazione e autorizzazione, mancanze nella sicurezza dei codici e nella gestione delle sessioni e lacune in tema di privacy e data protection, sono, dunque, identificate e analizzate, al fine di poter offrire soluzioni di mitigazione.
Argo Cyber eleva il concetto di sicurezza delle Mobile Application, andando oltre il tradizionale Penetration Testing. Con un servizio che integra sia la diagnosi che la consulenza per la mitigazione, offre una soluzione completa, assicurando non solo l’identificazione ma anche la tempestiva risoluzione delle vulnerabilità, garantendo anche una protezione completa e duratura.
Argo Cyber è un progetto ad alta componente tecnologica e specialistica unico nel suo genere.
Avvalendosi dell’apporto di professionisti altamente qualificati e ricorrendo ad avanzate tecnologie informatiche, identifica e progetta soluzioni innovative e personalizzate per i propri clienti.
Disponibile H24
Email info@argocyber.it
Argo Cyber investe costantemente nelle certificazioni per migliorare il livello dei servizi offerti e
garantire così il massimo della professionalità e della sicurezza ai propri clienti.
ARGO CYBER
H24 ☏ 800 800 070
Via dei Gracchi 32, 00192 Roma RM, Italia
Via S. Pietro All’Orto 9, 20121 Milano MI, Italia
Via Legnano 27, 10128 Torino TO, Italia
60 Saint Martin’s Lane Covent Garden, Londra
Pagamenti Online o in Sede con tutte le più comuni Carte di Credito
Agenzia Investigativa Certificata per la Gestione del Sistema di Qualità (ISO 9001) e gestione per la Sicurezza delle Informazioni (ISO 27001)
Licenza Investigativa Protocollo Nr. 46633/Area | TER O.S.P. Rilasciata dalla Prefettura di Roma
P.I. 15137521009