Milioni di app trasmetterebbero dati non crittografati attraverso HTTP, mettendo a rischio la sicurezza degli utenti. Utilizzando SDK ready-to-go di terze parti di network pubblicitari i dati potrebbero essere intercettati, modificati e utilizzati in ulteriori attacchi.
Non è molto roseo il quadro riportato in questo articolo di Digital4Trade, tratto da un’analisi di Kaspersky Lab, che evidenzia una criticità che potrebbe essere molto più comune ed estesa di quanto si possa ipotizzare.
Alcune app, oggi, trasmettono dati crittografati su un protocollo HTTP non sicuro, mettendo a rischio l’esposizione di questi. Questo avviene perché alcuni sviluppatori di app utilizzano SDK (Software Development Kit) pubblicitari di terze parti per risparmiare tempo e denaro. L’SDK, spesso distribuito in modo gratuito, consente agli sviluppatori di avere un ritorno economico (in virtù del fatto che mostra agli utenti gli annunci per loro più rilevanti), ma i kit inviano i dati degli utenti a domini di noti network pubblicitari per una visualizzazione più mirata degli annunci.
Di per sé, non è qui la minaccia. La vulnerabilità nasce dal fatto che questi dati vengono inviati non crittografati su HTTP e quindi non sono protetti quando viaggiano verso i server. Ne deriva che potrebbero essere intercettati da chiunque e persino modificati, diventando quindi veicolo di malware.
Tutto sommato, però, proteggersi non richiede sforzi particolari. Basta verificare le autorizzazioni delle app e non concedere l’accesso se non si è sicuri (o per lo meno limitare l’accesso ad alcune funzionalità, come la geolocalizzazione), e ricorrere alle più tradizionali VPN – Virtual Private Network che permettono di crittografare il traffico di rete tra il dispositivo e il server VPN stesso.
Un articolo di Agendadigitale.eu chiarisce invece il quadro delle principali minacce cyber security del momento.
