Sia Apple che Google compiono da anni sforzi per far sì che nei loro store digitali per smartphone entrino solo app sicure. Per quanto le due aziende possano sforzarsi però, sembra che per migliaia di app grandi e piccole i dati degli utenti siano comunque alla mercé di hacker senza scrupoli. È la scoperta dei ricercatori di Zimperium, che hanno scovato alcune preoccupanti e frequenti sviste compiute dagli sviluppatori nel progettare un aspetto ben preciso dell'infrastruttura che regola il funzionamento delle loro app: i server cloud.

Gli errori nei server

Pubblicati sulla testata Wired, i risultati della ricerca puntano il dito su errori di configurazione dei server: sviste dovute a distrazione o a scarsa conoscenza di queste componenti da parte degli sviluppatori. I server infatti sono computer ai quali le app si collegano costantemente per visualizzare sullo schermo del telefono ciò che l'utente vuole. Informazioni, video, ricette, servizi di home banking: tutti i dati di un'app che vengono reperiti online che appaiono all'interno dell'app arrivano da server legati all'app, che però a volte non sono di proprietà degli sviluppatori, ma affittati da fornitori esterni specializzati.

Migliaia di app coinvolte

In una analisi parziale i ricercatori hanno scoperto che 47.000 app su iOS e 84.000 app Android offrono i loro servizi utilizzando i server di Amazon, Google e Microsoft, e che il 14 percento di queste app si poggia su server mal configurati dagli sviluppatori e per questo capaci di esporre i dati personali degli utenti. È come se una cassaforte fosse bloccata con una combinazione estremamente facile da indovinare, ma dall'esterno sembrasse chiusa regolarmente: agli occhi di App Store e Play Store le app analizzate da Zimperium risultano sicure; hacker consapevoli di dove mettere le mani possono però fare incetta dei dati degli utenti che si collegano inconsapevolmente a questi server per usufruire dei servizi delle app.

Colpiti settori sensibili

Il fatto che queste app facciano riferimento a soli 3 fornitori rende più facile andare a caccia di errori di configurazione. Il problema inoltre è che tra le app malfunzionanti scoperte da Zimperium non ci sono solamente piccoli software sviluppati con poche risorse economiche a disposizione. Una delle app è un wallet digitale di una azienda Fortune 500 che espone informazioni finanziarie degli utenti; un'altra si occupa di trasporti in una grande città e lascia scoperti i dati di pagamento dei titoli di viaggio; altre app nel settore medico fanno trapelare le foto profilo degli utenti e i risultati dei loro esami.

La responsabilità della soluzione del problema ricade sulle spalle di chi l'ha creato, ovvero gli sviluppatori — dal momento che Apple e Google non possono verificare questo particolare aspetto delle app che ospitano nei loro negozi digitali. La speranza è che la denuncia di Zimperium porti molti a ricontrollare questo elemento delle loro app al più presto.