Già in passato abbiamo avvertito i nostri lettori circa i pericoli in cui ci si può imbattere scaricando programmi provenienti da fonti sconosciute. In ogni caso, la maggior parte delle persone si affida ciecamente alle app di sviluppatori o provenienti da fonti affidabili, ovvero quelle che hanno numerose recensioni positive, milioni di download e che vengono distribuite mediante store ufficiali come Google Play. Purtroppo, però, anche in questa situazione non ci sono garanzie.
In questo articolo non parleremo di Trojan ma di app che, pur essendo in buona fede, si lasciano comunque scappare online i dati personali degli utenti. I nostri esperti hanno esaminato un totale di 13 milioni di file APK (Android Application Package) e hanno scoperto che in circa un quarto di questo volume vengono trasmessi dati non cifrati su Internet. Alcune di queste app vantano centinaia di milioni di download, in certi casi oltre mezzo miliardo! Non è un problema da poco.
A volte i dati filtrano online per colpa di un errore dello sviluppatore, ma non è quello che avviene nella maggior parte dei casi. Quando l’app deve inviare i dati dell’utente a un server, la maggior parte delle app utilizza il protocollo sicuro HTTPS, che impedisce a eventuali intrusi di intercettare i dati. Il problema riguarda i servizi di terze parti che gli sviluppatori collegano senza verifiche in background. Ad esempio, alcuni servizi di analytics o pubblicità trasmettono dati su Internet servendosi del protocollo HTTP, niente affatto sicuro.
Quali potrebbero essere i dati interessati?
La maggior parte dei dati filtrati che sono stati riscontrati riguardano il modello del dispositivo, le sue specifiche tecniche, dati che riguardano la rete o l’ISP e il nome del file APK (attraverso il quale il sistema lo riconosce). Molti servizi mostrano anche le coordinate di smartphone o tablet.
In alcuni casi, le informazioni sull’uso dell’app sono state trasmesse in HTTP da un servizio esterno integrato. Le informazioni riguardavano i mi piace, i post, le pagine visitate, così come informazioni sul proprietario del dispositivo (nome, numero di telefono, data di nascita). Anche i codici unici creati per le richieste di autorizzazione a volte sono inviati senza garanzie di sicurezza; per fortuna, la maggior parte dei servizi non trasmettono username e password senza cifratura, anche se c’è sempre l’eccezione che conferma la regola.
Un’app mobile su quattro invia parte dei vostri dati personali impiegano canali non sicuri
Tweet
Qual è il pericolo che si corre?
Le informazioni trasmesse in HTTP vengono inviate in plain text, il che consente a praticamente chiunque di leggerle, compreso ad esempio il vostro provider di Internet. Inoltre, nel percorso che va dalla app al server di terze parti probabilmente ci sono dei “punti di transito” che consentono di tanto in tanto la ricezione e l’immagazzinamento di queste informazioni.
Qualsiasi dispositivo di rete, anche il router di casa, è potenzialmente vulnerabile e, se hackerato, consentirebbe ai cybercriminali di avere accesso ai vostri dati (e il vostro provider del servizio Internet, nel frattempo, può vedere tutto senza fare alcuno sforzo). Se si ottengono certe informazioni sul dispositivo (in particolare i codici IMEI e IMSI), è possibile seguire le vostre azioni future. Più informazioni concedete, più sarete un libro aperto per gli altri, da chi crea pubblicità ai falsi amici che vi propongono file dannosi da scaricare.
In ogni caso, le fughe di dati di utenti e dispositivi sono solo una parte del problema perché la preoccupazione maggiore è che questi dati non cifrati possono essere sostituiti. Ad esempio, in risposta a una richiesta in HTTP da una app, il server può rispondere con un annuncio video, che i cybercriminali possono intercettare e sostituire con una versione dannosa. O possono semplicemente cambiare il link all’interno dell’annuncio e, invece di un gioco o di un motore di ricerca di offerte, l’utente si trova a scaricare molto di peggio.
Cosa fare?
Sono questioni che solo gli sviluppatori delle app possono gestire. Ma fidarsi è bene, non fidarsi è meglio; ecco qualche semplice consiglio da seguire per proteggere meglio i vostri dati:
- Verificate le autorizzazioni che richiede una app. Vi prenderà un po’ di tempo, ma si tratta di tempo ben speso, anche quando l’app è stata scaricata da milioni di utenti. Ad esempio, se una app di messaggistica vuole conoscere la vostra posizione, non sentitevi costretti a concedere questa prerogativa. In questo articolo potete saperne di più delle autorizzazioni da concedere su Android;
- Scaricate le versioni a pagamento delle app (soldi permettendo). Non mostrano pubblicità e quindi il rischio di fughe di dati è minore. Tuttavia, possono comunque avvalersi di moduli esterni di analisi dati, che spesso hanno qualche pecca;
- Utilizzate una VPN, una connessione sicura che proteggerà i vostri dati anche quando non lo fa lo sviluppatore. Ad esempio Kaspersky VPN Secure Connection potrebbe fare al caso vostro.