App Apple e Android: cosa sta succedendo nelle ultime settimane

Nel giro di pochi giorni sono arrivati due annunci che descrivono bene la tensione sempre più crescente nell’ecosistema Apple e quello Android quando si parla di sicurezza delle app mobile.

• Apple ha reso noto di aver bloccato transazioni fraudolente per oltre 9 miliardi di dollari dal 2020 a oggi, di cui più di 2 miliardi solo nel 2024. Per riuscirci ha sospeso 46.000 account sviluppatore, respinto 1.9 milioni di submission e rimosso 37.000 app che violavano le policy dello store.
• Dall’altra parte, su Android, il trojan Crocodilus continua a evolversi. Oggi è attivo in otto Paesi tra Europa e Sud America, si camuffa e sfrutta i permessi di accessibilità per rubare credenziali (e non solo) bancarie e crypto.

Cosa ci insegnano questi due casi

1. Il modello semi-chiuso di Apple riduce la superficie d’attacco, ma non la azzera. Anche con review rigorose, Apple ammette di aver bloccato 10.000 app “pirata” fuori dallo store ufficiale.

2. La flessibilità di Android è un’arma a doppio taglio. La possibilità di installare apk da fonti esterne è la stessa che permette a Crocodilus di diffondersi con campagne di phishing sui social.

3. Gli attaccanti puntano dove passano i soldi. Dal banking in-app alle crypto, le app mobile sono diventate la corsia preferenziale sia per frodi tradizionali sia per nuovi modelli di social engineering.

La tua app è al sicuro?

Mobisec testa e monitora la sicurezza di applicazioni android e apple per aziende fintech, retail, telco, PA e non solo.

Il cuore del nostro approccio è DSA – Distributed Security Assessment.

Vuoi sapere quanto è esposta la tua app?
Contattaci e scopri la Mobisec Console

App security, quali sono i prossimi passi che puoi fare

1. Valuta il rischio attuale. Anche se la tua app è su App Store o Google Play, esistono strade alternative che gli attaccanti possono percorrere. Le puoi monitorare.

2. Integra la sicurezza nel ciclo di sviluppo. Il 30 % delle app respinte da Apple lo è per problemi di privacy o permission abuse. Meglio scoprirlo prima che dopo la submission.

3. Adotta un approccio di sicurezza continuativa. Le minacce si evolvono più in fretta dei cicli di release: un assessment una tantum non basta.

Le statistiche record di Apple dimostrano che anche ciò che sembra estremamente protetto e sicuro non lo è mai del tutto, mentre l’espansione di Crocodilus evidenzia quanto la catena di distribuzione aperta di Android resti vulnerabile. Il mobile è tra i primi touch-point con la tua azienda, ignorare questi segnali significa regalare terreno agli attaccanti.

Con DSA, Mobisec ti aiuta a colmare il gap tra compliance e sicurezza reale, proteggendo il tuo business e i tuoi utenti lungo l’intero ciclo di vita dell’app mobile.

Scopri di più su DSA