Se hai scaricato una di queste app i tuoi dati sono finiti online senza protezione

I dati di 100 milioni di utenti sono stati esposti online a ogni tipo di violazione a causa di app che avevano scaricato sui loro smartphone Android. È l'allarme dei ricercatori di Check Point, che hanno puntato i riflettori su un problema noto ma ancora poco discusso nel mondo delle app per smartphone: l'impostazione dei server cloud che le fanno funzionare, ma che sfuggono a ogni tipo di controllo da parte di software antivirus e sistemi operativi.

Gli errori nei server

Quando si parla di cybersicurezza legata al mondo degli smartphone, si tende a pensare che le minacce alla sicurezza arrivino soltanto da attacchi hacker e malware mirati ai dispositivi, e che per contenerle basti prudenza nell'installare soltanto app fidate e attenzione nel mantenere aggiornati i dispositivi. Spesso però i dati delle persone vengono messi in pericolo da errori grossolani fatti in buona fede dagli stessi sviluppatori nell'impostare le componenti delle loro app che risiedono all'esterno dei telefoni, ovvero i server cloud. Queste componenti non sono altro che la destinazione alla quale le app si rivolgono quando devono ottenere da Internet le informazioni che visualizzano sugli schermi dei telefoni: veri e propri computer remoti, che in quanto tali vanno configurati per accogliere le richieste che arrivano dagli smartphone degli utenti.

Le app colpite

Quel che hanno scoperto i ricercatori sono errori nella configurazione di queste componenti relative a 23 app per Android di media notorietà. Tra queste figurano l'app di astrologia Astro Guru, scaricata più di 10 milioni di volte; T'Leva, per la prenotazione dei taxi, scaricata più di 50.000 volte, e Logo Maker, un'app per la creazione di loghi scaricata anche in questo caso più di 10 milioni di volte. Ciascuna app ha esposto i dati sensibili dei relativi utenti a vario titolo. Indirizzi email e password, chat private, posizioni GPS, codici identificativi degli utenti e molto altro: tutte queste informazioni sono state stoccate online prive di protezione e all'insaputa degli sviluppatori delle stesse app, e potevano essere visionate da chiunque per essere collezionate e fare da materiale di partenza per furti di identità e altri tipi di truffe.

Gli antivirus non servono

Non è la prima volta che si parla della mala configurazione dei server cui fanno riferimento le app che utilizziamo tutti i giorni – sia su Android che su iOS. L'ultimo allarme lo avevano dato i ricercatori di Zimperium pochi mesi fa e suonava minaccioso per un motivo specifico: gli attacchi basati su queste vulnerabilità non sono virus né sono diretti agli smartphone, e per questo non possono essere intercettati da software antivirus né dalle misure che piattaforme come il Play Store di Google o l'App Store di Apple mettono in campo per scovare i malware. A evitare questi disastri devono essere gli sviluppatori, e l'unica leva per motivarli a lavorare meglio sono i comportamenti degli utenti.