Dopo aver analizzato 23 app Android su Google Play, Check Point Research, la divisione Threat Intelligence di Check Point Software Technologies ha scoperto che gli sviluppatori di app mobile hanno esposto i dati personali di oltre 100 milioni di utenti.
Attraverso una serie di configurazioni errate di servizi cloud di terze parti – come real-time database, gestori di notifiche e cloud storage – hanno messo in pericolo dati sensibili come e-mail, messaggi di chat, posizione, password e foto. Lasciando agli hacker la possibilità di commettere frodi e furti d’identità.
Misconfigurazioni del database in tempo reale
Un real-time database lavora su dati in tempo reale e in continuo cambiamento, piuttosto che su dati persistenti che vengono memorizzati su un disco. Gli sviluppatori di app dipendono da questi database per memorizzare i dati sul cloud. CPR ha avuto successo nell’accedere ai dati sensibili dai real-time database di 13 applicazioni Android, che vanno da 10 mila a 10 milioni di download. Se un hacker ottenesse l’accesso a questi dati sensibili, potrebbe potenzialmente commettere frodi, furti d’identità e service-swipe.
CPR fornisce tre esempi trovati su Google Play Store che erano vulnerabili a malconfigurazioni del real-time database:
| App Name | Description | Data Extracted | # of Downloads |
| Astro Guru | Popular astrology, horoscope and palmistry app | Name, date of birth, gender, location, e-mail and payment details | 10 million |
| T’Leva | Taxi app | Chat messages between drivers and passengers and retrieve users full names, phone numbers, and locations (destination and pick-up) | 50,000 |
| Logo Maker | Free graphic design and logo templates | E-mail, password, username, user-ID | 10 million |
Notifiche push incorporate nelle app
Gli sviluppatori hanno bisogno di inviare notifiche push per coinvolgere gli utenti. La maggior parte dei servizi di notifiche push richiedono una chiave per riconoscere l’identità di chi invia la richiesta. CPR ha trovato queste chiavi all’interno di un certo numero di applicazioni. Mentre i dati del servizio di notifica push non sono sempre sensibili, la capacità di inviare notifiche per conto dello sviluppatore è più che sufficiente per attirare attori malintenzionati.
Cloud storage key integrate nelle app
Il cloud storage sulle applicazioni mobile è una soluzione elegante per accedere ai file condivisi dallo sviluppatore o dall’app installata. CPR ha trovato applicazioni su Google Play con chiavi del cloud storage esposte. Due esempi:
| App Name | Description | Data Extracted | # of Downloads |
| Screen Recorder | Used to record the device’s screen and store the recordings on a cloud service | Access to each stored recording | 10 million + |
| iFax | Send fax from phone, receive fax for free | Stored fax transmissions | 500,000 |
Molti sviluppatori di app sanno che memorizzare le chiavi dei servizi cloud nella loro app è tutto tranne che una best practice. Dopo aver analizzato decine di casi, CPR ha trovato alcuni esempi di sviluppatori che hanno cercato di “coprire” il problema con una soluzione, che non ha risolto nulla.
Aviran Hazum, Manager of Mobile Research di Check Point: “La maggior parte delle app che abbiamo osservato sta ancora esponendo dei dati. La loro raccolta, soprattutto l’utilizzo da parte degli hacker, è preoccupante. In definitiva, le vittime diventano vulnerabili a molti vettori di attacco diversi, come le impersonificazioni, il furto di identità, il phishing e i service-swipe. La nostra ultima ricerca fa luce su una realtà inquietante in cui gli sviluppatori mettono a rischio non solo i loro dati, ma anche quelli dei loro utenti privati. Non seguendo le best practice durante la configurazione e l’integrazione di servizi cloud di terze parti nelle app, decine di milioni di dati privati sono stati esposti.
Speriamo che la nostra ricerca mandi un forte messaggio alla comunità degli sviluppatori per fare attenzione a come usano e configurano i servizi cloud di terze parti. Per risolvere la problematica, gli sviluppatori devono scansionare le loro app per le vulnerabilità che abbiamo delineato.”
Divulgazione responsabile
CPR ha contattato Google e ciascuno degli sviluppatori di queste app, prima di questa pubblicazione. In seguito, una delle app ha cambiato la sua configurazione.
Come possono stare al sicuro gli utenti?
Per mitigare queste minacce, CPR raccomanda una cosa soltanto: l’installazione di un’efficace soluzione di difesa dalle minacce mobile in grado di rilevare e rispondere a una varietà di attacchi diversi.
