Un gruppo di ricercatori appartenenti al Cyber Forensics Research and Education Group dell’università del New Haven ha scoperto alcune vulnerabilità in diverse app Android molto popolari, tra cui Instagram, Vine, OKCupid e molte altre. I bug potrebbero mettere in pericolo i dati di circa 968 milioni di utenti che hanno installato le applicazioni interessate dal problema sui loro dispositivi Android.
Il mio collega Chris Brook di Threatpost ha riportato che la maggior parte dei bug scoperti dai ricercatori (si veda una serie di video pubblicati su YouTube) proveniva da uno storage dove i contenuti non venivano criptati sui server controllati dalle app vulnerabili.
“Chiunque avesse usato o continuasse a usare queste applicazioni è a rischio di fuga di informazioni che potrebbe interessare un ampio ventaglio di dati, tra cui le password”, afferma Abe Baggili, assistente presso la facoltà di informatica del Tagliatela College of Engineering dell’Università del New Haven, nonché capo del cFREG.
Per Threatpost, la funzionalità dei Messaggi Diretti di Instangram permetteva di rubare le foto che venivano condivise dagli utenti, così come immagini vecchie immagazzinate in plain text sui server di Instagram. I ricercatori hanno osservato che era possibile rubare anche certe keyword su HTTP, permettendo loro di vedere le informazioni condivise tra gli utenti della popolare app. Un’app di video chatting chiamata ooVoo conteneva essenzialmente la stessa vulnerabilità di Instagram. In passato su questo blog abbiamo già parlato del fatto che Instagram non adotta una crittografia completa.
Tre delle app gratuite di messaggistica e videochiamata, Tangi, Nimbuzz e Kik contengono dei bug che hanno permesso ai ricercatori di rubare immagini, localizzazioni e video. Su Nimbuzz era anche possibile mettere mano sulle password degli utenti, immagazzinate in plan text.
MeetMe, MessageMe e TextMe inviano tutte informazioni in formato non criptato e in plain text che potrebbe dare all’hacker la possibilità di monitorare le comunicazioni degli utenti che utilizzano quelle applicazioni su rete locale. In queste app, anche l’invio e la ricezione di immagini, nonché la condivisione della posizione geografica possono essere monitorizzate. I ricercatori sono anche riusciti a vedere il file del database TextMe che immagazzina le credenzilai di login dell’utente in plain text.
Grindr, HeyWire, Hike e TextPlus sono stati colpiti dagli stessi bug. Messaggi, foto e localizzazioni possono essere sottratti dai cybercriminali utilizzando strumenti semplici come WireShark. Inoltre, le foto inviate con Grindr, HeyWire e TextPlus rimanevano nei server in plain text e disponibili per settimane via autenticazione.
“Grazie all’utilizzo di HeliumBackup, un backup extractor di Android, siamo riusciti ad accedere al file di backup per i messaggi di testo”, ha dichiarato un ricercatore. “Quando abbiamo aperto il file, abbiamo visto che c’erano screenshot dell’attività degli utenti che non avevamo scattato noi. Non sappiamo perché quelle screenshot erano lì né perché erano immagazzinate sul dispositivo”.
Nel video finale, i ricercatori hanno visto quail app immagazzinavano dati sensibili. Purtroppo, TextPlus, Nimbuzz e TextMe immagazzinavano credenziali di accesso in plain text. A parte queste tre app, anche MeetMe, SayHi, ooVoo, Kik, Hike, MyChat, WeChat, HeyWire, GroupMe, LINE, Whisper, Vine, Vox and Words With Friends immagazzinavano credenziali di accesso in plain text.
“Sebbene i dati vengano trasmessi in forma sicura da un utente all’altro, abbiamo scoperto che le comunicazioni private possono essere visualizzate da altri poiché i dati non sono criptati e l’utente originale non lo sa”, ha dichiarato Baggili.
I ricercatori hanno provato a informare gli sviluppatori delle app in questione, ma si sono imbattuti in formulari di contatto, non c’è stata possibilità di parlare direttamente con loro. In un’intervista via e-mail, Abe Biggili non sapeva se i bug individuati da lui e dal suo team fossero stati risolti.
Falle nella #privacy sono state provocate da problemi nella #crittografia in molte app #Android popolari
Tweet
Abbiamo contattato Instagram per avere spiegazioni, ma l’azienda per il momento non ci ha ancora risposto.
Non è chiaro se gli sviluppatori di queste applicazioni abbiano intenzione di risolvere le vulnerabilità che abbiamo descritto.
CNET ha contattato Instagram, Kik e Grindr. Instagram ha dichiarato di stare passando alla crittografia completa per la sua app Android, e questa cambiamento risolverebbe molti problemi. Kik ha dichiarato di stare lavorando nella crittografia dei disegni condivisi dagli utenti, ma non delle chat in quanto sono isolate e non accessibili da altre app del telefono. Hanno dichiarato, inoltre, che questo modo di immagazzinare i dati sia abbastanza comune nel settore. Grindr sta revisionando il report di sicurezza e che apporterà le modifiche opportune.