Un’analisi recentemente condotta sulle principali app di dating ha rivelato che l’utilizzo da parte di alcune di queste di SDK pubblicitari di terze parti dei più famosi network pubblicitari ha causato la trasmissione dati non crittografati degli utenti su un protocollo HTTP non sicuro. Alcune delle app implicate sono utilizzate e installate da miliardi di utenti in tutto il mondo e un grave problema di sicurezza come questo comporta che i dati privati possano essere intercettati, modificati e utilizzati in ulteriori attacchi, lasciando gli utenti indifesi.
Un SDK è un insieme di strumenti di sviluppo pronti all’uso, spesso distribuito gratuitamente, che consente agli autori di software di concentrarsi sugli elementi principali di un’applicazione, affidandosi per le altre funzionalità agli SDK stessi. Gli sviluppatori spesso usano codici di terze parti per risparmiare tempo, sfruttando le funzionalità esistenti per creare una parte dell’applicazione. Ad esempio, gli SDK pubblicitari raccolgono i dati degli utenti al fine di mostrare annunci pertinenti, aiutando così gli sviluppatori a ricavare un ritorno economico dal loro prodotto. I kit inviano i dati degli utenti ai domini delle reti pubblicitarie note affinché gli utenti vedano solo annunci mirati.
Tuttavia, analisi più approfondite delle applicazioni hanno dimostrato che i dati vengono inviati non crittografati su HTTP, quindi non sono protetti quando viaggiano verso i server e possono essere intercettati da chiunque – tramite Wi-Fi non protetto, dal fornitore di servizi Internet o tramite malware sui router di casa. Inoltre, i dati intercettati possono essere modificati e, di conseguenza, l’applicazione mostrerà annunci dannosi o non legittimi. Gli utenti saranno, quindi, indotti a scaricare l’applicazione promossa, che si rivelerà un malware rischioso.
I ricercatori hanno esaminato i log e il traffico di rete generato dalle applicazioni, per scoprire quali tra queste trasmettono i dati degli utenti tramite protocollo http e quindi senza crittografia. Gli esperti hanno così identificato un certo numero di domini che comunicano con il suddetto protocollo, molti dei quali appartengono a noti network pubblicitari. Il numero di applicazioni che utilizzano questi SDK sono diversi milioni e la maggior parte trasmette almeno uno dei seguenti tipi di dato:
- Informazioni personali, principalmente nome dell’utente, età e sesso, ma persino informazioni economiche, come il reddito dell’utente. Inoltre, tra le molte informazioni che vengono sottratte, ad esempio, dalle app di dating, ci sono sicuramente il numero di cellulare e gli indirizzi email.
- Informazioni sul dispositivo, come produttore, modello, risoluzione dello schermo, versione del sistema e nome dell’app.
- Localizzazione del dispositivo.
“La portata di un problema che sembrava interessare solo alcuni casi specifici di applicazioni progettate in maniera poco sicura è devastante. Milioni di applicazioni includono SDK di terze parti, che espongono dati privati a facili intercettazioni e modifiche, portando a infezioni da malware, ricatti e altri vettori di attacco molto efficaci sui dispositivi”, ha dichiarato Morten Lehn, General Manager Italy di Kaspersky Lab.
Alcuni consigli per rimanere protetti:
- Verificare le autorizzazioni dell’app e non concedere l’accesso a qualcosa di cui non si capisce il perché. La maggior parte delle app non ha bisogno di accedere alla geo localizzazione personale, quindi non concederla.
- Utilizzare una VPN in modo da crittografare il traffico di rete tra il dispositivo e il server VPN stesso. Così facendo, il traffico in uscita dalla rete privata rimarrà comunque non criptato, ma si ridurrà il rischio di perdite dati.
