Aggiornamenti recenti Dicembre 1st, 2023 2:00 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Okta, altro che 1%: il breach ha colpito tutti gli utenti
- Google potenzia le difese contro lo spam con RETVec
- IA, QR Code e visori al servizio degli attaccanti: le cyber-previsioni di WatchGuard per il 2024
- Carenza di competenze di cybersecurity: un quarto delle imprese vuole affidarsi agli MSP
- Black Friday ghiotto per il cybercrimine: in vendita 30 milioni di dati di utenti italiani
Milioni di app Android trasmettono dati personali senza protezione
La colpa è del codice inserito per la pubblicità e altre funzioni offerte da terze parti. I dati viaggiano senza crittografia e possono essere intercettati.
La sicurezza di un’applicazione non dipende solo dall’architettura messa a punto dagli sviluppatori principali. Se utilizza funzioni offerte da terze parti (per esempio i servizi di visualizzazione di pubblicità in-app) il rischio che si aprano “varchi” nel perimetro di sicurezza aumenta esponenzialmente.
Stando a una ricerca pubblicata da Kaspersky, però, questo rischio è altissimo. Sarebbero milioni, infatti, le app per Android che, proprio a causa di funzioni introdotte da terze parti, trasmettono dati e informazioni senza alcuna protezione.
Come spiegano i ricercatori, il problema è legato agli strumenti (i cosiddetti Software Development Kit o SDK) che vengono normalmente utilizzati dagli sviluppatori per creare le loro app. Si tratta di “pacchetti” standard, che offrono funzioni già pronte (principalmente per visualizzare le inserzioni all’interno delle app) e consentono di risparmiare parecchio tempo nella fase di sviluppo.
Le funzioni di questo tipo, però, prevedono uno scambio di dati con i network pubblicitari che le gestiscono. Il motivo è semplice: tutti questi operatori puntano a distribuire annunci pubblicitari il più possibile “tagliati su misura” per l’utente.
Peccato che tutte queste informazioni vengano trasmesse senza alcuna forma di protezione crittografica, attraverso il semplice protocollo HTTP. Nel corso della loro indagine i ricercatori hanno individuato numerose app che inviano dati sensibili all’interno delle URL nelle richieste GET, alcune delle quali (Kaspersky non ne specifica i nomi) risultano avere milioni di installazioni.
Niente crittografia e le informazioni viaggiano in chiaro su Internet.
Altre, ma in questo caso si specifica che il problema non deriva dall’uso di SDK di terze parti quanto di un vero e proprio errore di programmazione, inseriscono i dati sensibili senza protezione all’interno del campo Content delle richieste POST. Le applicazioni in questione (anche qui Kaspersky non ne specifica il nome) sono state tutte sviluppate stesso produttore e una di queste avrebbe più di 500 milioni di installazioni.
Ma qual è la conseguenza di tutto questo? Semplice: chiunque sia in grado di intercettare il traffico Internet del dispositivo può avere accesso a informazioni che comprendono il produttore del dispositivo, il modello, la risoluzione dello schermo, la versione del sistema operativo, il nome dell’app e anche i dati sulla localizzazione del dispositivo stesso.
In alcuni casi (come nel caso delle app sviluppate con l’SDK di Nexage.com) le informazioni sono molte di più e comprendono indirizzo IP, permessi di accesso all’hardware (come microfono e fotocamera) e in alcuni casi addirittura dati riguardanti età, sesso, fascia di reddito, credo religioso, orientamento politico e simili. Più rari i casi di veri “epic fail”, come l’invio senza protezione crittografica di credenziali di accesso ai servizi.
Inviare in chiaro username e password via HTTP? Ma che idea geniale!
Tutte queste informazioni sono quindi visibili agli operatori che forniscono la connessione, ma non solo: possono essere intercettati anche se il dispositivo si collega a una rete Wi-Fi non protetta o a un router compromesso da un malware.
Con un problema ulteriore: secondo i ricercatori Kaspersky sarebbe possibile anche modificare i dati, per esempio per fare in modo che gli annunci visualizzati puntino a siti Internet utilizzati per distribuire malware. In alcuni casi, però, tra le informazioni sono presenti anche dati ulteriori, come i comandi che permettono di avviare l’installazione di un’altra app. Modificando questi dati sarebbe quindi possibile eseguire codice senza autorizzazione sul dispositivo.
Nel caso di ushareit.com, i dati inviati senza crittografia comprendono comandi specifici inviati dal server che permetterebbero di avviare l’installazione di ulteriori applicazioni.
Non finisce qui: nel corso della loro ricerca gli analisti si sono imbattuti anche in un’applicazione malevola con lo stesso problema. In questo caso, però, i dati trasmessi senza protezione sono di tutt’altro genere e comprendono informazioni decisamente più “delicate”, cioè quelle che il malware ha rubato dal dispositivo!
Insomma: chi dovesse finire vittima di un malware di questo tipo rischierebbe di subire una doppia violazione. La prima da parte dell’autore dell’app malevola, la seconda da parte di chi intercetta i dati.
La soluzione per impedire la trasmissione di questi dati, purtroppo, non esiste. Aspettando che qualcosa si muova tra gli sviluppatori, Kaspersky suggerisce di adottare comportamenti che permettano, per lo meno, di mitigare il rischio del furto di dati.
La prima è quella di prestare la (solita) attenzione nella concessione dei permessi alle applicazioni. La seconda, senza dubbio più efficace, è quella di utilizzare una VPN sullo smartphone. In questo modo i dati saranno protetti per lo meno nella prima parte del percorso, fino al server VPN.
Condividi l'articolo
Vulnerabilità iOS: la sincronizzazione con iTunes apre ai pirati
Attacchi malware in Italia usando le piattaforme di email marketing
Articoli correlati
Altro in questa categoria
Approfondimenti
-
IA, QR Code e visori al servizio degli attaccanti: le... L’avvicinarsi della fine dell’anno coincide con... -
Carenza di competenze di cybersecurity: un quarto delle... Gli attacchi informatici crescono in numero e in... -
Black Friday ghiotto per il cybercrimine: in vendita 30... Yarix, divisione Digital Security di Var Group, ha... -
I trend delle minacce APT del 2024 Le minacce APT sono tra le più pericolose nel panorama... -
Black Friday e Cyber Monday: è il periodo delle truffe... Secondo l’ultima ricerca di Bitdefender, le truffe...
Minacce recenti
Off topic
-
Maythefourth: La caduta dell’Impero Galattico è... E se vi dicessimo che la saga di Star Wars ... -
Gli hacker e il cinema: i dieci migliori film secondo... Abbiamo rubato al blog di Kaspersky un vecchio pezzo di... -
Campione di scacchi blinda il PC. “Paura degli hacker” Il numero uno degli scacchi mondiali Magnus Carlsen ha... -
L’autore di fsociety pensa di essere Mr. Robot, ma è un... Il pirata informatico che ha creato il ransomware cerca... -
Yahoo sospende l’inoltro delle email. Paura di un esodo... Dopo la raffica di figuracce, l’azienda sospende per...
Post recenti
-
Okta, altro che 1%: il breach ha colpito tutti gli utenti Okta, la società americana di gestione delle identità, ha... -
Google potenzia le difese contro lo spam con RETVec Google ha rilasciato RETVec, uno strumento open-source per... -
AWS presenta Amazon One Enterprise per autenticarsi col... Durante il re:Invent, la conferenza annuale di Amazon Web... -
Defender Application Guard for Office è ufficialmente... Microsoft ha annunciato che Defender Application Guard for... -
Un gruppo hacktivista iraniano ha colpito un centro idrico... L’autorità idrica comunale di Aliquippa, una città...
Jargon room
Tutorial, guide e altre piccole idee per la sicurezza informatica
Ransomware: la serie
No posts found.
One thought on “Milioni di app Android trasmettono dati personali senza protezione”