Sono più di 100 milioni gli utenti Android esposti a frodi online e furti di identità a causa di 23 applicazioni mal progettate (alcune con oltre 10 milioni di download) che hanno reso accessibili dati personali e sensibili come data di nascita, numeri di telefono, dettagli di pagamento, e-mail, messaggi di chat, posizione geografica, password e foto.
Il problema di sicurezza, segnalato dagli analisti di Check Point Research, è stato individuato in una serie di configurazioni errate dei servizi cloud di terze parti come real-time database, gestori di notifiche e cloud storage o nell’accesso ai meccanismi di aggiornamento.
Ma la cosa più preoccupante di tutta la faccenda è che, nonostante tutti gli sviluppatori siano stati contattati dagli stessi ricercatori, solo una delle app incriminate ha cambiato le sue impostazioni per rendere private le informazioni degli utenti.
Indice degli argomenti
Così le app espongono i dati degli utenti
Se è vero che i database con accesso in tempo reale mal configurati non sono una sorpresa, la scoperta dei ricercatori di Check Point ha dimostrato che molti sviluppatori Android non seguono le pratiche di sicurezza di base per limitare l’accesso proprio ai database delle app.
Un problema molto diffuso che può essere facilmente sfruttato per scopi malevoli.
È vero, infatti, che gli sviluppatori di app mobile utilizzano i real-time database per memorizzare i dati nel cloud e sincronizzarli in tempo reale con i client connessi. I ricercatori hanno quindi scoperto che, nel caso di 13 applicazioni, i database non sono protetti e chiunque potrebbe accedere alle informazioni personali degli utenti.
In particolare, i ricercatori Check Point hanno indicato tre applicazioni (riportate nella tabella sottostante) ancora disponibili su Google Play Store che risultano vulnerabili a causa di cattive configurazioni del real-time database.
Applicazione | Tipologia | Dati esposti | Download |
Astro Guru | App di astrologia, oroscopo e chiromanzia | Nome, data di nascita, sesso, posizione geografica, e-mail e dettagli di pagamento | 10 milioni |
T’Leva | Taxi app | Messaggi delle chat tra autisti e passeggeri dei taxi per recuperare i nomi degli utenti, i numeri di telefono, il punto di partenza e di arrivo della corsa in taxi | 50mila |
Logo maker | Tool per lo sviluppo di template grafici e loghi | E-mail, password, username e user-ID | 10 milioni |
Vulnerabilità insite nelle notifiche push delle app
Un altro difetto di sicurezza delle app è stato individuato anche nelle notifiche push. Gli sviluppatori, infatti, le utilizzano per interagire con gli utenti.
Il problema è che la maggior parte dei servizi di notifiche push richiedono una chiave per riconoscere l’identità di chi invia la richiesta. In un certo numero di applicazioni, però, è possibile risalire alle credenziali necessarie per accedere a questi servizi.
E se è vero che in genere i dati del servizio di notifica push non sono sempre sensibili, la capacità di inviare notifiche per conto dello sviluppatore è più che sufficiente per attirare attori malintenzionati.
In chiaro le chiavi di accesso al cloud
I ricercatori di Check Point hanno pubblicato anche i dettagli di alcune applicazioni presenti sul Play Store che memorizzano in chiaro le chiavi di accesso al cloud storage usato per accedere ai file condivisi dallo sviluppatore o dall’app installata.
Molti sviluppatori di app sanno che memorizzare le chiavi dei servizi cloud nella loro app è tutto tranne che una best practice. Per superare questo ostacolo, alcuni sviluppatori hanno adottato il principio della ” security through obscurity”, cioè hanno offuscato la chiave segreta utilizzando la codifica base64, che però non aggiunge alcuna protezione in quanto la procedura di decodifica non è in alcun modo protetta.
Applicazione | Tipologia | Dati esposti | Download |
Screen Recorder | App per registrare lo schermo del dispositivo e memorizzare le registrazioni su un servizio cloud | Accesso ad ogni registrazione memorizzata | 10 milioni |
iFax | Invio e ricezione di fax dal dispositivo Android | Dati sulla trasmissione dei fax | 500mila |
I consigli per mettere in sicurezza il proprio dispositivo
Da quanto visto finora è evidente che per l’utente non è affatto semplice difendersi da questo tipo di minaccia.
Secondo Aviran Hazum, Manager of Mobile Research di Check Point, “la maggior parte delle app che abbiamo osservato sta ancora esponendo dei dati. La loro raccolta, soprattutto l’utilizzo da parte degli hacker, è preoccupante. In definitiva, le vittime diventano vulnerabili a molti vettori di attacco diversi, come le impersonificazioni, il furto di identità, il phishing e i service-swipe. La nostra ultima ricerca fa luce su una realtà inquietante in cui gli sviluppatori mettono a rischio non solo i loro dati, ma anche quelli dei loro utenti privati. Non seguendo le best practice durante la configurazione e l’integrazione di servizi cloud di terze parti nelle app, decine di milioni di dati privati sono stati esposti”.
L’auspicio dell’analista è che la scoperta fatta induca la comunità degli sviluppatori a prestare la massima attenzione a come vengono utilizzati configurati i servizi cloud di terze parti.
Come possono stare al sicuro gli utenti?
Per mitigare queste minacce, i ricercatori di Check Point raccomandano una cosa soltanto: l’installazione di un’efficace soluzione di difesa dalle minacce mobile in grado di rilevare e rispondere a una varietà di attacchi diversi.
