Alfonso Maruccia

App Store, rimozione per app invadenti

Identificate centinaia di app iOS colpevoli di aver violato i termini di servizio imposti da Apple, e la colpa è ancora localizzata in Cina. Gli sviluppatori si scusano: lo facevamo per difendere il business (dell'advertising)

Roma - I ricercatori della security enterprise SourceDNA hanno identificato 256 app per iOS in grado di accedere alle informazioni "private" degli utenti, una caratteristica a quanto pare ignota persino agli autori del codice. La colpa è di un kit di sviluppo (SDK) di terze parti, ma la società responsabile si giustifica: nessuna volontà di compromissione, solo esigenze di business.

Le 256 app potenzialmente spione sono state identificate da SourceDNA tramite il tool Searchlight, per l'occasione aggiornato con la capacità di identificare le app che fanno uso delle API private di Apple. E l'SDK di Youmi è in grado di fare esattamente questo, integrando la funzionalità nelle app sviluppate con il kit senza alcun intervento da parte dei singoli sviluppatori.

Le app create con l'SDK della società cinese (specializzata in advertising mobile) sono state scaricate 1 milione di volte, dice SourceDNA, e hanno la capacità di "leggere" le app terze scaricate dall'utente, il suo indirizzo email, l'identificativo seriale dello smartphone e altro ancora: tutte queste informazioni venivano poi spedite ai server di Youmi.
I creatori dell'SDK di terze parti hanno a quanto pare sperimentato a lungo con le API di iOS, ipotizzano i ricercatori americani, cercando un modo per estrarre e "leggere" i dati privati di un terminale Apple senza far scattare allarmi nei controlli remoti dell'app store di Cupertino.

Apple ha risposto all'allarme lanciato da SourceDNA confermando il comportamento delle app incriminate, classificando il comportamento dell'SDK di Youmi come una violazione alle linee guida sulla sicurezza e la privacy e procedendo alla messa al bando sia delle 256 app identificate che dell'SDK nel suo complesso.

Ancora una volta sono quindi attori cinesi ad attaccare la presunta inviolabilità dell'ecosistema delle app di Cupertino, anche in questo caso si parla di abuso delle API private - e teoricamente non accessibili agli sviluppatori di terze parti - ma Youmi non ci sta a passare per una società dispensatrice di malware: l'azienda si è scusata per quanto accaduto, giustificando la raccolta delle informazioni dell'utente come un mezzo per difendere pubblicitari e sviluppatori da tentativi di truffa.

Alfonso Maruccia
Notizie collegate
  • SicurezzaApp Store, la breccia è grave ma non è seriaNuove informazioni in arrivo sulla minaccia nota come XcodeGhost, con i ricercatori di sicurezza che segnalano la vastità del problema ma ne ridimensionano gli effetti concreti. Anche Apple si muove con FAQ e non solo
  • SicurezzaiOS, un malware per il mercato cineseUna nuova minaccia per i gadget della Mela è in grado di infettare i dispositivi iOS non aggiornati, indipendentemente dal jailbreak. Apple, piuttosto che a mettere al sicuro il passato, pensa al futuro: la funzione App Slicing è disponibile
22 Commenti alla Notizia App Store, rimozione per app invadenti
Ordina
  • paghi poco e poco mangi e anche male ... sicurezza apple ... luogo comune, adesso qualità delle app dello store apple ... luogo comune, ma lo store con tutta la manica di genius non doveva essere una garanzia di qualità? A bocca aperta
    non+autenticato
  • - Scritto da: prova123
    > paghi poco e poco mangi e anche male ...
    > sicurezza apple ... luogo comune, adesso qualità
    > delle app dello store apple ... luogo comune, ma
    > lo store con tutta la manica di genius non doveva
    > essere una garanzia di qualità?
    >A bocca aperta
    non lo fosse, avresti le app ancora lì, come su android.
    non+autenticato
  • Perché scelta da una manica di imbranati che non sa un fico secco di tecnologia ? Rotola dal ridere
    non+autenticato
  • - Scritto da: Ethype

    > > lo store con tutta la manica di genius non
    > doveva
    > > essere una garanzia di qualità?
    > >A bocca aperta
    > non lo fosse, avresti le app ancora lì, come su
    > android.

    su cosa?
    Sul mio Android decido io quali autorizzazioni do' a ciascuna app.
    Su iOS puoi fare lo stesso?
    Funz
    13000
  • Ci stanno dando dentro nello store di apple ehA bocca aperta
    non+autenticato
  • - Scritto da: Etype
    > Ci stanno dando dentro nello store di apple ehA bocca aperta
    capita, quando si crede all'Oracolo, senza poi andarci a guardare materialmenteSorride
    non+autenticato
  • - Scritto da: Etype
    > Ci stanno dando dentro nello store di apple ehA bocca aperta

    E fanno beme.
    Non se ne puo' piu' di tutti questi spifferi al muro del giardino che consentono ai reclusi di guardare il mondo di fuori.

    Metti che qualcuno poi voglia uscire!

    Meglio un bel ministero della cultura religiosa che stabilisca dall'alto cio' che e' giusto e cio' che e' sbagliato per la plebe pagante.
  • - Scritto da: panda rossa
    > - Scritto da: Etype
    > > Ci stanno dando dentro nello store di apple
    > eh
    >A bocca aperta
    >
    > E fanno beme.
    > Non se ne puo' piu' di tutti questi spifferi al
    > muro del giardino che consentono ai reclusi di
    > guardare il mondo di
    > fuori.
    >
    > Metti che qualcuno poi voglia uscire!
    >
    > Meglio un bel ministero della cultura religiosa
    > che stabilisca dall'alto cio' che e' giusto e
    > cio' che e' sbagliato per la plebe
    > pagante.

    tra un po a cupertino faranno come alla mecca: un gigantesco iphone al posto della pietra nera e la massa bruta che ci fara' il girotondo osannante
    non+autenticato
  • - Scritto da: panda rossa
    > - Scritto da: Etype
    > > Ci stanno dando dentro nello store di apple
    > eh
    >A bocca aperta
    >
    > E fanno beme.
    > Non se ne puo' piu' di tutti questi spifferi al
    > muro del giardino che consentono ai reclusi di
    > guardare il mondo di
    > fuori.
    >

    Un giorno ci spiegherai tutto questo tuo interesse nei confronti delle mele.
    Io una mia opinione me la sono fatta....

    > Metti che qualcuno poi voglia uscire!
    >

    Tranquillo, anzi. C'è gente che come può scappa dalla tua finta libertà.
    Perché, se proprio vogliamo parafrasare , è meglio qualche spiffero che essere in mezzo a un tornado.

    > Meglio un bel ministero della cultura religiosa
    > che stabilisca dall'alto cio' che e' giusto e
    > cio' che e' sbagliato per la plebe
    > pagante.

    O meglio un accozzaglia di truffatori cialtroni che suonano il piffero della libertà portando la gente nel burrone...

    Insomma dipende da come la si vuol vedere.
    maxsix
    9964
  • - Scritto da: maxsix

    > Un giorno ci spiegherai tutto questo tuo
    > interesse nei confronti delle
    > mele.


    Stark ?A bocca aperta

    > Io una mia opinione me la sono fatta....

    Posso immaginare Rotola dal ridere

    > Tranquillo, anzi. C'è gente che come può scappa
    > dalla tua finta
    > libertà.

    MuahahahahA bocca aperta

    > Perché, se proprio vogliamo parafrasare , è
    > meglio qualche spiffero che essere in mezzo a un
    > tornado.

    Lo stesso tornado di cui è vittima apple ?A bocca aperta

    > O meglio un accozzaglia di truffatori cialtroni
    > che suonano il piffero della libertà portando la
    > gente nel
    > burrone...

    I cialtroni stanno sotto una mela morsicataOcchiolino

    > Insomma dipende da come la si vuol vedere.

    Giusto, se metti la testa sotto sabbia la vedrai sicuramente in modo diversoA bocca aperta
    non+autenticato
  • - Scritto da: Etype
    > - Scritto da: maxsix
    >
    > > Un giorno ci spiegherai tutto questo tuo
    > > interesse nei confronti delle
    > > mele.
    >
    >
    > Stark ?A bocca aperta
    >
    > > Io una mia opinione me la sono fatta....
    >
    > Posso immaginare Rotola dal ridere
    >
    > > Tranquillo, anzi. C'è gente che come può
    > scappa
    > > dalla tua finta
    > > libertà.
    >
    > MuahahahahA bocca aperta
    >
    > > Perché, se proprio vogliamo parafrasare , è
    > > meglio qualche spiffero che essere in mezzo
    > a
    > un
    > > tornado.
    >
    > Lo stesso tornado di cui è vittima apple ?A bocca aperta
    >
    > > O meglio un accozzaglia di truffatori
    > cialtroni
    > > che suonano il piffero della libertà
    > portando
    > la
    > > gente nel
    > > burrone...
    >
    > I cialtroni stanno sotto una mela morsicataOcchiolino
    >
    > > Insomma dipende da come la si vuol vedere.
    >
    > Giusto, se metti la testa sotto sabbia la vedrai
    > sicuramente in modo diverso
    >A bocca aperta

    Disse quello che l'ultimo mac che ha visto è un power mac G5.
    Torna pure nel limbo degli ignoranti che ti sei guadagnato.

    Tanti saluti.
    maxsix
    9964
  • - Scritto da: maxsix

    > Disse quello che l'ultimo mac che ha visto è un
    > power mac
    > G5.

    No quello insieme all'altro ridicolo a uovo sono quelli con cui ho avuto a che fare , bastano i primi 30 secondi per rimpiangere un PC , garantito.

    > Torna pure nel limbo degli ignoranti che ti sei
    > guadagnato.

    Disse il Cialtronboy che ha bisogno di un device ultrasemplificato con una mela morsicata sopraA bocca aperta , toh proprio device per ignorantiA bocca aperta

    > Tanti saluti.

    CiauzA bocca aperta
    non+autenticato
  • ...perchè l'index dello scanner di SourceDNA usa un solo byte. Occhiolino
    885
  • - Scritto da: Sky
    > ...perchè l'index dello scanner di SourceDNA usa
    > un solo byte.
    > Occhiolino

    256(dec)=100000000(bin) sono NOVE bit!
    non+autenticato
  • Occhio!
    da 0 a 255 => 256
    non+autenticato
  • con la speranza che non sia un signed ... A bocca aperta
    non+autenticato
  • - Scritto da: prova123
    > con la speranza che non sia un signed ... A bocca aperta
    Sempre quelli restano cambia solo il modo di interpretare i valori non il loro numero.
    caro il mio 'spertone...
    non+autenticato
  • - Scritto da: passavo...
    > Occhio!
    > da 0 a 255 => 256

    e allora?

    siccome si conta a partire da 1 e non da zero in quanto siamo umani e non compute5r (ti pare se avessero detto "ne hanno segnalati 0"?) e si arriva a 256, allora sono nove bit. . se avessero detto "ne hanno segnalati 255" allora ok sono 8 bit, ma siccome ne hanno segnalati 256, allora sono nove bit.
    non+autenticato
  • Sarebbe un errore formale. Ci sono ambienti di ricerca e sviluppo che non ammettono nemmeno errori formali, non basta che il software giri. Già il C è considerato un linguaggio di programmazione "spannometrico" e digerito poco volentieri.
    non+autenticato
  • sorry! non ho visto il "rispondi" , pensavo fosse rivolto alla mia risposta.Sorride
    non+autenticato
  • - Scritto da: prova123
    > Sarebbe un errore formale. Ci sono ambienti di
    > ricerca e sviluppo che non ammettono nemmeno
    > errori formali, non basta che il software giri.
    > Già il C è considerato un linguaggio di
    > programmazione "spannometrico" e digerito poco
    > volentieri.

    per rappresentare il valore 256 decimale in binario, servono nove cifre (256=100000000), che piaccia o no.
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: prova123
    > > Sarebbe un errore formale. Ci sono ambienti di
    > > ricerca e sviluppo che non ammettono nemmeno
    > > errori formali, non basta che il software giri.
    > > Già il C è considerato un linguaggio di
    > > programmazione "spannometrico" e digerito poco
    > > volentieri.
    >
    > per rappresentare il valore 256 decimale in
    > binario, servono nove cifre (256=100000000), che
    > piaccia o
    > no.
    Ma in tal caso rappresenti sempre (in decimale in binario o come ti pare) 257 valori (tutte le rappresentazioni comprendono lo zero...)
    A bocca aperta
    non+autenticato