La problematica situazione sul fronte della sicurezza di Android si fa ancora più preoccupante in seguito allo studio di ricercatori tedeschi, in cui viene descritta una tipologia di attacchi “man-in-the-middle” resa possibile da implementazioni errate (o semplicemente “pigre” e non sufficientemente stringenti) delle comunicazioni cifrate su protocollo SSL.
Prendendo in esame un campione di 13mila app più o meno popolari disponibili sul marketplace Android, i ricercatori teutonici hanno scoperto che il 17 per cento delle app progettate per usare il protocollo SSL sono vulnerabili.
Il problema, dicono i ricercatori, non sono tanto le vulnerabilità quanto l’autentica miniera d’oro che le app insicure possono rappresentare: nel loro studio gli esperti sono riusciti a carpire ogni genere di informazione personale, riservata e finanziaria inclusi i dettagli su account PayPal, carte di credito American Express, credenziali di email (Google, Yahoo!, Hotmail/Outlook), WordPress, Facebook, Twitter e chi più ne ha più ne metta.
Tra i casi più preoccupanti descritti dai ricercatori c’è una app antivirale a cui sarebbe teoricamente possibile trasferire firme di malware “malevole” o addirittura disabilitare del tutto la protezione, una app per scaricare dati cloud che comunica in bella mostra le credenziali di accesso, un sistema di messaging “molto popolare” (con una base utenza di 10-50 milioni di sottoscrittori) che comunica i numeri di telefono presenti nella rubrica.
L’ origine del problema , almeno in questo caso, non è tanto Google quanto gli sviluppatori di app e la loro incapacità di usare in maniera sufficientemente le funzionalità della API SSL inclusa in Android: a causa di uno sviluppo non proprio attentissimo alla sicurezza, le app accettano indistintamente tutti i certificati loro presentati, e accettano certificati indipendentemente dal nome di dominio da cui provengono.
La ricerca teutonica non serve solo a evidenziare il pericolo insito nelle app “sicure” presenti su Android e il business criminale da esse alimentato: il tool creato per individuare le vulnerabilità SSL nelle app verrà messo a disposizione come servizio web e farà parte dello scanner di sicurezza Androguard .
Alfonso Maruccia