Milioni di applicazioni rischiano di rivelare dati personali degli utenti a causa di codici di terze parti
(Roma, 18 aprile 2018) - Durante l'analisi condotta su popolari app di dating, i ricercatori di Kaspersky Lab hanno scoperto che alcune di queste trasmettono dati non crittografati degli utenti su un protocollo HTTP non sicuro, mettendo a rischio l'esposizione dei dati. Tutto questo è successo perché alcune applicazioni utilizzano SDK pubblicitari ready-to-go di terze parti dei più famosi network pubblicitari. Alcune delle app implicate sono utilizzate e installate da miliardi di utenti in tutto il mondo e un grave problema di sicurezza come questo comporta che i dati privati possano essere intercettati, modificati e utilizzati in ulteriori attacchi, lasciando gli utenti indifesi. Un SDK è un insieme di strumenti di sviluppo, spesso distribuito gratuitamente, che consente agli autori di software di concentrarsi sugli elementi principali di un'applicazione, affidandosi per le altre funzionalità agli SDK pronti all'uso. Gli sviluppatori spesso usano codici di terze parti per risparmiare tempo, sfruttando le funzionalità esistenti per creare una parte dell'applicazione. Ad esempio, gli SDK pubblicitari raccolgono i dati degli utenti al fine di mostrare annunci pertinenti, aiutando così gli sviluppatori a ricavare un ritorno economico dal loro prodotto. I kit inviano i dati degli utenti ai domini delle reti pubblicitarie note affinché gli utenti vedano solo annunci mirati. Tuttavia, analisi più approfondite delle applicazioni hanno dimostrato che i dati vengono inviati non crittografati su HTTP, questo significa che non sono protetti quando viaggiano verso i server e quindi possono essere intercettati da chiunque - tramite Wi-Fi non protetto, dal fornitore di servizi Internet o tramite malware sui router di casa. Inoltre, i dati intercettati possono essere modificati e, di conseguenza, l'applicazione mostrerà annunci dannosi o non legittimi. Gli utenti saranno, quindi, indotti a scaricare l'applicazione promossa, che si rivelerà un malware rischioso. I ricercatori di Kaspersky Lab hanno esaminato i log e il traffico di rete generato dalle applicazioni eseguite all'interno della Sandbox Android di Kaspersky per scoprire quali tra queste trasmettono i dati degli utenti tramite protocollo http e quindi senza crittografia. Gli esperti hanno così identificato un certo numero di domini che comunicano con il suddetto protocollo, molti dei quali appartengono a noti network pubblicitari. Il numero di applicazioni che utilizzano questi SDK sono diversi milioni e la maggior parte trasmette almeno uno dei seguenti tipi di dato: • Informazioni personali, principalmente nome dell'utente, età e sesso, ma persino informazioni economiche, come il reddito dell'utente. Inoltre, secondo uno studio di Kaspersky Lab, tra le molte informazioni che vengono sottratte, ad esempio dalle app di dating, ci sono sicuramente il numero di cellulare e gli indirizzi email. • Informazioni sul dispositivo, come produttore, modello, risoluzione dello schermo, versione del sistema e nome dell'app. • Localizzazione del dispositivo. "La portata di un problema che sembrava interessare solo alcuni casi specifici di applicazioni progettate in maniera poco sicura è devastante. Milioni di applicazioni includono SDK di terze parti, che espongono dati privati a facili intercettazioni e modifiche, portando a infezioni da malware, ricatti e altri vettori di attacco molto efficaci sui dispositivi", ha dichiarato Morten Lehn, General Manager Italy di Kaspersky Lab. I ricercatori di Kaspersky Lab suggeriscono alcuni consigli per rimanere protetti: • Verificare le autorizzazioni dell'app e non concedere l'accesso a qualcosa di cui non si capisce il perché. La maggior parte delle app non ha bisogno di accedere alla geo localizzazione personale, quindi non concederla. • Utilizzare una VPN in modo da crittografare il traffico di rete tra il dispositivo e il server VPN stesso. Così facendo, il traffico in uscita dalla rete privata rimarrà comunque non criptato, ma si ridurrà il rischio di perdite dati. Per ulteriori informazioni su SDK di terze parti, visitare il blogpost su Securelist.com