Aggiornamenti recenti Dicembre 3rd, 2024 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Vulnerabilità 0-day in Windows Server 2012: 0patch rilascia una fix gratuita
- In Italia raddoppiano gli attacchi contro l’istruzione e il settore governativo e militare
- CERT-AGID 23 – 29 novembre: è assalto all’INPS e alle PEC
- Per limitare le perdite finanziarie più investimenti in sicurezza
- Zscaler estende l’architettura Zero Trust a filiali, stabilimenti e cloud
Milioni di app Android trasmettono dati personali senza protezione
La colpa è del codice inserito per la pubblicità e altre funzioni offerte da terze parti. I dati viaggiano senza crittografia e possono essere intercettati.
La sicurezza di un’applicazione non dipende solo dall’architettura messa a punto dagli sviluppatori principali. Se utilizza funzioni offerte da terze parti (per esempio i servizi di visualizzazione di pubblicità in-app) il rischio che si aprano “varchi” nel perimetro di sicurezza aumenta esponenzialmente.
Stando a una ricerca pubblicata da Kaspersky, però, questo rischio è altissimo. Sarebbero milioni, infatti, le app per Android che, proprio a causa di funzioni introdotte da terze parti, trasmettono dati e informazioni senza alcuna protezione.
Come spiegano i ricercatori, il problema è legato agli strumenti (i cosiddetti Software Development Kit o SDK) che vengono normalmente utilizzati dagli sviluppatori per creare le loro app. Si tratta di “pacchetti” standard, che offrono funzioni già pronte (principalmente per visualizzare le inserzioni all’interno delle app) e consentono di risparmiare parecchio tempo nella fase di sviluppo.
Le funzioni di questo tipo, però, prevedono uno scambio di dati con i network pubblicitari che le gestiscono. Il motivo è semplice: tutti questi operatori puntano a distribuire annunci pubblicitari il più possibile “tagliati su misura” per l’utente.
Peccato che tutte queste informazioni vengano trasmesse senza alcuna forma di protezione crittografica, attraverso il semplice protocollo HTTP. Nel corso della loro indagine i ricercatori hanno individuato numerose app che inviano dati sensibili all’interno delle URL nelle richieste GET, alcune delle quali (Kaspersky non ne specifica i nomi) risultano avere milioni di installazioni.
Niente crittografia e le informazioni viaggiano in chiaro su Internet.
Altre, ma in questo caso si specifica che il problema non deriva dall’uso di SDK di terze parti quanto di un vero e proprio errore di programmazione, inseriscono i dati sensibili senza protezione all’interno del campo Content delle richieste POST. Le applicazioni in questione (anche qui Kaspersky non ne specifica il nome) sono state tutte sviluppate stesso produttore e una di queste avrebbe più di 500 milioni di installazioni.
Ma qual è la conseguenza di tutto questo? Semplice: chiunque sia in grado di intercettare il traffico Internet del dispositivo può avere accesso a informazioni che comprendono il produttore del dispositivo, il modello, la risoluzione dello schermo, la versione del sistema operativo, il nome dell’app e anche i dati sulla localizzazione del dispositivo stesso.
In alcuni casi (come nel caso delle app sviluppate con l’SDK di Nexage.com) le informazioni sono molte di più e comprendono indirizzo IP, permessi di accesso all’hardware (come microfono e fotocamera) e in alcuni casi addirittura dati riguardanti età, sesso, fascia di reddito, credo religioso, orientamento politico e simili. Più rari i casi di veri “epic fail”, come l’invio senza protezione crittografica di credenziali di accesso ai servizi.
Inviare in chiaro username e password via HTTP? Ma che idea geniale!
Tutte queste informazioni sono quindi visibili agli operatori che forniscono la connessione, ma non solo: possono essere intercettati anche se il dispositivo si collega a una rete Wi-Fi non protetta o a un router compromesso da un malware.
Con un problema ulteriore: secondo i ricercatori Kaspersky sarebbe possibile anche modificare i dati, per esempio per fare in modo che gli annunci visualizzati puntino a siti Internet utilizzati per distribuire malware. In alcuni casi, però, tra le informazioni sono presenti anche dati ulteriori, come i comandi che permettono di avviare l’installazione di un’altra app. Modificando questi dati sarebbe quindi possibile eseguire codice senza autorizzazione sul dispositivo.
Nel caso di ushareit.com, i dati inviati senza crittografia comprendono comandi specifici inviati dal server che permetterebbero di avviare l’installazione di ulteriori applicazioni.
Non finisce qui: nel corso della loro ricerca gli analisti si sono imbattuti anche in un’applicazione malevola con lo stesso problema. In questo caso, però, i dati trasmessi senza protezione sono di tutt’altro genere e comprendono informazioni decisamente più “delicate”, cioè quelle che il malware ha rubato dal dispositivo!
Insomma: chi dovesse finire vittima di un malware di questo tipo rischierebbe di subire una doppia violazione. La prima da parte dell’autore dell’app malevola, la seconda da parte di chi intercetta i dati.
La soluzione per impedire la trasmissione di questi dati, purtroppo, non esiste. Aspettando che qualcosa si muova tra gli sviluppatori, Kaspersky suggerisce di adottare comportamenti che permettano, per lo meno, di mitigare il rischio del furto di dati.
La prima è quella di prestare la (solita) attenzione nella concessione dei permessi alle applicazioni. La seconda, senza dubbio più efficace, è quella di utilizzare una VPN sullo smartphone. In questo modo i dati saranno protetti per lo meno nella prima parte del percorso, fino al server VPN.
Condividi l'articolo
Vulnerabilità iOS: la sincronizzazione con iTunes apre ai pirati
Attacchi malware in Italia usando le piattaforme di email marketing
Articoli correlati
Altro in questa categoria
Approfondimenti
-
In Italia raddoppiano gli attacchi contro... L’Italia continua a essere uno dei Paesi più colpiti... -
Ingecom Ignition: “Siamo più forti, ma dobbiamo... Ingecom, fondata nel 1996 a Bilbao, è un distributore a... -
Oltre 400.000 sistemi sono esposti alle vulnerabilità più... Di recente CISA ha pubblicato la classifica delle... -
Convergenza tra IA e cybersecurity: le previsioni di Palo... Ora che l’intelligenza artificiale è entrata a far... -
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Vulnerabilità 0-day in Windows Server 2012: 0patch... I ricercatori di 0patch, piattaforma per la distribuzione... -
In Italia raddoppiano gli attacchi contro... L’Italia continua a essere uno dei Paesi più colpiti...
-
CERT-AGID 23 – 29 novembre: è assalto all’INPS e alle... Nel corso di questa settimana, il CERT-AGID ha identificato... -
Per limitare le perdite finanziarie più investimenti in... Le crescenti perdite finanziarie dovute ai cyber-attacchi... -
Zscaler estende l’architettura Zero Trust a filiali,... Zscaler ha annunciato la sua soluzione di segmentazione...
Ransomware: la serie
No posts found.
One thought on “Milioni di app Android trasmettono dati personali senza protezione”