Il progetto di ricerca europeo Aspire per la protezione avanzata delle App Mobile, finanziato nell’ambito dell’FP7, settimo Programma Framework, con la partecipazione della Fondazione Bruno Kessler (FBK) di Trento, ha ottenuto la valutazione “eccellente” da parte della Commissione Europea.
Aspire (Advanced Software Protection: Integration, Research and Exploitation), coordinato per FBK da Mariano Ceccato (ricercatore dell’Unità Software Engineering guidata da Paolo Tonella), è dedicato alla sicurezza informatica e in particolare alla protezione automatica del codice delle App. Dopo tre anni di lavori, i risultati sono stati presentati ai revisori lo scorso gennaio a Bruxelles, e in aprile è arrivata ai ricercatori la valutazione ufficiale: il punteggio più alto possibile, “excellent”.
I programmi software, e in particolare le App per smartphone, sono intrinsecamente insicuri perché, una volta consegnati all’utente finale, possono essere modificati. In questo modo una App potrebbe funzionare in maniera differente da come era stata originariamente progettata e realizzata. Il problema è molto sentito in vari settori, come sistemi di video-on-demand, pay-per-view, applicazioni bancarie e in generale programmi che richiedono una licenza valida (e pagata) per funzionare.
Grazie al progetto Aspire, che ha visto la partecipazione di 4 enti di ricerca (Fondazione Bruno Kessler, la Ghent University, il Politecnico di Torino e l’University of East London) e 3 aziende (Gemalto, Nagravision e SafeNet Europe), sono stati ideati approcci innovativi per proteggere automaticamente le App da tentativi di adulterazione.
Da dove nasce il problema della protezione del codice delle App
“Il problema che ci siamo posti era quello di limitare o evitare del tutto che una App per smarthphone potesse subire adulterazioni – ha spiegato Mariano Ceccato -. Oggi nel caso di software dedicato alla fruizione di contenuti digitali come video, musica, giochi, si osservano vari scenari di attacco. Noi ci siamo posti l’obiettivo di contrastare gli attaccanti che, identificandosi con l’utente finale, modificano le App a proprio vantaggio e sono quindi in grado, ad esempio, di accedere gratis a contenuti a pagamento. Accedendo al codice dell’App riescono infatti ad estrarre chiavi crittografiche e quindi decodificare i segnali in streaming. Oppure riescono – nel caso di modelli di tipo Freemium – a modificare la App in modo da non visualizzare la pubblicità. Nel caso dei videogiochi, riescono ad hackerare il software per ottenere punteggi più elevati. O anche, dove lo sviluppatore guadagna da proventi pubblicitari, tramite click through su Adv pubblicati nell’App, riescono a modificare il software in modo che i guadagni vadano all’hacker. Tutte cose che portano i produttori dell’App a perdere velocemente credibilità nel mercato, oltre che rischiare di perdere i ritorni economici e quindi mettere in forse la stessa sostenibilità del business”.
Come funziona la piattaforma Aspire
Obiettivo di Aspire è stato quindi quello di sviluppare una serie di tecniche per proteggere le App da modifiche non autorizzate, concentrandosi in questo momento sui sistemi Android. Gli strumenti sviluppati, la piattaforma ACTC (Aspire Compiler Tool Chain), realizzano difese per il software sia di tipo “passivo”, come offuscazione del codice, sia “reattive”, dando alle App la possibilità di identificare eventuali tentativi di effrazione (ad esempio piccole modifiche in corso), e quindi di rispondere, da un lato segnalando quanto rilevato allo strumento di difesa, dall’altro lato, attaccando esse stesse gli ambienti di analisi a cui sono state eventualmente sottoposte in modo malevolo. Gli strumenti di difesa a loro volta, ricevendo la segnalazione, reagiscono disabilitando del tutto l’App, in modo che non possa più essere utilizzata ad esempio per visualizzare film o altri contenuti.
“Le protezioni ideate durante il progetto sono state testate in vari modi – ha aggiunto Mariano Ceccato-. In particolare, abbiamo ingaggiato degli hacker professionisti per efefttuare test sulle App che erano state messe in sicurezza con i tool Aspire, in modo da studiare non solo i punti forti e i punti deboli delle protezioni, ma anche per capire quali strategie e quali strumenti vengano impiegati per condurre questo tipo di attacchi. Infine, è stata lanciata una sfida simile aperta al pubblico, con premio in denaro per chi fosse riuscito a infrangere le protezioni. I risultati di questi test hanno permesso di migliorare le tecniche di protezione e di rafforzare i risultati del progetto Aspire”.
Quali sono i punti di forza della soluzione
Rispetto a soluzioni classiche di application security, che supportano il lavoro dello sviluppatore identificando le vulnerabilità del software durante il ciclo di sviluppo e deployment, la soluzione Aspire viene applicata a posteriori, e quindi punta a non gravare sul lavoro di chi produce il software. “Aspire prevede che lo sviluppatore indichi le parti del codice da proteggere – ha spiegato Ceccato – : il tool aggancia queste notifiche e procede a porre le protezioni dove queste servono di più. Ha quindi alcuni vantaggi esclusivi: un elevato livello di automazione, un utilizzo semplificato, un’efficacia dimostrata nella protezione. Lo sviluppo di App subisce tipicamente un’elevata pressione e richiede un time-to-market molto stretto: il tempo in cui l’App è resa disponibile è quindi un fattore decisivo per decretarne il successo. Per questo motivo spesso vengono pubblicate App che non sono del tutto pronte. Poterle mettere in sicurezza in modo veloce e quasi automatico è fondamentale”.
Quali saranno le ricadute imprenditoriali del progetto di ricerca
I ricercatori della Fondazione Bruno Kessler hanno già dato vita a “2ASPIRE”, una startup il cui obiettivo è mettere in produzione e commercializzare le soluzioni innovative elaborate dal progetto di ricerca stesso e rendere le App sempre più sicure. “La roadmap di 2Aspire è quella di passare da un prototipo a un prodotto industriale, che sarà validato su alcuni early adopter che stiamo identificando – ha detto Ceccato-. Inoltre, cercheremo finanziatori come venture capitalist, per ampliare la società dal punto di vista commerciale e sugli aspetti di manutenzione e sviluppo del prodotto. Per quanto riguarda la clientela a cui ci proporremo in primis, sarà quella degli App owner più sensibili agli aspetti di sicurezza, oltre che società che sviluppano App e fornitori di servizi per le App, come Store e Cloud Provider, o operatori TLC, che possono offrire questo servizio in aggiunta ai propri”. Il piano aziendale di 2ASPIRE si è già aggiudicato il primo premio nella categoria ICT della competizione D2T Start Cup (promossa da TrentinoSviluppo).
A cura di: Elena Vaciago
Associate Research Manager, The Innovation Group
