Aggiornamenti recenti Dicembre 1st, 2023 2:00 PM
Apr 19, 2018 Marco Schiaffino In evidenza, Leaks, News, Privacy, RSS, Vulnerabilità 1
La sicurezza di un’applicazione non dipende solo dall’architettura messa a punto dagli sviluppatori principali. Se utilizza funzioni offerte da terze parti (per esempio i servizi di visualizzazione di pubblicità in-app) il rischio che si aprano “varchi” nel perimetro di sicurezza aumenta esponenzialmente.
Stando a una ricerca pubblicata da Kaspersky, però, questo rischio è altissimo. Sarebbero milioni, infatti, le app per Android che, proprio a causa di funzioni introdotte da terze parti, trasmettono dati e informazioni senza alcuna protezione.
Come spiegano i ricercatori, il problema è legato agli strumenti (i cosiddetti Software Development Kit o SDK) che vengono normalmente utilizzati dagli sviluppatori per creare le loro app. Si tratta di “pacchetti” standard, che offrono funzioni già pronte (principalmente per visualizzare le inserzioni all’interno delle app) e consentono di risparmiare parecchio tempo nella fase di sviluppo.
Le funzioni di questo tipo, però, prevedono uno scambio di dati con i network pubblicitari che le gestiscono. Il motivo è semplice: tutti questi operatori puntano a distribuire annunci pubblicitari il più possibile “tagliati su misura” per l’utente.
Peccato che tutte queste informazioni vengano trasmesse senza alcuna forma di protezione crittografica, attraverso il semplice protocollo HTTP. Nel corso della loro indagine i ricercatori hanno individuato numerose app che inviano dati sensibili all’interno delle URL nelle richieste GET, alcune delle quali (Kaspersky non ne specifica i nomi) risultano avere milioni di installazioni.
Altre, ma in questo caso si specifica che il problema non deriva dall’uso di SDK di terze parti quanto di un vero e proprio errore di programmazione, inseriscono i dati sensibili senza protezione all’interno del campo Content delle richieste POST. Le applicazioni in questione (anche qui Kaspersky non ne specifica il nome) sono state tutte sviluppate stesso produttore e una di queste avrebbe più di 500 milioni di installazioni.
Ma qual è la conseguenza di tutto questo? Semplice: chiunque sia in grado di intercettare il traffico Internet del dispositivo può avere accesso a informazioni che comprendono il produttore del dispositivo, il modello, la risoluzione dello schermo, la versione del sistema operativo, il nome dell’app e anche i dati sulla localizzazione del dispositivo stesso.
In alcuni casi (come nel caso delle app sviluppate con l’SDK di Nexage.com) le informazioni sono molte di più e comprendono indirizzo IP, permessi di accesso all’hardware (come microfono e fotocamera) e in alcuni casi addirittura dati riguardanti età, sesso, fascia di reddito, credo religioso, orientamento politico e simili. Più rari i casi di veri “epic fail”, come l’invio senza protezione crittografica di credenziali di accesso ai servizi.
Tutte queste informazioni sono quindi visibili agli operatori che forniscono la connessione, ma non solo: possono essere intercettati anche se il dispositivo si collega a una rete Wi-Fi non protetta o a un router compromesso da un malware.
Con un problema ulteriore: secondo i ricercatori Kaspersky sarebbe possibile anche modificare i dati, per esempio per fare in modo che gli annunci visualizzati puntino a siti Internet utilizzati per distribuire malware. In alcuni casi, però, tra le informazioni sono presenti anche dati ulteriori, come i comandi che permettono di avviare l’installazione di un’altra app. Modificando questi dati sarebbe quindi possibile eseguire codice senza autorizzazione sul dispositivo.
Nel caso di ushareit.com, i dati inviati senza crittografia comprendono comandi specifici inviati dal server che permetterebbero di avviare l’installazione di ulteriori applicazioni.
Non finisce qui: nel corso della loro ricerca gli analisti si sono imbattuti anche in un’applicazione malevola con lo stesso problema. In questo caso, però, i dati trasmessi senza protezione sono di tutt’altro genere e comprendono informazioni decisamente più “delicate”, cioè quelle che il malware ha rubato dal dispositivo!
Insomma: chi dovesse finire vittima di un malware di questo tipo rischierebbe di subire una doppia violazione. La prima da parte dell’autore dell’app malevola, la seconda da parte di chi intercetta i dati.
La soluzione per impedire la trasmissione di questi dati, purtroppo, non esiste. Aspettando che qualcosa si muova tra gli sviluppatori, Kaspersky suggerisce di adottare comportamenti che permettano, per lo meno, di mitigare il rischio del furto di dati.
La prima è quella di prestare la (solita) attenzione nella concessione dei permessi alle applicazioni. La seconda, senza dubbio più efficace, è quella di utilizzare una VPN sullo smartphone. In questo modo i dati saranno protetti per lo meno nella prima parte del percorso, fino al server VPN.
Nov 30, 2023 0
Nov 22, 2023 0
Nov 15, 2023 0
Nov 08, 2023 0
Dic 01, 2023 0
Dic 01, 2023 0
Nov 30, 2023 0
Nov 29, 2023 0
Nov 30, 2023 0
L’avvicinarsi della fine dell’anno coincide con...Nov 30, 2023 0
Gli attacchi informatici crescono in numero e in...Nov 29, 2023 0
Yarix, divisione Digital Security di Var Group, ha...Nov 27, 2023 0
Le minacce APT sono tra le più pericolose nel panorama...Nov 20, 2023 0
Secondo l’ultima ricerca di Bitdefender, le truffe...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Dic 01, 2023 0
Okta, la società americana di gestione delle identità, ha...Dic 01, 2023 0
Google ha rilasciato RETVec, uno strumento open-source per...Nov 29, 2023 0
Durante il re:Invent, la conferenza annuale di Amazon Web...Nov 28, 2023 0
Microsoft ha annunciato che Defender Application Guard for...Nov 28, 2023 0
L’autorità idrica comunale di Aliquippa, una città...
One thought on “Milioni di app Android trasmettono dati personali senza protezione”