Una società chiama AppBugs ha scovato un centinaio di app per Android che fanno un uso a dir poco sbagliato delle comunicazioni cifrate su canali HTTPS, una tecnologia teoricamente sicura che nel caso in oggetto mette a rischio una gran quantità di utenti di gadget mobile.
La vulnerabilità individuata da AppBugs potrebbe in teoria permettere ai cyber-criminali di compromettere password, credenziali di accesso e altri dati sensibili degli utenti, e a rendere ancora più preoccupante la cosa è che si tratta di un baco presente in app molto popolari scaricate 200 milioni di volte.
App come Match.com, NBA Game Time, Safeway o Pizza Hut offrono ai malintenzionati l’opportunità per violare la sicurezza degli utenti, spiegano da AppBugs, e gli sviluppatori non sembrano disposti a correggere il bug nonostante i rischi concreti di compromissione.
I presunti ecosistemi “sicuri” dei gadget mobile sono pieni di buchi, e spesso e volentieri quando i ricercatori vanno “a caccia” di vulnerabilità si imbattono in problemi già noti da tempo – come i problemi delle connessioni HTTPS scovati da AppBugs – o in bug di particolare gravità presenti in più di una piattaforma.
A quest’ultima tipologia appartiene ad esempio una vulnerabilità individuata il mese scorso dal Fraunhofer Institute for Secure Information Technology, un baco scoperto nelle app iOS e Android più popolari e che viene paragonato alla famigerata falla nota come Heartbleed in quanto a pericolosità.
Anzi, il rischio è persino maggiore , spiegano i ricercatori tedeschi, perché gli sforzi necessari a sfruttare il baco per compromettere password e altri dati sensibili sono inferiori a quelli per Heartbleed e il numero di database online a rischio si conta nell’ordine dei “miliardi”.
Alfonso Maruccia
Ti potrebbe interessare
23 giu 2015