Application Memory Inspection: Come potenziare la sicurezza delle app

Scoprire i segreti nascosti: come l'ispezione della memoria può proteggere le tue applicazioni

Gli esperti di sicurezza informatica sono sempre in cerca di vulnerabilità nelle applicazioni. Vogliono trovare e risolvere questi punti deboli prima che siano i cattivi a scoprirli. Uno dei modi per individuare queste debolezze è l’Application Memory Inspection, ovvero l’ispezione della memoria delle applicazioni, per verificare se i dati sensibili sono memorizzati in modo accessibile. In questo articolo, ti mostreremo come gli esperti utilizzano il processo di ispezione della memoria per rafforzare la sicurezza delle tue app preferite.

Altri articoli che potrebbero interessarti:

application memory inspection come potenziare sicurezza app copertina

Cosa significa ispezionare la memoria?

Tutte le applicazioni hanno una memoria – dati generati dai processi delle applicazioni che vengono poi archiviati all’interno dei file dell’app, su un dispositivo o nel cloud. Se un’app non è stata configurata in modo sicuro, un hacker potrebbe frugare tra quei file e recuperare dati sensibili.

I cosiddetti hacker “white hat” – ovvero chi cerca vulnerabilità per risolverle – possono utilizzare gli stessi metodi a fin di bene. Cercando nella memoria delle app mobili e desktop e ispezionando i contenuti dei file di installazione infatti, possono individuare potenziali rischi e identificare soluzioni per proteggere gli utenti.

Estrazione della memoria

Il primo passo nel processo dell’Application Memory Inspection è estrarre la memoria da un’applicazione. Su un sistema operativo Windows, questo è facilmente realizzabile: basta aprire il task manager e creare un file di dump.

Per MacOS, invece, è necessario avviare in modalità di recupero e disabilitare la Protezione dell’Integrità del Sistema. Questa funzione protegge i processi da modifiche o manomissioni. Fatto questo, possiamo procedere alla creazione di un dump dei processi.

L’estrazione della memoria diventa un po’ più complicata quando ci si avvicina alle applicazioni mobili. Di solito, i dispositivi mobili richiedono privilegi di root per estrarre i contenuti dalla memoria di un’applicazione, con l’ausilio del tool Frida.

Dopo questo passo, dovremmo essere in possesso di un file .txt o .dmp che contiene la memoria estratta. È consigliabile eseguire questo file attraverso l’utility “strings” per filtrare le stringhe leggibili da un essere umano di una determinata lunghezza, poiché il dump potrebbe contenere caratteri non ASCII.

Alla ricerca di segreti

Una volta estratta la memoria, possiamo iniziare a lavorare con ciò che abbiamo. Principalmente, stiamo cercando informazioni che rivelano il seguente:

  • Valori di identificazione di sessione
  • Token di accesso
  • Credenziali dell’account di servizio
  • Informazioni personali identificabili
  • Password di autenticazione
  • Stringhe di connessione al database
  • Chiavi di crittografia e altri dati “segreti”
  • Dati con una classificazione di sicurezza superiore a quella consentita dal sistema di registrazione
  • Informazioni commercialmente sensibili
  • Informazioni la cui raccolta è illegale nelle giurisdizioni pertinenti
  • Informazioni dalle quali un utente ha scelto di escludersi o alle quali non ha dato il consenso

Le informazioni sensibili elencate sopra potrebbero essere utilizzate da malintenzionati a proprio vantaggio. Se queste informazioni sono disponibili attraverso l’ispezione della memoria, è un problema che deve essere risolto.

Sarebbe anche utile utilizzare script automatizzati che sono in grado di individuare vari token di accesso, chiavi API e altri valori. Ad esempio, è possibile utilizzare la seguente regola regex per trovare le chiavi AWS: ((‘|\”)((?:ASIA|AKIA|AROA|AIDA)([A-Z0-7]16))(‘|\”).?(\n^.?)4((‘|\”)[a-zA-Z0-9+/]40(‘|\”))+|(‘|\”)[a-zA-Z0-9+/]40(‘|\”).?(\n^.?)3(‘|\”)((?:ASIA|AKIA|AROA|AIDA)([A-Z0-7]16))(‘|\”))+

Application Memory Inspection: Comprendere i rischi

Considerando quante applicazioni oggi memorizzano dati ed eseguono processi nel cloud, i rischi posti dagli hacker che ispezionano la memoria delle app sono ancora maggiori. Se i cattivi possono trovare credenziali dell’account di servizio, chiavi API di Google e URL di Firebase nel dump, potrebbero utilizzarli a loro vantaggio.

Di solito, le credenziali dell’account di servizio vengono utilizzate per recuperare la configurazione remota di un’applicazione. Se un hacker ottiene credenziali valide per accedere ai sistemi cloud che sono configurati in modo non corretto, nessun firewall potrà impedirgli di accedere alle risorse di elaborazione, rete e archiviazione in quell’ambiente cloud.

Va tuttavia sottolineato che lasciare le chiavi dell’account nella memoria non è un problema, purché l’IAM sia configurato correttamente e sia applicato il principio del privilegio minimo.

Un esperto di sicurezza dovrebbe prestare particolare attenzione all’ambito dei token lasciati nella memoria dell’app e ai privilegi degli account di servizio, entrambi potenzialmente pericolosi quanto le credenziali dell’account di servizio esposte.

Anche se non troviamo vulnerabilità di sicurezza, l’Application Memory Inspection è comunque utile. Potremmo scoprire token o account non utilizzati che non sono più necessari, e la loro eliminazione può ridurre i costi di elaborazione, oltre a ridurre i rischi di sicurezza.

Risolvere le vulnerabilità

L’obiettivo dell’ispezione della memoria è trovare possibili vulnerabilità e dati sensibili che potrebbero essere esposti. Successivamente, queste vulnerabilità devono essere risolte.

Il principio del privilegio minimo dovrebbe essere applicato quando si risolvono problemi di memoria. Conserva solo i dati strettamente necessari e scarta tutto il resto. Questo è un concetto semplice che limiterà la possibilità di divulgare informazioni sensibili.

L’Application Memory Inspection può essere considerata un frutto a portata di chiunque nel mondo della cybersecurity. Tuttavia, le informazioni memorizzate o elaborate nella memoria di un cliente sono disponibili per gli amministratori e dovrebbero essere regolarmente controllate dal provider.

Tutti commettiamo errori, ed è utile eseguire un’ispezione periodicamente. Farlo non ci aiuta solo a trovare e risolvere gli errori, ma approfondisce anche la nostra comprensione del funzionamento interno dell’applicazione.

Cosa ne pensi di questa guida all’Application Memory Inspection per controllare la sicurezza delle app? Commenta qui sotto e condividi questo articolo con i tuoi amici! Non dimenticarti di iscriverti alla newsletter di Stolas Informatica e di seguirci su FacebookInstagram e Telegram per rimanere sempre aggiornato!

Indice

Il tuo indirizzo IP è:

18.97.14.88

La tua posizione è:

Ashburn,

USA

Il tuo indirizzo IP e la tua posizione sono visibili a chiunque.

Torna in alto

Offerta a tempo limitato:

Giorni
Ore
Minuti
Secondi

Risparmia il 72%!

su VPN + Antimalware!

Garanzia soddisfatti o rimborsati di 30 giorni

Offerta a tempo limitato:

Giorni
Ore
Minuti
Secondi

Risparmia il 72%!

su VPN + Antimalware!

Garanzia soddisfatti o rimborsati di 30 giorni

Indice

Il tuo indirizzo IP è:

18.97.14.88

La tua posizione è:

Ashburn,

USA

Il tuo indirizzo IP e la tua posizione sono visibili a chiunque.