21 Maggio 2021
17:32

Se hai scaricato una di queste app i tuoi dati sono finiti online senza protezione

L’ultimo allarme in fatto di sicurezza informatica mette l’accento su un aspetto della protezione delle app che non può essere mitigato con gli antivirus né con le soluzioni di difesa ideate da Google e Apple. Dall’analisi di appena 23 app, più di 100 milioni di utenti sono risultati interessati da potenziali furti di informazioni.
A cura di Lorenzo Longhitano

I dati di 100 milioni di utenti sono stati esposti online a ogni tipo di violazione a causa di app che avevano scaricato sui loro smartphone Android. È l'allarme dei ricercatori di Check Point, che hanno puntato i riflettori su un problema noto ma ancora poco discusso nel mondo delle app per smartphone: l'impostazione dei server cloud che le fanno funzionare, ma che sfuggono a ogni tipo di controllo da parte di software antivirus e sistemi operativi.

Gli errori nei server

Quando si parla di cybersicurezza legata al mondo degli smartphone, si tende a pensare che le minacce alla sicurezza arrivino soltanto da attacchi hacker e malware mirati ai dispositivi, e che per contenerle basti prudenza nell'installare soltanto app fidate e attenzione nel mantenere aggiornati i dispositivi. Spesso però i dati delle persone vengono messi in pericolo da errori grossolani fatti in buona fede dagli stessi sviluppatori nell'impostare le componenti delle loro app che risiedono all'esterno dei telefoni, ovvero i server cloud. Queste componenti non sono altro che la destinazione alla quale le app si rivolgono quando devono ottenere da Internet le informazioni che visualizzano sugli schermi dei telefoni: veri e propri computer remoti, che in quanto tali vanno configurati per accogliere le richieste che arrivano dagli smartphone degli utenti.

Le app colpite

Quel che hanno scoperto i ricercatori sono errori nella configurazione di queste componenti relative a 23 app per Android di media notorietà. Tra queste figurano l'app di astrologia Astro Guru, scaricata più di 10 milioni di volte; T'Leva, per la prenotazione dei taxi, scaricata più di 50.000 volte, e Logo Maker, un'app per la creazione di loghi scaricata anche in questo caso più di 10 milioni di volte. Ciascuna app ha esposto i dati sensibili dei relativi utenti a vario titolo. Indirizzi email e password, chat private, posizioni GPS, codici identificativi degli utenti e molto altro: tutte queste informazioni sono state stoccate online prive di protezione e all'insaputa degli sviluppatori delle stesse app, e potevano essere visionate da chiunque per essere collezionate e fare da materiale di partenza per furti di identità e altri tipi di truffe.

Gli antivirus non servono

Non è la prima volta che si parla della mala configurazione dei server cui fanno riferimento le app che utilizziamo tutti i giorni – sia su Android che su iOS. L'ultimo allarme lo avevano dato i ricercatori di Zimperium pochi mesi fa e suonava minaccioso per un motivo specifico: gli attacchi basati su queste vulnerabilità non sono virus né sono diretti agli smartphone, e per questo non possono essere intercettati da software antivirus né dalle misure che piattaforme come il Play Store di Google o l'App Store di Apple mettono in campo per scovare i malware. A evitare questi disastri devono essere gli sviluppatori, e l'unica leva per motivarli a lavorare meglio sono i comportamenti degli utenti.

L'app per musicisti Audacity è diventata uno spyware: se ce l'hai, cancellala
L'app per musicisti Audacity è diventata uno spyware: se ce l'hai, cancellala
Usano i dati dello smartphone per costringere il prete a dimettersi: frequentava app e locali gay
Usano i dati dello smartphone per costringere il prete a dimettersi: frequentava app e locali gay
I dati di 500 milioni di utenti Linkedin sono stati messi in vendita online
I dati di 500 milioni di utenti Linkedin sono stati messi in vendita online
Lascia un commento!
Più che un giornale
Il media che racconta il tempo in cui viviamo con occhi moderni